63权限提升-Linux脏牛内核漏洞&SUID&信息收集

发布时间:2023年12月24日

今天讲到的方法是suid和内核漏洞

案例一Linux 提权自动化脚本利用-4 个脚本?

两个信息收集:LinEnum、linuxprivchecker

两个漏洞探针:linux-exploit-suggester、linux-exploit-suggester2

信息收集有什么用??

信息收集就能判断能否进行suid和内核漏洞的提取,

漏洞探针主要应用在内核上面的差异,判断出在这个操作系统上面可能存在的漏洞,帮你尝试用这个漏洞去提权。

演示四个脚本的解释,

信息收集

https://github.com/rebootuser/LinEnum
?
https://github.com/sleventyeleven/linuxprivchecker
漏洞探针

https://github.com/mzet-/linux-exploit-suggester
?
https://github.com/jondonas/linux-exploit-suggester-2
————————————————
版权声明:本文为CSDN博主「貌美不及玲珑心,贤妻扶我青云志」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_61553520/article/details/130974974

信息收集脚本演示

LinEnum

把脚本上传到tmp目录,因为tmp是个临时目录,在服务器重启之后会清空,一般这个目录是可以写入的,别的目录可能会因为权限不够无法写入的情况,或者执行不了脚本,

将下载好的脚本上传到tmo目录下

如果不能运行就用chomd +x 脚本名字 赋予一个可执行的权限

内核和发行版详细信息
系统信息:
    主机名
    网络详情
    当前IP
    默认路由详情
    DNS 服务器信息
用户信息:
    当前用户详细信息
    最后登录的用户
    显示登录到主机的用户
    列出所有用户,包括 uid/gid 信息
    列出 root 帐户
    提取密码策略和哈希存储方法信息
    检查 umask 值
    检查密码哈希是否存储在 /etc/passwd
    提取“默认”uid 的完整详细信息,例如 0、1000、1001 等
    尝试读取受限文件,即 /etc/shadow
    列出当前用户历史文件(即 .bash_history、.nano_history 等)
    SSH 基础检查
特权访问:
    哪些用户最近使用过 sudo
    确定 /etc/sudoers 是否可访问
    确定当前用户是否在没有密码的情况下具有 Sudo 访问权限
    是否可以通过 Sudo(即 nmap、vim 等)获得已知的“good”突破二进制文件
    是否可以访问 root 的主目录
    列出 /home/ 的权限
环境:
    显示当前 $PATH
    显示环境信息
工作/任务:
    列出所有 cron 作业
    找到所有全局可写的 cron 作业
    找到系统其他用户拥有的 cron 作业
    列出活动和非活动的 systemd 计时器
服务:
    列出网络连接 (TCP & UDP)
    列出正在运行的进程
    查找和列出进程二进制文件和相关权限
    列出 inetd.conf/xined.conf 内容和相关的二进制文件权限
    列出 init.d 二进制权限
版本信息(以下):
    Sudo
    MYSQL
    Postgres
    Apache
        检查用户配置
        显示启用的模块
        检查 htpasswd 文件
        查看 www 目录
默认/弱凭据:
    检查默认/弱 Postgres 帐户
    检查默认/弱 MYSQL 帐户
搜索:
    找到所有 SUID/GUID 文件
    找到所有全局可写的 SUID/GUID 文件
    找到 root 拥有的所有 SUID/GUID 文件
    找到“有趣”的 SUID/GUID 文件(即 nmap、vim 等)
    使用 POSIX 功能定位文件
    列出所有全局可写文件
    查找/列出所有可访问的 *.plan 文件并显示内容
    查找/列出所有可访问的 *.rhosts 文件并显示内容
    显示 NFS 服务器详细信息
    找到包含在脚本运行时提供的关键字的 *.conf 和 *.log 文件
    列出所有位于 /etc 的 *.conf 文件
    .bak 文件搜索
    查找邮件
平台/软件特定测试:
    检查以确定是否在 Docker 容器中
    检查主机是否安装了 Docker
    检查以确定是否在 LXC 容器中

主要就是查看这个suid的信息,通过这些信息判断suid是否存在提权的可能性

linuxprivchecker

如果目标主机上没有python脚本运行不了,

用python运行,如果没有运行权限,chmod +x 脚本名字? 加上运行权限即可

收集出来的信息也是差不多的

工具脚本演示

linux-exploit-suggester

上传tmp目录下面来,

添加上运行的权限

执行出来就会显示很多的信息,

漏洞相应的下载地址和漏洞利用的poc都会给出,

linux-exploit-suggester2

用perl去运行这个文件

他这个就比较简介,直接告诉我们可能存在的漏洞,以及下载的地址。

案例二Linux 提权 SUID 配合脚本演示-Aliyun?

suid 全称 set user id?

通过设置这个东西,能给用户操作的权限

漏洞成因:chmod u+s基于了suid,u-s删除了suid

没有赋予suid之前,查看文件的权限都是这样的

这里服用给sh脚本一个suid权限

脚本名字也被标红了,标红的意思就是他在运行的会调用的用户的权限,

suid提权原理;一个文件在被运行的时候会被root用户去调用执行它,我们是普通用户去调用这个脚本,但是会以root权限去运行他,

过程,先探针目标上是否有suid(脚本或者手动),再利用特定的suid进行提权

参考:SUID Executables – Penetration Testing LabSUID (Set User ID) is a type of permission which is given to a file and allows users to execute the file with the permissions of its owner. There are plenty of reasons why a Linux binary can have this type of permission set. For example the ping utility require root privileges in order to…icon-default.png?t=N7T8https://pentestlab.blog/2017/09/25/suid-executables/

已知的可用来提权的程序如下:nmap、vim、find、bash、more、less、nano、cp(看这些命令有没有配置root权限)?

比如给予了find执行命令,find就是系统自带查找命令,

在这个目录就有find,打出find目录就会默认的在目录下调用find文件,这里添加上了suid,就算是普通用户去运行find,也会以root用户去运行他。存不存在提权就是检测上面那几个文件

这里用冰蝎作为测试后门,使用冰蝎的反弹shell功能

根据冰蝎的提示设置好payload和监听ip和端口就行了

之后点给我连就行

查看当前权限

正常的通过冰蝎或者命令upload 上传的文件路径 目标主机的要上传路径以及命令

正常留下执行信息收集的sh脚本

对比有没有

map、vim、find、bash、more、less、nano、cp 这些关键字

这里看到了一个find,看到了就存在suid提权,

参考上面发的那个链接有提权的教程

find就是调用这个命令,调用这个命令就会被root执行,-exec就会用root命令去执行后面的命令,后面是反弹shell的命令。

操作过程就是,先touch 一个文件,创建一个文件就是

之后在用find 文件执行whoami的命令看一下权限

为什么find后面要跟个文件是因为要让find命令调用起来查找一些东西,才能调用出root权限

find pentestlab -exec whoami \;

看返回的权限就是root

之后在借助命令执行反弹shell

自己再去链接那个端口就拿下root权限了

Linux 提权本地配合内核漏洞演示-Mozhe

这个是本地提权,因为webshell提不了内核的漏洞

打开墨者的靶场

提权过程,先进性普通用户建立一个连接,获取到可以利用的漏洞,去下载exp,也可以在在会话上下载,exp大部分都用c语言开发的,linux的内核也是c,借助上面的编译去编译exp,给予执行的权限,

打开靶场

上传上去检测内核漏洞的脚本,执行脚本

给出了四个漏洞,

在github搜索漏洞编号,找到了45010c,利用脚本,下载下来

上传上去之后,对他进行编译

编译和之后赋予执行权限

发现是root权限 作者:沙漠里的鲸 https://www.bilibili.com/read/cv16845884/

执行脚本,直接就变成了root权限

Linux 提权脏牛内核漏洞演示-Aliyun,Vulnhub

vulnhub过程,下载出来靶机之后,要先判定出来自己的目标,自己去扫描,找到存活的ip地址,然后在目标上面找漏洞,利用漏洞成功拿到webshell权限,再利用脚本探针内核提权漏洞,然后利用内核提权成功,拿到root权限。

打开靶机是没有密码的,靶机的ip和我是同一个ip端,直接扫描就行、

扫描结果有80端口

打开网站啥都没有,继续扫描指定ip的开发端口

在看这个1898

这就是一个web界面

这个图标一眼就认出来那个cms,在msf上试试能不能直接用

搜索到了

配置好攻击信息直接拿下

上传漏洞验证脚本

查看结果

这个漏洞就是我们熟悉的脏牛漏洞,可以直接借助webshell权限提升,

这就可以直接利用url后面的链接下载地址,直接下载到靶机上

但是这样下载到靶机命名不好,不是.c文件,还是建议exp,上传到靶机上去

脏牛漏洞原理

这个漏洞的exp已经出现了二版,二版更简单一些,下载地址gbonacini/CVE-2016-5195:CVE-2016-5195 漏洞利用示例。 (github.com)

这个二版是用make编译的,所以在命令上有一些差异

上传到靶机的tmp文件夹

编译exp(将40847.cpp文件编译为dcow)并且查看:

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil

成功编译

这个漏洞再利用的时候,必须要开一个模拟终端,不然就利用不了。

这个终端是什么,现在我们是个shell会话,开一个终端就是交互式的shell,什么是交互式终端,比如在创建用户的会弹窗让输出密码,在命令里面是会给一个提出输入密码才可以继续执行,一条命令输出去如果没有交互式就会一直卡在那里,有些命令执行还要交互式再问一下是否继续,所以这个就利用到交互式,这个提权就必须弄一个交互式才能正常成功。

这里就用python做一个伪终端

python -c 'import pty; pty.spawn("/bin/bash")'?

伪终端就出来了

他已经成功了,把root密码修改了,

直接切换用户拿下root权限

aliyun

这个直接反弹shell

直接到已经找到脏牛漏洞,然后上传exp利用

上传之后,创建shell会话,

执行之后等待他返回结果

失败了。

fa

cai

文章来源:https://blog.csdn.net/san3144393495/article/details/135178437
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。