最近在渗透测试评估期间,我能够使用“ / etc / exports”中的弱NFS权限获得Linux权限提升。最初,我通过利用易受攻击的服务获得了有限权限的受限shell访问。开始重新审核权限升级到root访问权限但无法获得“通常的嫌疑人”(内核漏洞利用,易受攻击的服务等)。没有进一步的linux权限升级进展我回到了我的预先限制的shell侦察结果,重要的是要提到渗透测试人员在获得初始shell访问时通常不会回顾侦测结果并开始只收集内部信息关于使用有限外壳的目标。我曾经也这样做,但上了课。压力不足以继续回到你之前收集的所有信息,也许你会发现一些有趣的东西。
在侦测的初始阶段,我看到了一个NFS共享文件夹
没注意太多,因为它不适合初始shell访问。该文件夹也是空的,现在我的shell有限,所以看了一下“ / etc / exports ”文件。 / etc / exports 文件包含将文件夹/文件系统导出到远程用户的配置和权限。
所以我们有“ rw ”(读,写),“ 同步 ”并记下“ no_root_squash ”参数,然后讨论什么是Root Squashing。
NFS Root Squashing
Root Squashing参数阻止对连接到NFS卷的远程root用户进行root访问。连接时,远程root用户被分配了一个用户“ nfsnobody ”,该用户具有最少的本地权限。或者,“ no_root_squash ”选项关闭“压缩root用户”,并为远程用户提供对已连接系统的root访问权限(疯狂吧?)。在配置NFS驱动器时,系统管理员应始终使用“ root_squash ”参数,以确保始终“压缩”远程root用户。
现在,首先我在/ shared文件夹上复制了一个本地shell,如果你感觉很花哨,那就是反向shell。
cp / bin / bash / shared
我使用以下命令安装了NFS驱动器。
mount -t nfs server:/ shared / mnt /
现在我可以访问其中包含bash shell的远程系统的/ shared文件夹。我更改了bash shell的所有权和权限,并设置了一个SUID位。当在文件上设置SUID位时,它允许任何用户在文件所有者的许可下执行该文件,而不是执行该文件的用户的权限。
chown root:root bash && chmod u + s bash
我回到受害服务器上有限的shell用户访问权限,我所要做的就是在/ shared文件夹中执行bash shell,Getshell
259
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
