Linux利用udev提权

川长思鸟来 2022-10-02 02:53 232阅读 0赞

不少朋友老催我写个webshell+udev localroot的文章。这周末有点空闲时间，捣鼓了一下。公开的udev exploit有两个。[一个是kcope写的SHELL版本][kcope_SHELL]，[一个是jon写的C版本][jon_C]。

shell版本的执行起来有点问题，很明显已经以root身份执行了sh -c chown root:root /tmp/suid; chmod +s /tmp/suid 命令了，但是/tmp/suid的owner还是vtune，这个时候cpu负载很高。所以在利用这个漏洞的时候，注意观察系统的CPU负载。

[![ps][]][ps]

确认已经是获得root权限了，kill不掉。

\[vtune@RHEL5 ~\]$ killall sh  
sh(1787): Operation not permitted  
sh(1854): Operation not permitted  
sh: no process killed

反复exp之后，有可能还没返回root shell，这个时候不要泄气，看一下/tmp/suid的owner是不是root，如果是root，直接执行就可以获得root权限了。

\[vtune@RHEL5 tmp\]$ ls -l /tmp/suid  
\-rwsrwsr-x 1 root root 4945 Jun 6 16:14 /tmp/suid

c版本的我没成功过，我也在exp作者验证过的gentoo里测试过，无论是在redhat还是gentoo里，strace都返回下面的信息。

bind(3, \{sa\_family=AF\_NETLINK, pid=10836, groups=00000000\}, 12) = -1 EADDRINUSE (Address already in use)怀疑是这里出了问题。

从exp代码来看，C版本的exp更适合在webshell里提权，看了下jon的blog，竟然是博士，也不奢望他能指点一二了，继续尝试下 shell版本的好了。

在虚拟机里弄了个php shell，再转了个bind shell试了几次，竟然成功了。。。。后遗症就是sh进程占CPU 100%，这个善后处理一下即可。为啥那么多人都说webshell里无法成功提权-\_-

转载于:https://blog.51cto.com/pnig0s1992/401636

[kcope_SHELL]: http://www.milw0rm.com/exploits/8478
[jon_C]: http://www.milw0rm.com/exploits/8572
[ps]: http://baoz.net/wp-content/2009/06/ps.png