权限提升-Linux提权-suid-脏牛内核

type

status

date

slug

summary

0x00 提权简介

Linux提权相对于windows来说方法比较单一，主要提权方式为suid提权，内核提权，环境变量提权，计划任务提权，第三方服务提权，今天来记载一下关于suid提权以及内核脏牛提权，以及对目标linux信息收集的判断，以及漏洞探针。

0x01 Linux信息收集，漏洞探针

在获取到Linux主机的普通shell权限后，我们可以手动收集目标主机的相关信息，但是手工使用起来效率不高，这里推荐两款信息收集与漏洞探针的自动化脚本，

信息收集：LinEnum.sh

漏洞探针：linux-exploit-suggster2

信息收集：LinEnum.sh
suid文件命令-用于suid提权思路

0x02 suid提权-webshell到root

首先了解suid与guid概念，所谓suid就是使用具有suid的文件时候，将可以以赋予suid权限命令的用户一样的权限去运行这个文件，好比如root给a文件赋予suid，当我们以普通泉下user去运行a也将以root权限运行该文件

guid的概念就是将suid里面user用户的权限更改为group组的盖帘

手工赋予suid权限：chmod u+s xxx
手工删除suid权限：suid u-s xxx
手工搜寻本机suid的命令：
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
搜寻guid命令：
find / -perm -g=s -type f 2>/dev/null
suid提权就是使用具有suid的命令去执行其他命令，因为具有suid的命令具备root权限，从而实现突破普通权限，获取root权限去执行命令
一些常见的可以使用的suid命令提权
nmap
vim
less
more
nano
cp
mv
find
等等 .....

例如-find提权：

其他suid参考之前写的靶机文章：

http://www.kxsy.work/2021/07/19/shen-tou-dc-1/

http://www.kxsy.work/2021/07/23/shen-tou-dc-2/

suid提权网站参考：https://gtfobins.github.io/

0x03 内核提权-ubuntu16.04

首先信息收集，使用smf的search搜集ubuntu16.04版本的漏洞，因为这个版本存在内核漏洞可提权

注意知识点：下载的payload-exp可能是c编译，到linux无法执行

使用编码转换后运行：gcc 45010.c -o 45010

赋权：chmod +x 45010

执行：./45010

参考之前写的靶机DC-3文章：http://www.kxsy.work/2021/08/11/shen-tou-dc-3/

0x04 脏牛提权

Linux内核>=2.6.22（2007年发行）开始就受影响了，直到2016年10月18日才修复。

脏牛exp：https://github.com/gbonacini/CVE-2016-5195

脏牛检测脚本：https://github.com/aishee/scan-dirtycow/blob/master/dirtycowscan.sh

查看内核命令：uname -a
查看版本命令：lsb_release –a

一般情况靶机上面无法运行脏牛的提权文件，需要结果预编译后执行

g++编译.cpp文件为可执行文件：
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow dcow.cpp -lutil
gcc编译.c文件为可执行文件：
gcc -pthread dirty.c -o dirty -lcrypt
gcc 45010.c -o 45010

靶机LAMPIÃO: 1-脏牛提权：

提权思路：

获取IP-扫描端口获取web-爆破cms获取shell-上传脏牛检测脚本-检测疑似存在漏洞-上传脏牛exp-提权成功

提权过程：

发现web端口，发现cms-drupal