随笔分类 - 个人提权方法
提权的方法太多了,必须得记下来
摘要:基于mysqludf_sys.so漏洞的提权 有时候目标机里会存在mysqludf_sys.so文件,那即表示数据库里可能存在用户自定义的功能函数。 UDF (user defined function),即用户自定义函数。是通过添加新函数,对MySQL的功能进行扩充,其实就像使用本地MySQL函数
阅读全文
摘要:利用capabilities提权的方法 Capabilities漏洞利用机制: 原理很简单,就是将之前与超级用户root(UID=0)关联的特权细分为不同的功能组,Capabilites作为线程(Linux并不真正区分进程和线程)的属性存在,每个功能组都可以独立启用和禁用。其本质上就是将内核调用分门
阅读全文
摘要:在linux系统中创造一个用户及其密码 perl -le 'print crypt("123456","salt")' 将123456用盐值加密 加密后得sahL5d5V.UWtI接着创造一个以123456为密码的用户 echo "abc:sahL5d5V.UWtI:0:0:abc:/root:/b
阅读全文
摘要:方法背景:假如以www-data的身份登入,想切换至jake用户,且发现jake的ssh公钥文件可以修改,则此法有效 一般用户的公钥文件是在/home目录下的 例如: /home/jake/.ssh/authorized_keys 然后可以在本地机上生成当前本地用户的公钥: ssh-keygen -
阅读全文
摘要:有些文件可执行,且其中包含一个命令去调用另一个程序,而被调用的程序并没用路径引用,那么可以通过改系统路径的方式来提权 例如有个file文件 strings file 得 tar xxxxx xxxxx /bin/vim xxx xxx 那么其中,可以通过tar来提权 方法一: 1.先移动到另一个路径
阅读全文
摘要:以普通用户进入目标机后,id,发现存在lxd组别,可使用一下提权方法 漏洞介绍 LXD是一个root进程,它负责执行任意用户的LXD UNIX套接字写入访问操作。而且在某些情况下,LXD甚至都不会调用它的用户权限进行检查和匹配,本文就是讨论这种攻击方式。 Linux Container(LXC)通常
阅读全文
摘要:当执行sudo -l后只出了cat的情况下的提权方法 原理: Linux里有一个文件/etc/shadow 这个文件里包含了root的密码 操作 LFILE=/etc/shadow sudo cat "$LFILE"后面的/etc/shadow可以换为任意一个绝对路径下的文件,但必须是文件,文件夹不
阅读全文
摘要:以普通用户登入后,先sudo -l 看看有什么具有root权限、且普通用户可以写入的脚本 例:A.sh 该类脚本普通用户是启动不了的,但可以通过链式脚本启动 再看看有什么链式脚本可以启动A.sh 例: 存在脚本B.sh,其内部为: #!/usr/bin/perl system("sh", "/etc
阅读全文
摘要:Linpeas是一个非常好的信息搜集脚本,通常得想方设法上传到目标机上执行 在上传完成后,应及时的 chmod +x linpeas.sh 然后再 ./linpeas.sh 接着就可以收集相关的root信息了 在收集一些信息后,比如该用户能跑的脚本 就可以去/etc下搜索相关联的程序 cd /etc
阅读全文
摘要:以普通用户进入目标机后,若是可以运行tar指令,则可以通过以下的方法进行提权 原理: tar有通配符*的漏洞,tar用通配符来压缩文件并读取文件名,若是看到有参数则将执行。 操作: 1.先cd到一个用户有完全执行命令的文件夹下 例如:www-data用户的完全权限文件夹为/var/www/html
阅读全文
摘要:有时候用普通用户登录目标机后用 sudo -l 发现该用户什么命令都不能sudo 解决方法如下 先用 find / -perm -4000 2>/dev/null | grep '/bin/'或者find / -user root -perm -u=s 2>/dev/null find的使用 看看能
阅读全文
摘要:特别地,有时在目标机上使用GTFOBins搜到的方法失效,这里记录一下wget的特殊提权方法 原理: wget有两个选项: --post-flie可以传送文件 --output-document可以将下载的文件另存为(即可以覆盖原文件) 方法: 1.先将目标机上etc文件夹下的sudoers上传到本
阅读全文
