Linux shadow 文件提权
Linux shadow 文件提权
1 shadow 提权说明
对于一个正常的 /etc/shadow 文件来说,他的权限如下所示:
1 | root at kali in ~ |
根据所学权限可以看出,/etc/shadow 默认是主要 root 用户可读可写,root 组可读:
1 | root at kali in ~ |
切换到 Kali 用户可以发现,是没有查看权限的。
但是,假设运维人员突然抽了一下,将权限改为任意用户可读可写时,就会产生隐患:
1 | root at kali in ~ |
这时使用 Kali 用户就可以查看该文件内容了。
这时我们需要做的就是:
- 若是文件只可读,可以尝试爆破出相关账户的密码信息。
- 若是文件可读又可写,可以尝试伪造一个用户,在密码占位符处指定密码,并且
UID设置为0,将其添加到/etc/shadow文件中。
2 shadow 文件可读
将用户信息进行保存:
1 | ┌──(kali㉿kali)-[/root] |
使用 Kali 自带的 john 工具进行密码爆破:
1 | ──(kali㉿kali)-[/root] |
可以看到成功爆破出密码。
注:这种场景可利用范围不广,一旦对方设置了强口令爆破基本是爆破不出的。
3 shadow 文件可写
既然 shadow 文件可写,可以有如下两种利用方式:
- 创建一个新的用户;
- 修改原有账户的密码。
创建用户之前演示过了,这里主要演示修改密码。
这里使用 openssl 工具生成加密的密码:
1 | # 使用基于 MD5 的密码算法计算和加盐指定密码的哈希值,这里盐为 123456,后续需要填写密码,这里密码为 123 |
直接修改 shadow 文件中 root 账户的密码:
1 | ┌──(kali㉿kali)-[/root] |
切换一下用户,查看是否成功:
1 | ┌──(kali㉿kali)-[/root] |
相关推荐
2024-02-18
Linux Dirty COW 概述
Linux Dirty COW 概述1 Dirty COW 概述Dirty COW(Dirty Copy-on-Write)是一个计算机安全漏洞,也被称为 CVE-2016-5195。它于 2016 年首次公开,并且影响了许多基于 Linux 操作系统的设备和系统。 Dirty COW 漏洞存在于 Linux 内核的内存子系统中,具体影响了 Copy-on-Write(COW)机制。COW 是一种内存管理技术,在多个进程之间共享内存页面时使用。当一个进程试图修改共享页面时,操作系统会创建该页面的副本,以确保进程之间的数据隔离。然而,Dirty COW 漏洞允许恶意用户利用 COW 机制中的一个错误,以非法方式修改共享页面,绕过了操作系统的保护机制。 漏洞影响范围:Linux kernel 2.6.22以来的所有稳定版本:这包括2.6.22、2.6.32、3.x、4.x等版本。(2007 年发现,到 2016 年 10 月 18 日才修复) 并且 Android 也受影响。 Red Hat Enterprise Linux (RHEL) 5、6 和 7 的内核版本。 CentOS...
2024-02-18
Linux Dirty Pipe 概述
Linux Dirty Pipe 概述1 Dirty Pipe 概述CVE-2022-0847-DirtyPipe-Exploit 存在于 Linux 内核 5.8 及之后版本中的本地提权漏洞。漏洞原理类似于 CVE-2016-5195 脏牛漏洞(Dirty Cow),但它更容易被利用,漏洞作者将此漏洞命名为 Dirty Pipe。 漏洞影响范围:5.8 <= Linux 内核版本 < 5.16.11 / 5.15.25 / 5.10.102 2 Dirty Pipe 复现这里使用 Ubuntu 20.04 作为测试环境,使用 Traitor 进行复现。 查看当前用户权限与内核: 1234yongz@ubuntu:/tmp$ iduid=1003(yongz) gid=1003(yongz) groups=1003(yongz)yongz@ubuntu:/tmp$ uname -aLinux ubuntu 5.8.0-41-generic #46~20.04.1-Ubuntu SMP Mon Jan 18 17:52:23 UTC 2021 x86_64 x86_64...
2023-02-16
Linux passwd 文件提权
Linux passwd 文件提权对于一个正常的 /etc/passwd 文件来说,他的权限如下所示: 123┌──(root㉿kali)-[~]└─# ls -l /etc/passwd -rw-r--r-- 1 root root 3163 Aug 21 14:59 /etc/passwd 根据所学权限可以看出,/etc/passwd 默认是主要 root 用户可读可写,root 组与其他组可读。 但是,假设运维人员突然抽了一下,将权限改为任意用户可读可写时,就会产生隐患: 1234567891011121314┌──(root㉿kali)-[~]└─# chmod o+w /etc/passwd ┌──(root㉿kali)-[~]└─# ls -l /etc/passwd -rw-r--rw- 1 root root 3163 Aug 21 14:59 /etc/passwd┌─...
2023-11-13
Linux rbash 限制绕过
Linux rbash 限制绕过最近在打 Vulnhub,遇到了 rbash 需要绕过。 看着方法也很多,怕以后也遇到,写篇文章总结一下。 本篇文章参考: https://man.cx/bash https://www.lxlinux.net/restricted-shell.html https://www.hackingarticles.in/multiple-methods-to-bypass-restricted-shell/ https://blog.csdn.net/qq_60848021/article/details/130041922 1 rbash 介绍rbash(restricted bash):是一种受限制的 Unix / Linux shell 环境,它是 Bash Shell 的一种变体,旨在提供一种更安全的 Shell 环境,限制用户对系统的访问和操作权限。 当用户被分配了 rbash 作为其默认 Shell 时,他们将无法执行许多常见的操作,例如:更改当前工作目录、重定向输入 / 输出、使用某些命令或设置特定的环境变量。 rbash 通常用于限...
2023-10-11
Linux 特殊权限位说明
Linux 特殊权限位说明在复杂多变的生产环境中,单纯设置文件的 rwx 权限无法满足我们对安全和灵活性的需求,因此便有了 SUID、SGID 与 SBIT 的特殊权限位。这是一种对文件权限进行设置的特殊功能,可以与一般权限同时使用,以弥补一般权限不能实现的功能。 1 SUIDSUID(Set User ID) 是一种权限机制,通常用于 UNIX 和类 UNIX 系统中。它允许用户在执行特定程序时暂时获取该程序所有者的权限,而不是执行者的权限。这对于一些需要特殊权限才能完成的任务非常有用,例如修改系统文件或执行特定的系统命令。 特点如下: SUID 权限仅对二进制可执行文件有效; 如果执行者对于该二进制可执行文件具有 x 的权限,执行者将具有该文件的所有者的权限; 本权限仅在执行该二进制可执行文件的过程中有效; SUID 在权限位置有两种显示方式: 当命令所属用户具有 x 执行权限时为:s; 当命令所属用户不具有 x 执行权限时为:S。 123┌──(root㉿kali)-[~]└─# ls -l /usr/bin/passwd -rwsr-xr-x 1 ...
2023-10-18
Linux 计划任务反弹 Shell 探究
Linux 计划任务反弹 Shell 探究本篇文章参考自: https://mp.weixin.qq.com/s/rmUXqYulX3pyrNfINk90WQ 看本篇文章之前,建议阅读一下之前写的:Linux Bash Shell 探究,不然容易把人看蒙。 计划任务功能在 Windows 系统、Linux 系统中历史很悠久了,方便运维管理。 而在渗透测试中,利用到计划任务的常见的有:挖矿病毒、Redis 未授权、Docker 特权模式逃逸、Cron 提权等,但是在 RedHat 系与 Debian 系 Linux 的计划任务是有一定的区别的,不仔细研究一下遇到了真的很折磨人(深受其害,每次遇到都是问题,淦)。 想起来之前学习 ActiveMQ 漏洞时使用 Corn 提权在 Kali 上复现了一遍,就踩了不少坑。 果然,懒惰乃万恶之源,是时候还债了。 注:本篇文章主要选取两系中的一个作为演示 RedHat 系:CentOS 7 - 10.10.8.137 Debian 系:Kali 2023.3 - 10.10.8.134 1 问题列举 bash -i >&...
