前往小程序,Get更优阅读体验!
立即前往
发布
社区首页 >专栏 >攻防靶场(35):提权之suid、systemd、lxd [InfosecPrepOSCP]

攻防靶场(35):提权之suid、systemd、lxd [InfosecPrepOSCP]

作者头像
OneMoreThink
发布2025-01-10 13:11:01
发布2025-01-10 13:11:01
720
举报
文章被收录于专栏:OneMoreThink的专栏

靶场下载地址:https://www.vulnhub.com/entry/infosec-prep-oscp,508/

1. 侦查

1.1 收集目标网络信息:IP地址

靶机启动后,直接获得IP地址。

1.2 主动扫描:扫描IP地址段

对靶机进行全端口扫描、服务扫描、版本扫描,发现22/SSH、80/HTTP、33060/TCP。

1.3 主动扫描:字典扫描

扫描80/HTTP的目录和页面

在robots.txt文件中发现secret.txt文件

secret.txt文件是一串base64编码的字符串

解密后是SSH私钥

2. 初始访问

2.1 有效账户:本地帐号

使用私钥可以登录oscp帐号

获得oscp用户权限

3. 权限提升

3.1 滥用特权控制机制:Setuid和Setgid

bash命令具有root用户的suid权限

bash命令能够用于提权

最终获得root用户权限

3.2 创建或修改系统进程:Systemd服务

/home/oscp/ip 脚本有些可疑,因为里面的命令,oscp用户是没有权限执行的

猜测root用户会自动执行,但未找到对应的计划任务,使用pspy工具也未发现对应的系统进程,最终在 /etc/systemd/ 目录中找到了对应的自启服务。

oscp用户有 /home/oscp/ 目录的execute权限,可以强制修改目录中的文件,即使没有文件的write权限

添加反弹shell后重启靶机,可以获得root用户权限

3.3 利用漏洞提权:LXD程序

oscp用户是lxd用户组的成员,可以通过创建特权容器实例并挂载宿主机磁盘的方式,读取宿主机中的任意文件

初始化LXD程序

获取 Alpine Linux 镜像,上传到目标靶机中,并导入到LXC中

使用 Alpine Linux 镜像,创建容器实例,并以特权模式运行

在容器实例中挂载宿主机磁盘

启动容器实例,在容器中执行返回shell的命令,获得容器权限

在容器中读取宿主机中的任意文件

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2025-01-10,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 OneMoreThink 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 1. 侦查
    • 1.1 收集目标网络信息:IP地址
      • 1.2 主动扫描:扫描IP地址段
        • 1.3 主动扫描:字典扫描
        • 2. 初始访问
          • 2.1 有效账户:本地帐号
          • 3. 权限提升
            • 3.1 滥用特权控制机制:Setuid和Setgid
              • 3.2 创建或修改系统进程:Systemd服务
                • 3.3 利用漏洞提权:LXD程序
                领券
                问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档