linux提权——提权大赏

已于 2024-04-22 16:17:44 修改
阅读量1.6k 收藏 17
点赞数 19
分类专栏: web渗透测试 文章标签: linux 哈希算法 运维
于 2024-04-20 18:59:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_55202378/article/details/137934891
版权
本文详细介绍了如何利用可读写shadow文件、passwd文件、sudo环境变量、SUID功能、自动任务配置、PATH和通配符、以及SSH密钥敏感信息来实现Linux系统提权。包括了密码哈希破解、文件权限提升、shellcode编写和环境变量利用等技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一、可读shadow文件利用提权

ls -al /etc/shadow # 查看文件属性,确保当前用户对shadow文件具有可读权限
cat /etc/shadow | grep ':\$' # 查看shadow文件夹,grep相当于过滤器,后面接过滤条件

在这里插入图片描述

/etc/shadow文件中,每个用户的密码都是用一个特定的哈希函数加密的。为了避免密码被轻易破解,Linux 系统会使用不同的哈希函数来加密密码。而$y$中的y字符则表示使用的是哪种哈希函数,不同的哈希函数对应不同的字符。以下是一些常见的 $y$ 值及其对应的哈希函数:

  • $1$表示使用的是 MD5 哈希函数;
  • $2$$2a$表示使用的是 Blowfish 哈希函数;
  • $5$表示使用的是 SHA-256 哈希函数;
  • $6$表示使用的是 SHA-512 哈希函数。
sudo john --wordlist=/usr/share/wordlist/rockyou.txt hash.txt # john进行破解

在这里插入图片描述

二、可写shadow文件利用提权

思路:写入

cp /etc/shadow /tmp/shadow.bak  # 备份重要文件
mkpasswd -m sha-512 123456 # 生成hash,hash算法为sha-512
# 替换/etc/shadow中root的密码

mkpasswd是linux中专门用来生成密码hash的工具,-m用来指定hash算法。

在这里插入图片描述

三、可写passwd文件利用提权

提权肯定最先关注root用户,现代的linux发行版中,密码hash都是存储在/etc/shadow中,/etc/passwd中并不直接存储密码hash,通常用X来占位,但是还是可以直接将密码写入/etcpasswd中,尝试提权。也就是一个优先级的问题,先读取passwd,再读取shadow文件。

cp /etc/passwd /tmp/passwd.bak # 备份文件
openssl passwd <明文> # openssl passwd生成密码的hash值
# 替换/etc/passwd中的X

在这里插入图片描述

生成hash时,也可以用mkpasswd,但是passwd文件中生成hash时最好用openssl passwd,再shadow文件中生成hash用mkpasswd

四、sudo环境变量提权

当用whoami命令查看当前用户的用户名时,显示whoami:无法找到id值为XXX的用户。原因:当前用没有权限读取/etc/passwd或者/etc/shadow解决方法:修改文件权限,chmod 644 /etc/passwd
在这里插入图片描述

配置环境

adduser test # root用户下新增test用户

# 补充
sudo adduser test sudo # 将test用户添加到sudo组中
sudo deluser test sudo # 将test用户从sudo组中删除

在这里插入图片描述

vim /etc/sudoers # 使用root用户编/etc/sudoers文件,/etc/sudoers文件是sudo命令的配置文件

# 添加
Defaults env_keep+=LD_PRELOAD
test ALL=(ALL:ALL) NOPASSWD:/usr/bin/find # 简单来说,用户test可以使用sudo命令执行find命令

在这里插入图片描述
在这里插入图片描述
test用户只允许执行sudo find,其他sudo命令不允许执行。
在这里插入图片描述

实验

使用test用户登录到系统,使用sudo -l查看当前用户能够以root用户身份执行哪些命令,其实就是看他能执行哪些sudo命令。这里的话,test用户只允许执行sudo find,且不需要密码

在这里插入图片描述

  • Defaults env_reset表示默认会重置环境变量,因此自定义的变量会在 sudo 环境中失效,也就不会获取正确的变量值。
  • env_keep配置项,用于保留部分环境变量不被重置,需要保留的变量就写入双引号之中。
  • secure_path配置项,其中包含的路径将被当做sudo环境的PATH变量使用。也就是说如果在 sudo 环境无法找到某些命令,那么可以将这些命令的路径加入该配置项之中。
  • LD_PRELOAD是一个环境变量,用于指定在程序加载时预加载的共享库。这个环境变量允许用户在运行程序之前,通过指定预加载的共享库,修改程序的行为。当设置LD_PRELOAD环境变量时,指定的共享库将在程序加载时优先于其他库加载,并将其函数和符号替换为预加载的库中的函数和符号。LD:Linking Dynamic.

也就是说我们在使用sudo find命令时,会以root用户的身份执行命令,同时环境变量中的自定义变量将失效,而且执行sudo find命令之前,会加载共享库文件,共享库文件的路径由LD_PRELOAD指定

1、关于/bin/sbin/usr/sbin/usr/bin文件夹

  • 从命令功能角度:
    • /sbin下的命令属于基本的系统命令,如shutdownreboot,用于启动系统,修复系统。
    • /bin下存放一些普通的基本命令,如lschmod等,这些命令在Linux系统里的配置文件脚本里经常用到。
  • 从用户权限的角度:
    • /sbin目录下的命令通常只有管理员才可以运行。
    • /bin下的命令管理员和一般的用户都可以使用。
  • /usr/sbin存放的一些非必须的系统命令;/usr/bin存放
最低0.47元/天 解锁文章
操作系统升(二十)之Linux-计划任务
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-28 1201
先准备一个SUID文件或者限为xx7的文件,让低限的用户可以执行文件的修改,在这里我们我们准备一个sh文件或者python文件都可以,我们写一个linux运维脚本,来监控当前电脑的运行参数。linux计划任务是因为限配置不当,计划任务以root限运行,低限的用户可以修改计划任务的文件,从而被攻击者利用,导致Linux计划任务命令如下。linux文件第一部分是该文件的拥有者所拥有的限,第二部分是该文件所在用户组的用户所拥有的限,最后一部分是其他用户所拥有的限。
linux计划任务
2401_83659708的博客
06-17 816
发现有 chkrootkit 软件的脚本(rootkit 是黑客用来入侵的工具,chkrootkit是用来检查 rootkit 是否存在的)发现支持 PUT 方法,利用 PUT 文件上传。-- snip -- 假如不是弱口令游戏继续。history -r #删除当前会话历史记录。获得版本信息可以网上搜索看是否存在公开漏洞。msf 成功上线拿到普通用户。
Linux的一些基本思路
weixin_34226706的博客
05-15 174
Before starting, I would like to point out - I'm no expert. As far as I know, there isn't a "magic" answer, in this huge area. This is simply my finding, typed up, to be shared (my starting poi...
内网渗透-Linux之suid
最新发布
lza20001103的博客
04-06 971
内网渗透-Linux之suid
Linux
LainWith的博客
12-12 3548
目录基础知识SUID什么是SUIDSUID限的基本功能常见的可用于suid的命令内核内核溢出1. 获取shell2. 查找漏洞3. 上传exp脏牛MSFpasswdssh密钥脚本应用LinEnum软件简介实操linuxprivcheckerlinux-exploit-suggester2docker linux mysql udf参考 实践思路:使用脚本进行信息收集,之后使用漏洞探针脚本检查系统上存在哪些潜在漏洞。 两个信息收集: LinEnum:https
『vulnhub系列』dpwwn-1—Linux计划任务
总有人间一两风,填我十万八千梦
03-21 2023
如果存在以root限执行的计划任务,且计划任务中存在脚本,并且脚本其他用户拥有写入限则可以通过计划任务
LINUX之计划任务
小王的储物间
12-14 1027
总结一下本文的知识点,讲了计划任务常用的两种方法以及漏洞探针的安装及使用,有兴趣的小伙伴可以自己尝试去搭建靶机,如果喜欢本文不妨一键三连。
代码大佬的【Linux内核开发笔记】分享,前人栽树后人乘凉!
m0_74282605的博客
11-12 1302
刚开始学内核的时候,不要执着于一个方面, 不要专注于- -个子系统就一头扎到实际的代码行中去,因为这样的话,牵涉的面会很广,会碰到很多困难,容易产生挫败感,-个函数体中(假设刚开始的时候正在学习某个方面的某个具体的功能函数)很可能掺杂着其他各个子系统方面设计理念(多是大量相关的数据结构或者全局变量,于支撑该子系统的管理工作)下相应的代码实现, 这个时候看到这些东西,纷繁芜杂,是没有头绪而且很不理解的,会产生很多很多的疑问,(这 个时候如果对这些疑问纠缠不清,刨根问底,那么事实上就是在学习当前子系统的过程中频
高通成都linux engineer intern 一面面经
han_xue_feng的博客
04-22 498
总的来说欧莱雅面试体验都是满分,我面的是管理培训生岗,难度大概中等水平,目前告知通过了。区块链钱包是连接用户与区块链网络的重要工具,它们不仅供了安全的存储和管理数字资产的功能,还允许用户。周一还没收到oc,深圳云计算开发岗到底还有没有hc了,上周三普联发了offer,一直没签,今天了也没。我是IP本地的,硕士是本地双非,计算机专业,方向是多源信息融合定位,现在手上有两个offer,一个是。本人9本top5硕,秋招签了联洲,最近碰运气投了广西中烟,没想到顺利通关,衡了两家的利弊,现在还在。
使用 Go 语言实现 ELF 文件保护——GoHack 冠军项目KAP
Go中国
11-27 1673
KAP 意在对 Linux ELF 在构建之后到上线运行的过程中对应用进行保护,可以通过加密的方式来保护 ELF 泄漏后无法被执行,还可以保护 ELF 在运行过程中不会被...
探秘服务器虚拟化:AI 赋能的资源动态调配之道
三仙桥的博客
01-02 833
一、引言 1.1 服务器虚拟化浪潮来袭 在当今数字化时代,服务器虚拟化已然成为数据中心与云计算领域的核心技术基石。据知名市场调研机构的数据显示,过去数年里,全球服务器虚拟化市场规模以每年超 20% 的惊人速度持续扩张,预计到 2025 年,市场规模将突破千亿美元大关。无论是大型企业构建私有云,还是互联网巨头运营公有云,服务器虚拟化都无处不在,承载着海量业务系统的稳定运行。在电商购物狂欢节期间,数以亿计的用户并发访问,背后正是大规模虚拟化服务器集群凭借强大的资源整合与调配能力,保障着系统不宕机、交易流
Linux--passwd
qq_37107430的博客
02-07 604
passwd 命令用于更改用户密码。在 Linux 系统中,普通用户可以通过 passwd 更改自己的密码,但如果攻击者能够以某种方式执行 passwd 命令更改 root 用户的密码,他们就能获取 root 限。
Linux利用passwd文件
weixin_45630387的博客
05-13 727
Linux 系统中的 /etc/passwd 文件,是系统用户配置文件,存储了系统中所有用户的基本信息,并且所有用户都可以对此文件执行读操作,如果有可写入限,攻击者就可能写入一个任意限的用户进去达到的目的。
chmod 777命令_Linux用户及限命令
weixin_39984098的博客
11-23 2803
------------ 本文来自 Linux用户及限命令 - 阿P博客,技术博客,个人博客, 博客​www.wxqsearch.cn一、用户相关信息存储位置账户信息存储:/etc/passwd 密码信息存储:/etc/shadow 组信息:/etc/group二、用户管理useradd:创建 创建tom账户,所属tom组,家在/home/tom ...
Linux 给文件夹或者文件增加
岁月的博客
02-03 2643
原文链接:https://www.cnblogs.com/anloveslife/p/8719693.html chmod -R 777 文件夹 参数-R是递归的意思 777表示开放所有限 chmod 777 test.sh chmod +x 某文件 如果给所有人添加可执行限:chmod a+x 文件名; 如果给文件所有者添加可执行限:chmod u+x 文件名; 如果给所在组添加可执行限:chmod g+x 文件名; 如果给所在组以外的人添加可执行限:chmod o+x 文件名; ..
linux计划任务,Linux crontab攻击
weixin_36046580的博客
05-16 2077
crontab定时任务是LINUX上最常用的一个功能,不过使用不当很容易受到。使用crontab时请注意以下两点:crontab任务千万不要写到/etc/crontab文件里,这是很危险的。通过crontab -e去创建,让他写到默认的/var/spool/cron下;能不用 root 去创建尽量不用,如果一定要用root,请保存到一个其他用户进不去、改不了、看不了的位置(最好能用chattr...
linux常用基本命令1
SheryJiang的博客
12-18 227
一、Linux操作系统介绍 Linux操作系统主要是用来管理好硬件设备,为用户和应用程序供一个简单的接口,以便使用,作为中间人连接软件和硬件 1、桌面操作系统 Windows 用户群体大 macOS 适用于开发人员 Linux 应用软件少 2、 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值