docker也能提权？？内网学习第6天 rsync未授权访问覆盖 sudo(cve-2021-3156)漏洞提权 polkit漏洞利用

现在我们来说说liunx提权的操作：前面我们说了环境变量，定时任务来进行提权的操作

rsync未授权访问覆盖

我们先来说说什么是rsync

rsync是数据备份工具，默认是开启的873端口

我们在进行远程连接的时候，如果它没有让我们输入账号和密码的话，我们就可以对计时任务中的任务进行覆盖的操作。

流程：

先创建一个反弹shell的文件，然后在给它赋予执行权限，然后使用rsync把它覆盖计时任务。

我们在使用的时候也可以在rsync也可以来下载敏感的文件，来进行相对应的操作。

下面来看看命令：
rsync -av nc rsync:/47.94.236.17:873/src/etc/cron.hourly

这个是把我们创建的后门文件上传到计时任务中去

借助Linux默认计划任务调用/etc/cron.hourly，利用rsync连接覆盖

 我们使用命令 rsync rsync://ip:873/ 这样来进行查看要不要你的账号密码

使用命令查看能不能进行连接的操作，如果可以就说明可能存在这个提权的

rsync rsync://ip:873(默认的端口)/

docker组挂载目录的提权 

前提  本地用户  本地用户属于docker组  

因为只有是在docker组里面我们才可以进行使用docker的权限  要不然就只有root权限

使用命令 groups 组名来查看 如果不是root权限但是你是docker组里面的你也可以运行docker服务

docker run -v /root:/mnt -it alpine

我们是使用docker下载镜像文件，什么镜像文件是不重要的，然后将root目录挂载到mnt容器中

然后我们就可以在mnt目录中看见与root是一样文件了，你在外部看这个目录是空的。在这里面进行相对应的操作。

sudo(cve-2021-3156)漏洞提权：

sudoedit -s / 像下面的这样的话就说明是没有漏洞的

如果不是这样的就说明是存在这个漏洞的。

我们也可以直接看版本来确定有没有漏洞

sudo: 1.8 2 -1.8 31p2
sudo:1.9.0-1.9.5p1

然后我们在进行下一步的漏洞利用的操作：

下面也就是我们前面一样的操作，下载poc然后在进行编译给权限在进行运行文件进行操作。

这点就不说了。

polkit漏洞利用：

polkit是什么，是系统预装工具

polkit 是一个应用程序级别的工具集，通过定义和审核权限规则，实现不同优先级进程间的通讯：控制决策集中在统一的框架之中，决定低优先级进程是否有权访问高优先级进程。 

这个是ubantu的dpkg -l policykit-1 centos的是rpm -qa polkit  这样来进行查看

跟上面的漏洞是一样的都是利用漏洞来进行提权的操作

我们在使用的时候要主要编译在进行执行 make是工程化编译工具

然后我在进行提权的操作，看看能不能提权成功，也是一样的下载poc然后到liunx本地进行编译在执行操作。

我在网上找了2个poc都没有成功，看来我的系统是打过补丁的。今天也是到这里。继续向内网冲冲冲！！！