些新手朋友在拿到一個(gè)webshell后如果看到服務(wù)器是Linux或Unix操作系統(tǒng)的就直接放棄提權(quán),認(rèn)為L(zhǎng)inux或Unix下的提權(quán)很難,不是大家能做的,其實(shí)Linux下的提權(quán)并沒(méi)有很多人想象的那么難,你真去嘗試做了,也許你就會(huì)發(fā)現(xiàn)Linux下的提權(quán)并不難,尤其是一些簡(jiǎn)單的提權(quán)方法是很容易學(xué)會(huì)的。Linux下的提權(quán)我知道的比較簡(jiǎn)單的方法都是在命令行下完成的,很多新手叉子可能根本沒(méi)接觸過(guò)Linux下的一些常用命令,今天給大家介紹一些Linux下提權(quán)過(guò)程中常用到的Linux命令,由于我也是剛學(xué)了幾個(gè)Linux命令,介紹的不對(duì)或不全的還請(qǐng)大家多多指正和諒解。
對(duì)大家來(lái)說(shuō),在Linux下的提權(quán)最簡(jiǎn)單也是最有效的方法就是通過(guò)本地溢出漏洞提權(quán)。找到合適的漏洞利用程序在命令行下運(yùn)行一下就完成了提權(quán)。
由于Linux下的提權(quán)大多是在命令行下進(jìn)行的,因此要提權(quán)首先要得到一個(gè)執(zhí)行命令的地方。我們最先得到的是一個(gè)webshell,比如PhpSpy。盡管很多Webshell提供了在Linux下執(zhí)行命令的功能,但往往只能執(zhí)行一些不需要交互的命令,因此我們首先要得到一個(gè)可執(zhí)行交互命令的窗口,用到的方法是反彈shell到本地。PhpSpy自帶了這個(gè)功能,名為“Back Connect”。
要想反彈回shell,你需要一臺(tái)有公網(wǎng)lP的電腦(當(dāng)然了,只有內(nèi)網(wǎng)IP的電腦做了端口映射也可以),然后在你要反彈回來(lái)的電腦上首先用nc來(lái)監(jiān)聽(tīng)要反彈回來(lái)的端口,如果要反彈回來(lái)的端口為12345,就執(zhí)行nc -vv -|-p 12345來(lái)監(jiān)聽(tīng)12345端口。
然后回到PhpSpy中的”Back Connec”,在“Your IP”后面自動(dòng)識(shí)別除了你當(dāng)前電腦的公網(wǎng)IP,如果要反彈到別的電腦上請(qǐng)輸入要反彈電腦的IP,我這里要反彈到本機(jī),就不需要修改了,“You Port”是你要反彈電腦上正在監(jiān)聽(tīng)的端口,默認(rèn)為12345,知道我上面為什么在本機(jī)監(jiān)聽(tīng)12345端口了吧,就是在這里不需要修改“Your Port”了,當(dāng)然,你也可以在本地監(jiān)聽(tīng)123456端口,然后把“Your Port”也修改成對(duì)應(yīng)的123456端口就行了。點(diǎn)“Start”按鈕進(jìn)行反彈,過(guò)一會(huì)兒本機(jī)的監(jiān)聽(tīng)窗口看到類(lèi)似信息就說(shuō)明反彈成功了,得到了一個(gè)可執(zhí)行交互命令的窗口。接下來(lái)執(zhí)行命令的效果和在Ubuntu的終端中執(zhí)行命令的效果幾乎完全相同,所以我在Ubuntu 10.10的終端中執(zhí)行常用的提權(quán)中用到的命令來(lái)給大家演示。
在反彈回來(lái)的權(quán)限較低的shell的命令窗口中有權(quán)限執(zhí)行的命令有:
1、uname
輸出一組系統(tǒng)信息。如果不跟隨選項(xiàng),則視為只附加-s選項(xiàng)。常跟的參數(shù)有-a,在我的Ubuntu
10.10的終端中執(zhí)行uname-a命令后顯示,其中最前面的Linux表示是基于Linux內(nèi)核的,2.6.35-28是具體的內(nèi)核版本號(hào)。這個(gè)內(nèi)核版本號(hào)非常重要,因?yàn)槿绻遣捎靡绯雎┒刺釞?quán)的話內(nèi)核版本號(hào)是尋找溢出漏洞利用程序最重要的參考信息,根據(jù)當(dāng)前的內(nèi)核版本號(hào)尋找適用于這個(gè)版本號(hào)的漏洞利用程序。
2、pwd
獲得當(dāng)前目錄,在用webshell上傳漏洞和用程序前執(zhí)行一下pwd命令獲得當(dāng)前目錄,把漏洞利用程序直接上傳到當(dāng)前目錄,在執(zhí)行漏洞利用程序時(shí)就可以免去輸入目錄的麻煩。執(zhí)行pwd命令后顯示/home/test,說(shuō)明當(dāng)前目錄為/home/test/。
另外,通過(guò)webshell比如PhpSpy的“Back Connect”反彈回來(lái)的shell默認(rèn)的當(dāng)前目錄為webshell所在的目錄。
3、ifconfig
顯示網(wǎng)絡(luò)配置信息,比如顯示有哪些網(wǎng)卡,每塊網(wǎng)卡的配置信息(IP地址、MAC地址、子網(wǎng)掩碼)等,常用參數(shù)-a執(zhí)行ifconfig-a命令后顯示。從信息可以知道,當(dāng)前系統(tǒng)共有一塊網(wǎng)卡etho,IP地址為192.168.19.138,子網(wǎng)掩碼為255.255.255.0。
4、netstat
顯示當(dāng)前的網(wǎng)絡(luò)連接狀態(tài),與Windows系統(tǒng)下的netstat命令寫(xiě)法相同,功能也差不多。
執(zhí)行netstat后顯示了很多網(wǎng)絡(luò)連接的信息。
5、ps
ps是用來(lái)報(bào)告程序執(zhí)行狀況的指令,你可以搭配kill指令隨時(shí)中斷,刪除不必要的程序。常用的參數(shù)有a,u,x
a 顯示現(xiàn)行終端機(jī)下的所有程序,包括其他用戶(hù)的程序。
u 以用戶(hù)為主的格式來(lái)顯示程序狀況。
x 顯示所有程序,不以終端機(jī)來(lái)區(qū)分。
執(zhí)行ps aux命令后顯示,顯示了程序的進(jìn)程id,CPU占用率等詳細(xì)信息,如果要結(jié)束某個(gè)程
序,只需要用命令kill-9 PID就可以結(jié)束,其中PID就是在執(zhí)行ps aux命令時(shí)顯示的程序的PID,當(dāng)然前提是要有相應(yīng)的權(quán)限。
6、gcc
很多Linux下的漏洞利用程序都是用C語(yǔ)言寫(xiě)的,我們得到的很多時(shí)候是漏洞利用程序的C語(yǔ)言的源代碼,要想得到可執(zhí)行程序,需要對(duì)源代碼進(jìn)行編輯,這時(shí)候就用到大名鼎鼎的gcc了。個(gè)別情況下可能因?yàn)榧嫒菪缘脑虮仨毿枰谝釞?quán)的Linux主機(jī)上編譯漏洞利用程序,這時(shí)候也需要用到gcc。GCC(GNU Compiler Collection,GNU編譯器套裝),是一套由GNU開(kāi)發(fā)的編程語(yǔ)言編譯器。它是一套以GPL及LGPL許可證所發(fā)行的自由軟件,也是GNU計(jì)劃的關(guān)鍵部分,亦是自由的類(lèi)Unix及蘋(píng)果電腦Mac OS X操作系統(tǒng)的標(biāo)準(zhǔn)編譯器。GCC原
名為GNUC語(yǔ)言編譯器,因?yàn)樗局荒芴幚鞢語(yǔ)言,GCC很快地?cái)U(kuò)展,變得可處理C++,之后也變得可處理Fortran、Pascal、Objective-C、Java,以及Ada與其他語(yǔ)言。
在大多數(shù)情況下,你在本地的Linux系統(tǒng)中編譯好的溢出漏洞利用程序直接上傳到要提權(quán)的Linux主機(jī)上也能正常使用,不是必須要在要提權(quán)的主機(jī)上編譯溢出漏洞的利用程序。因?yàn)間cc特別強(qiáng)大,功能特別多,用法也特別多,要講全的話估計(jì)要一本厚書(shū)的篇幅,這里不可能一一介紹,只介紹Linux提權(quán)中常用到的兩個(gè)方面:
(1)gcc-v
查看安裝的gcc的版本,我們的目的是通過(guò)執(zhí)行g(shù)cc-v命令確認(rèn)系統(tǒng)是否安裝了gcc,如果安裝了會(huì)顯示安裝的gcc的版本號(hào)如果提示找不到命令等說(shuō)明gcc沒(méi)有安裝。Ubuntu 10.10默認(rèn)安裝了gcc。
(2)另一個(gè)用到的重要功能就是把漏洞利用程序的源代碼編譯成可執(zhí)行程序了。假設(shè)溢出漏洞利用程序源代碼文件是exp.c,通過(guò)websbell把exp.c上傳到了要提權(quán)的Linux主機(jī)的當(dāng)前目錄下,在反彈回來(lái)的命令窗口中執(zhí)行g(shù)cc-o exp exp.c,就會(huì)把exp.c編程成可執(zhí)行程序exp,其中-o參數(shù)后面跟著的是編譯生成的可執(zhí)行程序的名字,這里為exp,另一個(gè)參數(shù)exp.c是要編譯的溢出漏洞利用程序源代碼的文件名,這里為exp.c。執(zhí)行命令后如果沒(méi)有錯(cuò)誤提示就說(shuō)明編譯成功了。執(zhí)行一下命令ls,發(fā)現(xiàn)可執(zhí)行文件exp已經(jīng)生成了。
接下來(lái)輸入./exp就可以運(yùn)行漏洞利用程序exp了,如果溢出成功會(huì)顯示,注意下面的那個(gè)#,對(duì)Linux有點(diǎn)了解的都知道#對(duì)應(yīng)的是root權(quán)限,看到#就說(shuō)明提權(quán)成功了,接下來(lái)你就可以以root權(quán)限運(yùn)行各種命令了。
在通過(guò)溢出漏洞獲得root權(quán)限后,能執(zhí)行的命令就多了,很多沒(méi)提權(quán)前沒(méi)權(quán)限執(zhí)行的命令現(xiàn)在都可以執(zhí)行了。這時(shí)候可以執(zhí)行一些命令來(lái)獲取一些敏感信息或進(jìn)行留后門(mén)清理日志等操作,方便更好的控制提權(quán)成功的服務(wù)器。
1、cat .bash_history
查看該用戶(hù)曾經(jīng)執(zhí)行過(guò)的命令,也就是查看root用戶(hù)執(zhí)行過(guò)的命令。因?yàn)長(zhǎng)inux下很多管理操作都是在命令行下完成的,而正常情況下用root用戶(hù)執(zhí)行命令的是管理員,通過(guò)查看管理員輸入的命令,可能得到很多敏感信息。
2、cat/etc/passwd cat/etc/shadow
分別執(zhí)行cat/etc/passwd,cat/etc/shadow命令后得到passwd和shadow的內(nèi)容,把兩個(gè)文件的內(nèi)容保存到本地用john掛字典嘗試破解root用戶(hù)的密碼,具體怎么破可以自己查詢(xún)相關(guān)信息。cat/etc/shadow只有root權(quán)限才能執(zhí)行。
3、chmod
在提權(quán)成功獲得root權(quán)限后你如果想下載服務(wù)器上的一個(gè)文件到本地,我的方法是先執(zhí)行cp命令把要下載的文件復(fù)制到網(wǎng)站的Web目錄下,但復(fù)制過(guò)去的文件只有root用戶(hù)能訪問(wèn),直接用瀏覽器下載會(huì)提示沒(méi)有權(quán)限,這時(shí)候就需要用到chmod命令了。chmod命令的作用是變更文件或目錄的權(quán)限。如果要下載的文件是shadow1,執(zhí)行命令chmod 777./shadow1后就可以直接用瀏覽器下載了,不會(huì)再有權(quán)限問(wèn)題了。
當(dāng)然,在獲得root權(quán)限后還可以做很多事,比如安裝后門(mén),想辦法搞到root用戶(hù)的密碼等,可惜我不會(huì),也和本文的題目“Linux下提權(quán)常用小命令”關(guān)系不大,這里就不介紹了。在實(shí)際提權(quán)過(guò)程中用到的命令可能遠(yuǎn)不止這么多,我介紹的都是大路邊的最常用的。由于我對(duì)Linux幾乎也是一竅不通,有介紹的不對(duì)的地方還請(qǐng)大家諒解。
以后大家們遇到Linux主機(jī),不要不敢去嘗試提權(quán),大膽嘗試,往往會(huì)有驚喜和收獲。
