|
|
|
联系客服020-83701501

实战Linux下三种不同方式的提权技巧

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
实战Linux下三种分歧法子的提权技能样式

在渗透测试或者破绽评估的过程当中,提权是很是紧迫的一步,在这一步,黑客和安全研究职员时常颠末exploit,bug,差迟设置装备摆设来提升权限。本文的例子都是在捏造机里测试的,分歧的捏造机概略从Vulnhub下载。

实验一:使用Linux内核破绽提权

VulnOS version 2是VulHub上的一个Linux提权练习,当打开捏造机后,概略看到

111

得到到低权限SHELL后咱们一般做上面几件事

1.检测把持琐细的发行版本

2.查看内核版本

3.检测当前用户权限

4.列举Suid文件

5.查看曾经布置的包,步骤,运行的管事,过时版本的有大要有破绽

Default
1 $ lsb_release -a

查看琐细的发行版本

222

Default
1 $ uname -a

查看内核版本

333

每 次在提权的时刻,咱们城市一次又一次的测试,咱们将搜索所有大要的提权技能,并顺次把持,直到胜利。咱们将测试分歧的内核exploit,也会暴力破解账 号。这个例子咱们知道把持琐细驳回的是Ubuntu 14.04.4 LTS,内核版本是3.13.0-24-generic,起首咱们尝试使用overlayfs,这个exploit会工作在Ubuntu 12.04/14.04/14.10/15.04的linux内核3.19畴前和3.13.0以后,咱们测试一下。

咱们起首移动到/tmp目录,此后新建一个文件,粘贴exploit代码出来

顺次运行:

Default
123 $ cd /tmp$ touch exploit.c$ vim exploit.c

vim生存推出后,咱们编译代码

Default
1 $ gcc exploit.c -o exploit

当初实行,若是提醒不有权限,还需

Default
1 chomd 777 ./exploit

Default
1 $ ./exploit

444

颠末截图概略看到咱们曾经得到到了root权限,接下去得到交互式的shell

Default
1 $ python -c 'import pty; pty.spawn("/bin/bash")'

若是提权败北了,我个人倡议你测试几个另外的exploit,新的内核版本也概略试试

Linux Kernel 3.13.0 < 3.19 (Ubuntu 12.04/14.04/14.10/15.04) – ‘overlayfs’ Local Root Shell

https://www.exploit-db.com/exploits/37292/

Linux Kernel 4.3.3 (Ubuntu 14.04/15.10) – ‘overlayfs’ Local Root Exploit

https://www.exploit-db.com/exploits/39166/

Linux Kernel 4.3.3 – ‘overlayfs’ Local Privilege Escalation

https://www.exploit-db.com/exploits/39230/

末了焦点提醒:内核exploit提权有侵害,有大要会溃散琐细。

实验2:使用低权限用户目录下可被Root权限用户调用的脚本提权

Mr.Robot是另一个boot到root的应战捏造机,我拿这个例子来述说你为何suid步骤在提权的过程当中是紧迫的,若是你夙昔对suid不有相识,概略参考https://en.wikipedia.org/wiki/Setuid

咱们起首查看下当前用户

555

颠末截图概略得知,当前用户为”daemon”,咱们接下去提权”daemon”到”root”

这台Ubuntu 14.04运行linux内核3.13.0-55-generic,我尝试已有的exploit都败北了。

666

这次咱们颠末根究琐细里概略用的SUID文件来提权。运行:

Default
1 $ find / -perm -u=s -type f 2>/dev/null

得到如下列表:

777

颠末截图,咱们创造nmap居然有SUID标识表记标帜位,来看看nmap版本

888

一个很是老的nmap版本,然则这个版本的nmap如何帮咱们提权呢?

nmap反对“interactive.”选项,用户大要颠末该选项实行shell呼吁,一般,安全职员会把持该呼吁来防备他们把持nmap呼吁被记录在history文件中

999

因为nmap有SUID位,以是颠末“!sh”咱们会得到到一个root权限的shell

1010

在你的渗透过程,若是创造Nmap 3.48 有SUID位,概略按照本文的例子做下测试。

实验3:使用环境变量挟制高权限步骤提权

PwnLad是笔者最love的应战,一个攻打者有几个账号,然则都不是root权限。

咱们当前登录的是”Kane”账号,当前不有有效的内核exploit,也不有另外概略使用的suid文件

11-11

只有在Kane的home目录下有一个“msgmike.”文件

12-11

把持file呼吁查看下这个文件

13-11

从截图概略看到,这是一个ELF 32位 LSB实行文件,然则当咱们实行文件的时刻,报错了

14-11

颠末报错消息咱们概略看到msgmike调用cat呼吁读取/home/mike/msg.txt文件。

针对这类环境,咱们概略颠末设置bash的$path环境变量来使用,一般的$PATH网罗

15-11

然则当咱们调用cat呼吁的时刻,cat会从以上目录来根究,若是咱们削减.到$PATH环境变量,则会先从当前目录来根究cat指令

新建cat,削减实行权限

16-11

何等当咱们再次运行./msgmike呼吁的时刻,就会触发当前目录下的cat(/bin/sh),从而提权。残缺的exploit如下

17-11

【via@安全客】

数安新闻+更多

证书相关+更多