渗透测试之Linux下提权

直接在kali里面启用apache服务

1：在终端输入“vim /etc/apache2/ports.conf” ->键盘输入i 进入插入编辑模式 ->修改apache2默认监听端口号为8080 ->编辑好后，按Esc键+“：wq” 保存退出 ->在终端输入“/etc/init.d/apache2 start”

2:->在浏览器地址栏输入“http://localhost:8080”

直接用kali下的默认web站点   网站环境就不搭建了  直接在网站根目录下上传一个大马  前面挖洞传webshell就跳过了  直接开始提权

上传一个大马上去

先用大马将脏牛提权利用工具上传到服务器上

执行

利用gcc编译dirty.c文件

再执行./dirty  运行dirty

最下面一行是恢复回原先root账号密码的方法

这里就不切换到脏牛创建的用户了

什么是suid提权呢？我理解的就是有个文件，它有s标志，并且他输入root，那么我们运行这个程序就可以有了root的权限，并且这个程序还得能执行命令，不然没什么用处，那么我们就能从普通用户提升到了root权限了。

首先在本地查找符合条件的文件，有以下三个命令

常用的可用于suid提权的文件

我得Linux系统里面一个也没有 这个就过去了 百度也有一些关于SUID提权的文章

Linux提权有很多大牛开发好的提权工具可以参考以下网址

最近想着学习linux提权的一些姿势，这里简单分享学习SUID提权的一些知识点。

先来父复习一下linux文件的权限分配。

ls命令用来查看系统上面的文件、目录的权限。

字段的第一个字符表示对象的类型。

之后是每三个字符为一组，每一组定义了3种访问权限。

这三组分别表示文件所有者（Owner）、用户组（Group）、其它用户（Other Users）。

然后规定用数字4、2和1表示读、写、执行权限。即r=4，w=2，x=1。

所以

chmod改变权限

chown用来更改某个目录或文件的用户名和用户组

该命令需要root权限运行

而文件权限除了r、w、x外还有s、t、i、a权限。

SUID

当执行的文件被赋予了s权限，就被称为Set UID，简称为SUID的特殊权限。八进制数为4000。

举个例子：

linux修改密码的passwd就是个设置了SUID的程序。因为如果普通账号cseroad需要修改密码，就要访问/etc/shadow，但是该文件只有root能访问。那他是怎么修改的呢？原理：

查看该程序，发现被赋予了s权限。当cseroad需要修改自己的密码时，passwd程序的所有者为root，cseroad用户执行passwd 程序的过程中会暂时获得root权限，所以可以修改/etc/shadow文件。

SGID

而当s标志出现在用户组的x权限时则称为SGID。八进制数为2000。

当用户对某一目录有写和执行权限时，该用户就可以在该目录下建立文件，如果该目录用SGID修饰，则该用户在这个目录下建立的文件都是属于这个目录所属的组。（父目录跟随）

SBIT

就是Sticky Bit，出现在目录的其他用户执行权限X上，标记为T，八进制数为1000。对目录有效，使用者只能对自己创建的文件或目录进行删除/更名/移动等动作，而无法删除他人文件(除非ROOT)

赋予s权限：chmod 4755 filename 或者 chmod u+s /usr/bin/find

取消s权限：chmod 755 filename 或者 chmod u-s /usr/bin/find

以centos为例。

还有额外的几个命令

我们就可以通过覆盖/etc/passwd文件，提权为root

默认该命令没有s权限

find命令

假如find命令被赋予s权限。

创建a.txt文件，执行 /usr/bin/find a.txt -exec /bin/bash -p \，成功提权。

这里注意的是新版Linux系统对子进程的suid权限进行了限制，不同的操作系统结果也会不一样。

具体细节参考 https://cloud.tencent.com/developer/article/1674144

利用python可反弹得到root权限的shell

python命令

根据 https://gtfobins.github.io/ 查找python利用姿势。

条件是sudo安装时需要输入当前用户密码。

在实战过程中，多查看 https://gtfobins.github.io/ 是否存在SUID提权，以及使用searchsploit命令查看某程序是否存在本地提权漏洞。

https://yoga7xm.top/2019/06/14/suid/

http://www.361way.com/suid-privilege/5965.html

Linux操作系统自从诞生后，其高效的处理能力和卓越的稳定性受到广大用户的亲睐，特别是服务器市场，Linux占有很大的份额。俗话说：树大招风。Linux在服务器领域的广泛应用使得Linux的安全也受到了前所未有的挑战。针对Linux的渗透与攻击手段也越来越多，渗透Linux最常见的手段就是MySQL udf提权。

众所周知，MySQL是一款免费的、开源的数据库服务器软件。其安全性也十分高，因此很多Linux厂商都将其内建在操作系统，特别是一些livecd或者liveDVD。由于MySQL在Linux上的广泛应用，使得MySQL也成为安全界重点研究的对象，udf是MySQL的一个共享库，通过udf创建能够执行系统命令的函数sys_exec、sys_eval，使得入侵者能够获得一般情况下无法获得的shell执行权限。这对于服务器来说是十分危险的。那么入侵者究竟是怎样获得这个权限的呢？换句话说是如何安装这个函数的呢？下面我们可以演示一下

操作系统：backtrack5 r2

平台：Apache+MySQL+PHP

安装这几个函数，必须用到lib_mysqludf_sys.so（windows是对应的dll文件），为方便大家，我就直接作为附件上传。lib_mysqludf_sys_0.rar下载之后，你可以选择通过源代码建构so文件，也可以直接复制so文件夹下的文件。

首先，开启bt5上的Apache服务和MySQL服务，键入"/etc/init.d/apache2 restart"开启Apache服务，MySQL服务可以通过开始菜单来启动，如下图所示：

其实，Apache也可以通过菜单启动，上图中的httpd的子菜单就可以启动，我比较习惯从命令行启动而已。

我们可以访问127.0.0.1来查看Apache是否启动成功，如下图：

没有问题，启动成功

然后，打开终端，键入"mysql -uroot -ptoor"命令连接数据库（注意，-u和-p参数后都不要带空格），如果连接成功，将会出现mysql的提示符

紧接着，上传lib_mysqludf_sys.so到/usr/lib/mysql/plugin，然后键入如下命令：

create function sys_eval returns string soname "lib_mysqludf_sys.so" (创建函数)

创建完成之后就可以通过select sys_eval("命令")执行，如下图

执行ls命令后的结果

看到这里，你也许会说，不过就是执行了一个ls命令吗？这有什么大不了呢?的确，一个ls命令确实没什么大不了。但是这使入侵者获得了一个执行shell的权限，这种权限可以执行任何可执行的文件，也就是说通过它可以为Linux安装后门如使用nc等，而这无异于将服务器拱手让给他人。一般说来，服务器会将PHP的sys_exec等函数禁用，但是udf方式绕过了这种限制，轻易获得了shell。

说完了攻，我们来说说防。可以通过升级MySQL的版本或者禁用udf功能来实现针对udf攻击的防御。

---