linux用戶提權

A. linux 提權-SUID提權

最近想著學習linux提權的一些姿勢，這里簡單分享學習SUID提權的一些知識點。

先來父復習一下linux文件的許可權分配。
ls命令用來查看系統上面的文件、目錄的許可權。

欄位的第一個字元表示對象的類型。

之後是每三個字元為一組，每一組定義了3種訪問許可權。

這三組分別表示文件所有者（Owner）、用戶組（Group）、其它用戶（Other Users）。

然後規定用數字4、2和1表示讀、寫、執行許可權。即r=4，w=2，x=1。
所以

chmod改變許可權

chown用來更改某個目錄或文件的用戶名和用戶組
該命令需要root許可權運行

而文件許可權除了r、w、x外還有s、t、i、a許可權。

SUID
當執行的文件被賦予了s許可權，就被稱為Set UID，簡稱為SUID的特殊許可權。八進制數為4000。

舉個例子：
linux修改密碼的passwd就是個設置了SUID的程序。因為如果普通賬號cseroad需要修改密碼，就要訪問/etc/shadow，但是該文件只有root能訪問。那他是怎麼修改的呢？原理：
查看該程序，發現被賦予了s許可權。當cseroad需要修改自己的密碼時，passwd程序的所有者為root，cseroad用戶執行passwd 程序的過程中會暫時獲得root許可權，所以可以修改/etc/shadow文件。

SGID
而當s標志出現在用戶組的x許可權時則稱為SGID。八進制數為2000。
當用戶對某一目錄有寫和執行許可權時，該用戶就可以在該目錄下建立文件，如果該目錄用SGID修飾，則該用戶在這個目錄下建立的文件都是屬於這個目錄所屬的組。（父目錄跟隨）

SBIT
就是Sticky Bit，出現在目錄的其他用戶執行許可權X上，標記為T，八進制數為1000。對目錄有效，使用者只能對自己創建的文件或目錄進行刪除/更名/移動等動作，而無法刪除他人文件(除非ROOT)

賦予s許可權：chmod 4755 filename 或者 chmod u+s /usr/bin/find
取消s許可權：chmod 755 filename 或者 chmod u-s /usr/bin/find

以centos為例。

還有額外的幾個命令

我們就可以通過覆蓋/etc/passwd文件，提權為root

默認該命令沒有s許可權

find命令
假如find命令被賦予s許可權。

創建a.txt文件，執行 /usr/bin/find a.txt -exec /bin/bash -p ; ，成功提權。

這里注意的是新版Linux系統對子進程的suid許可權進行了限制，不同的操作系統結果也會不一樣。
具體細節參考 https://cloud.tencent.com/developer/article/1674144

利用python可反彈得到root許可權的shell

python命令
根據 https://gtfobins.github.io/ 查找python利用姿勢。

條件是sudo安裝時需要輸入當前用戶密碼。

在實戰過程中，多查看 https://gtfobins.github.io/ 是否存在SUID提權，以及使用searchsploit命令查看某程序是否存在本地提權漏洞。

https://yoga7xm.top/2019/06/14/suid/
http://www.361way.com/suid-privilege/5965.html

B. Kali Linux 秘籍 第七章 許可權提升

我們已經獲得了想要攻擊的計算機的許可權。於是將許可權盡可能提升就非常重要。通常，我們能訪問較低許可權的用戶賬戶（計算機用戶），但是，我們的目標賬戶可能是管理員賬戶。這一章中我們會探索幾種提升許可權的方式。

這個秘籍中，我們會通過使用模擬令牌，模擬網路上的另一個用戶。令牌包含用於登錄會話和識別用戶、用戶組合用戶許可權的安全信息。當用戶登入 Windows 系統是，它們會得到一個訪問令牌，作為授權會話的一部分。令牌模擬允許我們通過模擬指定用戶來提升自己的許可權。例如，系統賬戶可能需要以管理員身份運行來處理特定的任務。並且他通常會在結束後讓渡提升的許可權。我們會使用這個弱點來提升我們的訪問許可權。

為了執行這個秘籍，我們需要：

我們從 Meterpreter 開始探索模擬令牌。你需要使用 Metasploit 來攻擊主機，以便獲得 Meterpreter shell。你可以使用第六章的秘籍之一，來通過 Metasploit 獲得訪問許可權。

下面是具體步驟：

這個秘籍中，我們以具有漏洞的主機開始，之後使用 Meterpreter 在這台主機上模擬另一個用戶的令牌。模擬攻擊的目的是盡可能選擇最高等級的用戶，最好是同樣跨域連接的某個人，並且使用它們的賬戶來深入挖掘該網路。

這個秘籍中，我們會在一台具有漏洞的主機上進行提權。本地提權允許我們訪問系統或域的用戶賬戶，從而利用我們所連接的當前系統。

為了執行這個秘籍，我們需要：

讓我們在 Meterpreter shell 中開始執行本地提權攻擊。你需要使用 Metasploit 攻擊某個主機來獲得 Meterpreter shell。你可以使用第六章的秘籍之一，來通過 Metasploit 獲得主機的訪問。

這個秘籍中，我們使用了 Meterpreter 對受害者的主機進行本地提權攻擊。我們從 Meterpreter 中開始這個秘籍。之後我們執行了 getsystem 命令，它允許 Meterpreter 嘗試在系統中提升我們的證書。如果成功了，我們就有了受害者主機上的系統級訪問許可權。

這個秘籍中，我們會探索社會工程工具包（SET）。SET 是個包含一些工具的框架，讓你能夠通過騙術來攻擊受害者。SET 由 David Kennedy 設計。這個工具很快就成為了滲透測試者工具庫中的標准。

掌握 SET 的步驟如下所示。

這個秘籍中，我們探索了 SET 的用法。SET 擁有菜單風格的介面，使它易於生成用於欺騙受害者的工具。我們以初始化 SET 開始，之後，SET 為我們提供了幾種攻擊方式。一旦我們選擇了它，SET 會跟 Metasploit 交互，同時詢問用戶一系列問題。在這個秘籍的最後，我們創建了可執行文件，它會提供給我們目標主機的 Meterpreter 活動會話。

作為替代，你可以從桌面上啟動 SET，訪問 Applications | Kali Linux | Exploitation Tools | Social Engineering Tools | Social Engineering Toolkit | Set 。

將你的載荷傳給受害者

下面的步驟會將你的載荷傳給受害者。

這個秘籍中，我們會探索如何使用 Metasploit 來收集受害者的數據。有幾種方式來完成這個任務，但是我們會探索在目標機器上記錄用戶擊鍵順序的方式。收集受害者數據可以讓我們獲得潛在的額外信息，我們可以將其用於進一步的攻擊中。對於我們的例子，我們會收集目標主機上用戶輸入的擊鍵順序。

為了執行這個秘籍，我們需要：

讓我們開始通過 Meterpreter shell 來收集受害者數據。你需要使用 Metasploit 攻擊某個主機來獲得 Meterpreter shell。你可以使用第六章的秘籍之一，來通過 Metasploit 獲得目標主機的訪問。

這個秘籍中，我們使用 Meterpreter 收集了受害者的數據。

有一種不同的方式，你可以使用它們來收集受害者機器上的數據。這個秘籍中，我們使用了 Metasploit 和 Metasploit keyscan 來記錄擊鍵順序，但是我們也可以使用 Wireshark 或 airomp-ng 來更簡單地收集數據。

這里的關鍵是探索其它工具，便於你找到最喜歡的工具來完成你的目標。

這個秘籍中，我們會使用 Metasploit 來清除我們的蹤跡。在黑進主機之後執行清理是個非常重要的步驟，因為你不想在經歷所有麻煩來獲得訪問許可權之後還被人查水表。幸運的是，Metasploit 擁有一種方式來非常簡單地清除我們的蹤跡。

為了執行這個秘籍，我們需要：

需要執行步驟如下所示：

這個秘籍中，我們使用 Meterpreter 來清理我們在目標主機上的蹤跡。我們從 Meterpreter 中開始這個秘籍，並啟動了 IRB（一個 Ruby 解釋器 shell）。下面，我們指定了想要清理的文件，並且最後鍵入了 Log.clear 命令來清理日誌。要記住，一旦我們黑進了某個主機，你需要在最後執行這一步。你不能在清理蹤跡之後再執行更多的操作，這樣只會更加更多的日誌條目。

這個秘籍中，我們會使用 Metasploit persistence 來創建永久後門。一旦你成功獲得了目標機器的訪問許可權，你需要探索重新獲得機器訪問權的方式，而不需要再次黑進它。如果目標機器的用戶做了一些事情來終端連接，比如重啟機器，後門的作用就是允許重新建立到你機器的連接。這就是創建後門非常方便的原因，它可以讓你控制目標機器的訪問。

為了執行這個秘籍，我們需要：

讓我們開始植入我們的永久後門。你需要使用 Metasploit 攻擊某個主機來獲得 Meterpreter shell。你可以使用第六章的秘籍之一，來通過 Metasploit 獲得目標主機的訪問。

這個秘籍中，我們使用 Meterpreter 來建立永久後門。我們在黑進目標主機並獲得 Meterpreter shell 之後開始了這個秘籍。之後我們通過瀏覽幫助文檔那個，探索了一些可用的永久化方式。最後，我們通過運行安裝命令並設置它的選項來完成後門的安裝。

這個秘籍中，我們會對目標進行中間人（MITM）攻擊。MITM攻擊允許我們竊聽目標和別人的通信。在我們的例子中，當某個 Windows 主機在 http://www.yahoo.com 收發郵件時，我們使用 Ettercap 來竊聽它的通信。

為了執行這個秘籍，我們需要：

讓我們啟動 Ettercap 來開始中間人攻擊。

這個秘籍包括 MITM 攻擊，它通過 ARP 包毒化來竊聽由用戶傳輸的無線通信。

C. 普通用戶linux如何提權

1、知道root密碼的情況下可以使用su -
2、沒有root密碼的情況下，事先讓root把普通用戶加入sudoers，並分配許可權。使用sudo

D. linux怎麼獲取root許可權

1、獲取root許可權linux系統都是一樣的，這里以ubuntu為例，用組合鍵Ctrl+Alt+T打開一個新的終端程序：

E. MYSQL提權(LINUX)

select @@global.secure_file_priv;
查看MySQL伺服器的文件讀寫許可權
如果是NULL就是完全禁止

udf提權用到的so文件（linux）在kali下默認集成，路徑為 /usr/share/sqlmap/udf/mysql/linux/64(32)

或者 searchsploit mysql udf

把對應的內容編譯出來

mysql創建函數命令

F. Linux用戶許可權管理命令

Linux系統中的用戶是分角色的，用戶的角色是由UID和GID來識別的（也就是說系統是識別的是用戶的UID、GID，而非用戶用戶名），一個UID是唯一（系統中唯一如同身份證一樣）用來標識系統的用戶賬號（用戶名）。

文件的用戶與用戶組分為超級管理員，普通用戶和系統用戶。
1）超級管理員的UID=0,GID=0，也可以這么說系統只要是識別出某個用戶的UIDGID都為0時，那麼這個用戶系統就認為是超級管理員。
2）普通用戶（管理員添加的），默認它的UIDGID是從500-65535,許可權很小，只能操作自己的家目錄中文件及子目錄（註：nobody它的UIDGID是65534）。
3）系統用戶，也稱虛擬用戶，也就是安裝系統時就默認存在的且不可登陸系統，它們的UIDGID是1-499。
我們可以通過cat /etc/passwd命令來查看所有的用戶信息，例如下圖，第三列是UID，第四列是GID：

創建用戶
useradd user1 創建用戶user1
useradd -e 12/30/2021 user2 創建用戶user2，有效期到2021-12-30
設置用戶密碼
passwd user1 設置密碼，有設置密碼的用戶不能用
這里設置密碼時可能會碰到密碼保護機制問題，這里需要注釋掉保護機制的問題
這個時候需要在編輯/etc/pam.d/system-auth文件，將其中的password requisite
和password sufficient兩行注釋掉，如下圖：

創建用戶組
groupadd –g 888 users 創建一個組users，其GID為888
groupadd users 不用g參數，使用默認的組ID

命令 gpasswd為組添加用戶
只有root和組管理員能夠改變組的成員：
gpasswd –a user1 users 把 user1加入users組
gpasswd –d user1 users 把 user1退出users組

命令groupmod修改組
groupmod –n user2 user1 修改組名user1為user2

groupdel刪除組
groupdel users 刪除組users

真正從安全性角度上來考慮的話，是要控制用戶一定執行命令的許可權，也就是哪些用戶可以執行哪些命令，不可以執行哪些命令，因此也就有了sudo這個應用，對於sudo提權，也就是修改/etc/sudoers的配置文件。

G. linux 2.6.32-71怎麼提權

1、知道root密碼的情況下可以使用su
-
2、沒有root密碼的情況下，事先讓root把普通用戶加入sudoers，並分配許可權。使用sudo