【linux提权】利用setuid进行简单提权

最新推荐文章于 2024-11-04 00:39:52 发布
原创 最新推荐文章于 2024-11-04 00:39:52 发布 · 754 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器 #网络安全 #安全 #网络

本文详细解释了Linux中的SUID权限机制,如何通过利用可执行文件的SUID特性,使得非root用户在执行特定程序时获得root权限,进而实现getshell。通过例子展示了如何利用`strings`命令检测和利用这一漏洞。

首先先来了解一下setuid漏洞:

SUID (Set UID)是Linux中的一种特殊权限,其功能为用户运行某个程序时,如果该程序有SUID权限,那么程序运行为进程时,进程的属主不是发起者,而是程序文件所属的属主。但是SUID权限的设置只针对二进制可执行文件,对于非可执行文件设置SUID没有任何意义,在执行过程中,调用者会暂时获得该文件的所有者权限,且该权限只在程序执行的过程中有效. 通俗的来讲,假设我们现在有一个可执行文件XINO,其属主为root,当我们通过非root用户登录时,如果XINO设置了SUID权限,我们可在非root用户下运行该二进制可执行文件,在执行文件时,该进程的权限将为root权限。

然后我们连接我们的靶机看看

可以发现,这里有一个s的标志,表示执行该文件或其子进程时都将获得root权限,我们用file看一下这个是什么文件

是一个elf文件,这里运行该程序,发现输出了一段话,这里可以考虑用strings命令看一下该文件

发现有一个greetings字符串,对应刚才的那个greetings文件,应该是运行该程序时调用了该greetings文件,那如果我们将/bin/bash名字改成greetings的话,运行welcome程序,就可以达到getshell的目的,这里先rm greetings,删除该文件

GGb0mb
关注
[升] Linux — 系统内核溢出漏洞
Blue17 の 小窝
02-05 1864
注意:很容易让系统崩溃,所以如果是测试的话,前最好做好系统备份。Linux 系统内核溢出漏洞与之前的Windows 内核溢出漏洞原理都差不多,都是通过内核漏洞进行的,内核漏洞一般都是专门研究这些的专家发现的,我们这些小卡拉米会用就行了(后面自学一下也未尝不可)。利用内核漏洞进行的基本流程如下:对目标系统进行信息收集,获取到系统内核信息以及版本信息。根据内核版本获取其对应的漏洞以及 EXP。使用找到的 EXP 对目标系统发起攻击,完成操作。
Linux基础
2301_77004573的博客
11-08 550
( backup.sh 脚本有定义完整的路径),cron 将引用 /etc/crontab 文件中的 PATH 变量下列出的路径;在这种情况下,我们可以尝试在用户的主文件夹(home)下创建一个名为“antivirus.sh”的脚本,然后让它作为 cron 任务运行。最终传入的反向 shell 连接能够帮助我们成功获取 root 限。一旦你发现现有的脚本或任务被附加到cron jobs,那么就值得花时间去了解相关脚本的功能以及如何在上下文中使用工具对cron jobs进行利用
katana(武士刀)setuid
m0_66299232的博客
10-08 845
6.发现没有反应,抓包查看,这里的请求方式是get ,那么木马就传不上去,放弃这条路;1.用python回弹一个交互式shell,发现家目录下一个.ssh_passwd。这里直接用python来并且setuid(0)直接进入root,成功拿下!8.发现这里将上传目录变更,/opt 目录是一个大型软件安装目录,表示怪异。探测8088端口下的目录,发现有upload.html。9.尝试触发木马,尝试好多端口都不行,只有8715可以。探测目标靶机开放的端口和服务,端口一大堆。
Linux限管理— 文件特殊SetUID
测试-八戒
08-19 1153
这三个文件不是太安全,是Linux系统应对特殊情况所准备的限,给Linux系统的一些特殊命令供的。然后在定期或者不定期的执行该脚本,存入一个临时文件,然后拿这个临时文件和上面的模版文件进行对比,如果临时文件和模板文件是一样的,证明系统中没有出现新的。(1)只有可以执行的二进制程序(自己写的脚本也可以,只要是执行文件就行)才能设定SUID限。还有一点,我们之前说过,普通用户是可以修改自己的密码的,但是我们查看下面两个文件,,也就是说普通用户对这个文件是没有任何操作限的,不能看也不能打开,也不能写。
网络攻防】Linux(待更)
青山的青衫的博客
12-12 712
使用 cat 命令,因为 cat 命令被劫持成了 /bin/bash,就变成了 system("/bin/bash /etc/shadow),这个文件又是 SUID 文件以 root 限执行,就直接切换至了 root 用户。suid(set uid)是一种特殊限,具有这种限的文件在执行时会使调用者暂时获得该文件拥有者的限。把当前目录加入到环境变量,比如我选择/tmp目录,这个添加是临时的,当终端关闭时又会恢复原来的样子。在bash中有特殊含义(代表代码块的结束),需要转义。
Linux - 使用setuid位进行
IT基础架构
06-28 1694
Linux - setuid实战 业务需求 设计一个计分程序,程序文件的owner=thesre;计分文件的owner=thesre,mode=644。 要求: 该计分程序可以被其它非root账号执行,并对计分文件进行更新; 分析需求 由于计分文件的限为644,只能被其owner更新。而上述要求中,又到说其它非root账号通过执行该计分程序对计分文件进行更新。 这里,我们就要利用setuid的优势来完成该程序的开发了。 setuid能做什么 简单地说setuid,就是运行程序时,能够临时将升至
Linux中的setuid
qq_46140800的博客
06-06 2824
最近在看面试题的时候看到setuid,记忆不是那么深刻,所以记下来。 关于ruid和euid 首先我们要知道Linux中ruid和euid的概念 进程中都会有ruid和euid。 ruid(real user ID): ruid可以理解为真实用户ID,当前用户执行,则ruid就是当前用户。 euid(effective user ID): 当进程执行时间,操作系统会对euid进行识别,以此来判断到底用什么限来执行这个进程。 也就是说操作系统实际上是通过判断进程的euid来给予限,然而在大多数情况下,eu
linux教程
02-10
本教程将详细讲解Linux的相关知识点,帮助你理解并掌握这一核心技能。 一、限系统概述 在Linux中,限分为三种类型:读(r)、写(w)和执行(x),它们应用于文件和目录。用户有三种身份:用户(user)、组...
linux——大赏
qq_55202378的博客
04-20 1829
我的理解是:靶机的shell标准输入、输出、错误输出都与127.0.0.1:4444的输出建立了TCP连接,也就是说靶机shell所有的输出信息都会显示到监听127.0.0.1:4444的shell中,唯独没有解决从127.0.0.1:4444向靶机发送命令。文件中,每个用户的密码都是用一个特定的哈希函数加密的。查看当前系统的自动任务后,一方面可以定位定时脚本的位置,然后将shell写到定时脚本中,实现;时本来就是root限,预先加载共享库shell.so时,也是以root用户的限去加载的。
忆享科技戟星安全实验室|最全的Linux总结,赶紧收藏吧
m0_61431042的博客
09-23 1259
在日常渗透测试过程中,我们常常会先是拿到webshell,当我们限过低时,我们需要限进行下一步渗透,今天就来聊一下的方式有哪些。
Linux setuid相关
扎实基础方能走远
01-15 629
prolog: linux文件系统的安全性在一定程度上会带来一些“不方便”,为了取一个平衡,或者说为了让使用者有更多的可控选择,引入了setuid 和setgid控制bit。 使用场景举例: Linux上80端口的listen必须是root限才可以监听,那假如我不想把root密码告诉所有运维,但是又需要运维来负责管理这些80端口的服务,那如何解决?可能有很多办法,但是setuid以及set...
Linux限管理之SetUID
夏季版
11-18 3231
安全限:主要理解,尽量不要改
Linux限控制函数 : setuid、seteuid、setreuid
poosdsd的博客
11-04 509
进程执行了一会之后, 突然想用zzz的限访问一个文件, 于是进程可能会调用setuid(zzz), 此时检测进程的限, 进程的effective uid是hzzz, 不是root, 所以不能更改real uid(只有root才能更改real uid[setuid规则一不满足]), 所以只能设置effective uid, 发现effective uid可以被设置为zzz(因为real uid是zzz[规则二满足]), 所以函数调用成功, 只将effective uid设置成zzz.
Linuxsetuid函数学习
Peace
03-20 731
内核为每个进程维护三个UID值: 实际用户ID(real uid)、 有效用户ID(effective uid)、 保存的设置用户ID(saved set-user-ID)。 实际用户ID和实际用户组ID:标识我是谁,也就是登录用户的uid和gid,比如我的Linux以fg登录,在Linux运行的所有的命令的实际用户ID都是fg的uid,实际用户组ID都是fg的gid(可以用id命令查看...
linux setuid函数_setuid和seteuid
weixin_42413377的博客
01-17 852
setuid和seteuidblog 归档 linux unix 系统编程linux下有4种uid, 真实uid(real user id), 有效uid(effective user id), 被保存的uid(saved user id)和文件系统的uid. 本文详细讲解一下相关内容。linux下有4种uid, 真实uid(real user id), 有效uid(effective user ...
Linux中的setuid简介
热门推荐
白熊的窝
01-19 2万+
最近在项目中有一个需要给root限的脚本, 因此详细看了一下关于Linuxsetuid的使用方法, 在此做一下整理. 关于ruid和euid 首先需要明确一下Linux进程中ruid和euid的概念. 每一个Linux进程都会包含这两个uid. ruid(real user ID): ruid可以理解为哪个用户执行了这个程序或者文件, ruid就是谁. euid(effective user ...
linux setuid函数_setuid函数解析
weixin_33744799的博客
02-26 580
在讨论这个setuid函数之前,我们首先要了解的一个东西就是内核为每个进程维护的三个UID值。这三个UID分别是实际用户ID(real uid)、有效用户ID(effective uid)、保存的设置用户ID(saved set-user-ID)。首先说这个实际用户ID,就是我们当前以哪个用户登录了,我们运行的程序的实际用户ID就是这个用户的ID。有效用户ID就是当前进程是以哪个用户ID来运行的,...
标准Linux安全中的setuid程序
个人学习记录所用
10-18 1845
2.2.3.标准Linux安全中的setuid程序 在我们讨论如何处理域转变的问题之前,首先看一下类似的问题在标准Linux中是如何处理的,即Joe想安全地修改现有的密码问题,Linux解决这个问题的方法是通过给passwd赋一个setuid值,使其执行时具有root限,如果
Linux
最新发布
03-28
### Linux 升与解决限不足问题 在 Linux 系统中,限管理是一个核心概念。为了实现特定功能或者访问受限资源,可能需要临时或永久地升用户的限。以下是几种常见的方法来升用户限以及解决限不足的问题。 #### 1. 使用 `sudo` 命令 `sudo` 是一种安全机制,允许普通用户以超级用户或其他用户的身份运行指定的命令。默认情况下,只有被配置到 `/etc/sudoers` 文件中的用户才能使用此功能[^2]。 通过编辑该文件并添加相应的条目,可以让某个用户获得更高的限。例如: ```bash username ALL=(ALL:ALL) ALL ``` 这表示用户 `username` 可以在任何主机上作为任意用户执行任意命令。 #### 2. 切换至 root 用户 如果某些操作仅能由 `root` 完成,则可以通过以下方式切换到 `root` 账户: ```bash su - ``` 输入密码后即可成为超级管理员。需要注意的是,在完成任务之后应立即退出 `root` 模式以减少潜在风险。 #### 3. 修改目标对象的所有或组归属关系 当遇到无法访问某文件夹的情况时,可以考虑更改其所属关系。比如让当前登录账户成为该目录的新主人: ```bash chown your_user_name /path/to/directory/ chmod u+rwx /path/to/directory/ ``` 以上两条指令分别改变了所有,并赋予新所有者完全控制的利[^1]。 #### 4. 设置合适的 ACL (Access Control Lists) ACL 供了一种更精细的方式来定义谁能够做什么事情。相比传统的 rwx 授模式更加灵活多样。要设置额外的读取限给另一个用户 groupname ,可以用如下语句: ```bash setfacl -m g:groupname:r-x filename getfacl filename # 查看效果 ``` #### 5. 对于 PHP 应用场景下的特殊处理 针对 web 开发人员经常碰到因 CGI/FPM 进程启动环境不同而导致的实际有效 UID 不匹配从而引发的各种限制状况,推荐采用下面两种策略之一解决问题[^3]: - **调整脚本本身的执行身份**: 让 Apache/Nginx 的 worker 子进程模拟成期望的状态; - **给予最小必要的特升**: 如借助 setuid bit 实现简单任务自动化批处理需求。 --- ### 示例代码片段展示如何利用 sudo 添加新用户进入 wheel 组以便获取更多利: ```bash # 编辑/etc/group找到wheel这一行追加新的成员名 vi /etc/group # 或者直接运行这条一次性命令完成相同目的 usermod -aG wheel existing_username ``` 注意替换其中变量部分为自己实际使用的名称字符串! ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值