利用CVE-2021-4034提权与远程控制:Linux渗透实战
需积分: 5 78 浏览量
更新于2024-08-03
收藏 1.25MB PDF 举报
本篇文档是桂林电子科技大学2023-2024学年网络渗透测试技术实验报告,专注于实验四——权限提升技术。实验的目标是通过网络渗透手段,学习如何利用CVE-2021-4034漏洞对Linux系统进行权限提升,以对目标靶机广诚在线视频进行提权操作。
实验过程分为几个步骤:
1. 实验开始,通过diesearch工具进行信息收集,发现存在后台路径及弱口令admin/123456,从而成功登录。
2. 进入后台后,检测到管理模块的上传文件漏洞,通过修改请求类型为image/png,实现了上传一句话木马,但后续内容访问受限,因为shell命令被禁用。
3. 需要绕过限制,通过上传PHP文件并通过蚁剑工具连接,尝试利用该漏洞执行so文件,通过构造特定URL来调用木马。
4. 为了进一步提权,生成并上传一个Meterpreter的正向木马,通过msfvenom工具创建,然后在目标机上执行,将木马变为可执行文件,并通过攻击机建立连接,执行木马文件以实现初步控制。
5. 使用py交互方式获取shell,完成了实验三的远程控制部分,现在转向实验四,即权限提升。
关键环节在于利用CVE-2021-4034漏洞,该漏洞涉及pkexec,文档提到使用gcc编译C代码来利用这个漏洞。实验者通过find命令搜索可利用的提权指令,找到并利用了这个安全漏洞,实现了权限的提升。
本实验着重于渗透测试实践中的权限提升技术,包括漏洞识别、利用、绕过安全机制以及最终获取目标系统的更高权限。通过这个过程,学生不仅锻炼了实战技能,还深入理解了Linux系统安全和漏洞利用的原理。
2021-09-29 上传
2021-03-17 上传
2022-01-02 上传
2023-05-08 上传
2021-08-08 上传
2023-06-22 上传
2021-10-06 上传
2021-09-20 上传
2021-08-14 上传
W3nd4L0v3
- 粉丝: 460
- 资源: 14
最新资源
- 开源通讯录备份系统项目,易于复刻与扩展
- 探索NX二次开发:UF_DRF_ask_id_symbol_geometry函数详解
- Vuex使用教程:详细资料包解析与实践
- 汉印A300蓝牙打印机安卓App开发教程与资源
- kkFileView 4.4.0-beta版:Windows下的解压缩文件预览器
- ChatGPT对战Bard:一场AI的深度测评与比较
- 稳定版MySQL连接Java的驱动包MySQL Connector/J 5.1.38发布
- Zabbix监控系统离线安装包下载指南
- JavaScript Promise代码解析与应用
- 基于JAVA和SQL的离散数学题库管理系统开发与应用
- 竞赛项目申报系统:SpringBoot与Vue.js结合毕业设计
- JAVA+SQL打造离散数学题库管理系统:源代码与文档全览
- C#代码实现装箱与转换的详细解析
- 利用ChatGPT深入了解行业的快速方法论
- C语言链表操作实战解析与代码示例
- 大学生选修选课系统设计与实现:源码及数据库架构