58514.html

http://blog.chinaunix.net/uid-756931-id-353243.html

http://blog.163.com/czg_e/blog/static/46104561201552423342331?ignoreua
http://www.noah.org/wiki/SSH_tunnel
http://www.myhack58.com/Article/60/63/2013/38396_3.htm
http://www.chinaitlab.com/cisco/others/923866.html

http://blog.csdn.net/death_spank/article/details/7403554

http://blog.chinaunix.net/uid-20761674-id-74962.html

https://www.baidu.com/s?wd=ssh%20-CfnNT%20-R%202222%3Alocalhost%3A22&pn=20&oq=ssh%20-CfnNT%20-R%202222%3Alocalhost%3A22&tn=baiduhome_pg&ie=utf-8&rsv_idx=2&rsv_pq=d80af9630005118b&rsv_t=1c29hrQJwLu46WctKmMTDVVO8cuGnKBe5Ett5rPtfT7dZGWarF%2BAg8zqtmGcO%2FZ1%2Fpqu&rsv_page=1

http://www.chenyudong.com/archives/linux-ssh-port-dynamic-forward.html

https://lesca.me/archives/ssh-port-forwarding-principle-and-praticle-application.html

http://qubaoquan.blog.51cto.com/1246748/292497

http://linux-wiki.cn/wiki/zh-hans/SSH%E7%AB%AF%E5%8F%A3%E8%BD%AC%E5%8F%91%EF%BC%88%E9%9A%A7%E9%81%93%EF%BC%89

http://lvii.github.io/system/2013/10/08/ssh-remote-port-forwarding/

http://www.361way.com/sshswitch/148.html

http://www.ruanyifeng.com/blog/2011/12/ssh_port_forwarding.html

https://www.ibm.com/developerworks/cn/linux/l-cn-sshforward/

一.前言
前两天，无聊，想日站了，随便搜了个关键字，找了个站，直接开搞。。于是，有了下文。。
（说明:感觉是第一次真正日Linux，很多不懂，写的比较详细。。大牛飘过）二.信息探测，拿shell(nagio)
首先，随便看看链接，发现居然都没有后缀名。。感觉难以下手，114查查看，发现同服还是有很多站的~~。这下心里放心多了，心想如果主站搞不定，就可以旁注了。继续从主站下手。想先搞清楚服务器信息，于是抓包观察：
Linux渗透+SSH内网转发

发现服务器是 DnionOS。。这是神马东西？从未见过，百度之。有两种说法，一种说是帝联的CDN，一种说是nginx。但我感觉CDN可能性更大。如果是nginx就好了。。如果是CDN，就蛋碎了，传说很难搞。。服务器信息先放着。再去看看网站。

看到网站上面有个会员登录，注册的地方：
Linux渗透+SSH内网转发

既然如此，就注册吧，因为一般会员有上传功能。随便注册一个，发现都不验证，直接给通过。。注册后，来到我的空间：
Linux渗透+SSH内网转发

发现可以上传图片。。于是随便上传一个图片，然后访问连接，提示图片不存在。

不知是神马原因，难道没有上传上去？想到了nginx的解析漏洞，随手在后面加个/x.php，发现居然显示了解析了图片。。看来似乎真是nginx。。果然上传大马，然后访问之：
Linux渗透+SSH内网转发

OK成功得到shell。服务器上也写了，是nginx。。看看权限：
Linux渗透+SSH内网转发

居然是root权限。。操作系统：CentOS 5.4

Linux一般想要SSH登录。。我们看看开放端口：
Linux渗透+SSH内网转发

OK，22端口开放。看看服务器IP，确定是否在内网：
Linux渗透+SSH内网转发

然后，测试主机能否上外网。ping外网试试：
Linux渗透+SSH内网转发

发现可以。然后扫描端口：
Linux渗透+SSH内网转发

发现只开放了80和8080端口。

考虑端口转发，以登录ssh.。

三.内网SSH转发：
上传工具到外网某主机：
Linux渗透+SSH内网转发

由于目标主机是linux，因此，-listen时，后面跟上 -linux:
Linux渗透+SSH内网转发

然后，ssh客户端先远程连接该主机的3001端口，外网主机显示有连接：
Linux渗透+SSH内网转发

然后反弹ssh:
Linux渗透+SSH内网转发

外网中，可以看到已经收到了连接：
Linux渗透+SSH内网转发

很快，ssh客户端也有了反应，说明反弹SSH成功。我不知道密码，而webshell下无法添加密码。我们先去看看ssh的配置文件：
Linux渗透+SSH内网转发

我们可以看到，不允许root登录。那是否运行空密码登录呢？配置文件显示，也是不允许。

新建一个root账户
[代码]bash代码：

useradd -u 0  -o  -g root  -G root -d /home/game game

然后给它添加密码

[代码]bash代码：

echo xxx | passwd --stdin game

密码修改成功
Linux渗透+SSH内网转发

然后，用这个用户登录：SSH登录，还是失败。。试了N久，ssh配置文件也没有发现只允许特定用户访问。。后来突然想到，里面有不允许root访问。。难道root指root用户组？？

OK，我们可以试试新建一个普通用户。。然后登录，成功SSH登录，登录成功
Linux渗透+SSH内网转发

但是得到一个普通权限的SSH，显然不是我们想要的。。而ssh配置文件无法在webshell下直接修改，估计普通用户权限也无法修改。怎么办呢？其实很简单，把配置文件复制出来，修改后，再拷贝回去，然后重启SSH，就可以了。

OK,我们把root改为允许登录：
Linux渗透+SSH内网转发

拷贝过去：

[代码]bash代码：

cp /tmp/sshd_config /etc/ssh/sshd_config

然后，重启SSH服务：
[代码]bash代码：

service sshd restart

Linux渗透+SSH内网转发

然后，再次使用root登录,OK，成功：
Linux渗透+SSH内网转发

试用了一下SSH，发现真的很强大，就像本地操作shell一样方便。。。

四.内网渗透尝试
首先，上面说了，代理服务器开了80和8080端口，访问80端口，发现可以任意访问。。内容就是内网各个主机的流量统计。。大概有10台左右：
Linux渗透+SSH内网转发

Choose Node，中，可以看到，使用该主机作为代理的各个服务器。（这里面包括很多信息，有mysql,nginx,有各个系统的信息等等）

貌似内网的主机全是CentOS。通过查找配置文件，得到了两个内网主机的MYSQL帐号和密码。后面，得到了内网主机中所有MYSQL数据库的帐
号和密码，并且可以成功登录。只有root帐号密码解不开。但其他密码都是123456等简单的密码。而且内网主机全部开放了22端口。用这么密码和账户
去登录，全部失败。。。目测账户black为整个网站的管理员。但其SSH密码结不出来。。

后来，经过几天的摸索，发现了一个事情：Web主机其实是两台CentOS,上午用IP为xxx.10的，下午用xxx.251的主机。当时没有搞清楚，还让我纠结了好久。

现在内网的情况，基本就是：我有两台主机的root权限，可以登录所有MYSQL数据库，而且有的主机MYSQL数据库可以进行文件读写，不过不能读取/etc/shadow等重要文件。

解开MYSQL帐号密码后，也无法SSH登录其他主机。

内网中有两台主机也是运行nagix，如果能够访问，可能也可以秒杀。不过我没有外网的LINUX主机，又不想在windows肉鸡上安装SSH，所以也不能用SSH隧道来访问内网的服务器了。。

最后，黔驴技穷，只好种了rootkit，坐等键盘记录了。。虽然我最不想用这种方法，但是目前只能如此了。。

五.后记
这个内网比较大，而且感觉C段和这个网站关系也比较大。。所以，如果键盘记录得到了有效的东西，会继续的。。。
（其实实际过程，比写的也曲折许多，不过实在是太多了，写的好累，就有些地方简写了一点。。）

秒客网

Linux渗透+SSH内网转发

http://www.jb51.net/hack/58514.html

http://blog.chinaunix.net/uid-756931-id-353243.html

[代码]bash代码：

相关文章