Saba沙巴电竞

在这篇文章中
，我们将介绍一些在基于Linux的设备上通过利用Python库和剧本提升权限的步骤。

1.介绍

通常来说
，当攻击者处于有python文件的环境中
，能够用来提升其接见权限的方式比力有限。本文将介绍利用写权限、sudo权限和编纂Path变量,这三种提权方式。

为了方便演示
，我们先创建一个导入一些库的示例剧本。在现实情况中
，这可能是个通常的python剧本或是一个开发人怨佚在进行的项目。在CTF角逐中
，可能很容易找到一个蕴含与此相类似的剧本。我们创建的示例剧本中
，首先导入webbrowser
？
，而后使用open函数来运行设备上的默认web浏览器
，来打开/网页（此处以Saba沙巴电竞官网举例）
，如图1-1。

                   图1-1能够看到运行剧本法式会打开Saba沙巴电竞官网

步骤一：这个缝隙利用是基于我们导入的
？槲募要拥有写权限。当被导入的
？槲募拥有允许任何用户编纂的权限时
，它就可能成为一个缝隙。在我们创建的python示例剧本中
，挪用了webbrowser.py
？槲募。为了更好地相识这种提权方式
，我们将首先在ubuntu环境中创建脆弱性缝隙环境
，而后使用另一个机械来攻击利用这个缝隙。

缝隙创建：正如前文所讲
，在这种步骤中
，缝隙是基于
？槲募的权限。为了机关这个缝隙
，我们首先必要找到
？槲募。我们能够用locate号令来找到它
，当然也能够利用find之类的号令进行查找。我们能够看到它位于/usr/lib/python3.8/里面
，而后我们能够看到
，
？槲募的默认权限是：所有者有读、写、执行的权限
，组有执行和读的权限
，其他用户只有执行的权限。这意味着除非用户是root权限
，不然任何人不能编纂该文件。为了机关这个缝隙
，我们必要用chmod号令扭转一下权限
，使每个用户都能够读取、写入和执行。这从下图1-2中能够看到。

                  图1-2能够看到所有效户对文件拥有读
，写
，执行权限。

要想让Linux机械变得易受攻击
，下一步要做的就是提供一个运行python剧本的步骤。最单一的步骤是写入sudoers文件中
，这样攻击者（能够接见用户lele）就能够执行我们创建的python剧本（hack.py）。如图1-3.

图1-3

以上就是一个齐全使机械容易受到Python库劫持的攻击的过程
，其余没有提到的配置都为Linux的默认配置。

缝隙利用：该缝隙利用的前提是我们在指标机上已经获得初始安身点。而后我们能够利用这种步骤在获得初始安身点后提升权限。为了仿照这种情况
，我们先以用户lele的身份衔接到指标机。作为一个必要提升权限的攻击者
，我们运行sudo -l号令
，看看哪些剧本或二进造文件是以提升的权限运行的
Ｄ芄豢吹
，我们能使用python3.8来运行hack.py。作为一个攻击者
，我们使用cat号令查看剧本内容
，看到它导入一个名为webbrowser的
？。我们使用locate号令找到该
？榈牡匚
，发现它位于/usr/lib/python3.8中。而后我们还能够发现lele用户占有该
？榈男慈ㄏ。如图1-4
，图1-5所示。

                     图1-4能够看到哪些剧本占有root权限

                   图1-5能够看到指标剧本所处地位

我们用vim编纂器打开该
？槲募
，而后在被hack.py文件挪用的函数里面参与了反弹shell的python剧本。在前面我们能够看到
，它使用一个open函数在浏览器中打开了一个网页。因而
，我们将反弹shell的代码增长到该
？槲募中
，如下图1-6所示。

vim /usr/lib/python3.8/webbrowser.py

                      图1-6将反弹shell的代码写入图中地位

编纂完
？槲募后
，我们保留并关关编纂器。打开ctf机械的另一台终端
，我们在shellcode剧本中指定的端口上打开一个Netcat监听器
，而后以lele用户回到终端
，用sudo执行hack.py剧本
，如图1-7所示。

                               图1-7

当剧本运行时
，我们就能够看到一个会话衔接到了Saba沙巴电竞Netcat监听器。通过whoami号令和id号令能够看到我们已经成功地将Linux权限从lele用户提升到了root权限用户。

步骤二：

这个缝隙是基于Python库蹊径的优先级挨次
，它合用于我们剧本在导入的
？槲募。当一个
？樵诰绫局斜坏既胧
，Python会以特定的优先挨次在默认目录中寻找特定的
？槲募。在我们创建的python剧本中
，我们有webbrowser.py
？槲募被挪用。由于若是在与原始剧本一样的目录下存在一个Python
？槲募
，它将获得优吓宗默认蹊径的职位。为了更好地相识背后产生了什么
，以及怎么样导致权限升级的
，我们先在ubuntu环境中创建缝隙
，而后使用另一个机械Linux来利用这个缝隙。

缝隙构建：

正如前面所会商的
，在这种步骤中
，缝隙是基于
？槲募执行的优先挨次。为了机关这个缝隙
，首先
，我们必要把步骤一参与的反弹shell的代码注解掉或者直接删掉（如图2-1）
，预防产生滋扰
，而后复原我们先前赋予文件的权限（如图2-2）。这样
，这台机械就不会在多个方面出现缝隙。

图2-1 注解掉先前加的反弹shell代码

图2-2复原webbrowser.py的权限。

接下来,我们回到我们先前创建的python剧本。我们能够看到,它位于lele用户的home目录下,它依然蕴含一样的代码,必要导入 webbrowser
？
，如图2-3所示。

                             图2-3

sudoers文件中与步骤一中的编写一致
，使其蕴含剧本hack.py的正确蹊径
，如图2-4所示。

图2-4

以上是一个齐全的使机械容易受到Python库劫持的攻击过程。其余没有提到的配置都为Linux的默认配置。

缝隙利用：

同样
，该缝隙利用的前提是我们在指标机上已经获得初始安身点。而后我们能够利用这种步骤在获得初始安身点后提升权限。为了仿照这种情况
，我们以用户lele的身份衔接到指标机械。作为一个必要提升权限的攻击者
，我们运行sudo -l号令
，看看我们能够用哪些剧本或二进造文件是以提升的权限运行的。我们看到
，我们能够使用python3.8来运行hack.py。作为一个攻击者
，我们使用cat号令查看该剧本
，看到它导入了一个名为webbrowser的
？
，如图2-5。

图2-5

由于 hack.py 位于 lele 用户的主目录内
，而我们有 lele 用户的接见权限
，我们能够在主目录内创建一个文件。在这种情况下
，必要把稳的是我们不能编纂 hack.py 文件。在这种情况下
，我们将创建一个webbrowser.py文件。而后在创建的webbrowser.py文件中增长反弹shell的代码。如图2-6

图2-6 反弹shell代码

接下来,我们必要运行一个Netcat侦听器端口,我们提到在反向shellcode。而后我们将持续使用sudo执行hakc.py剧本
，如图2-7。

图2-7

当剧本运行时,我们看到一个会话衔接到Netcat侦听器；峄暗膇d号令证明在指标机械上已经是root权限。我们已经成功地把lele用户提升特权为root用户
，如图2-8。

图2-8提权为root权限

步骤3

这个缝隙是通过Python PATH环境变量进行搜索的Python库来利用的。这个变量有一个目录列表
，在这个列表中
，Python会搜索导入
？榈姆制缒柯。若是攻击者可能扭转或批改该变量
，那么他们就能够利用它来提升指标机械的权限。为了更好地相识是怎么样导致权限升级的
，我们和前面一样先在ubuntu环境中创建缝隙
，而后使用另一台Linux来攻击利用这个缝隙。

缝隙构建

正如前面所会商的
，这个步骤的缝隙利用是基于python环境path变量的。为了机关这个缝隙
，首先
，和前面一样
，我们必要复原Linux环境到最初的配置。而后
，在tmp目录内创建hack.py剧本
，我们能够验证该剧本的内容与之前一样
，如图3-1
，图3-2所示。

图3-1运行该剧本会打开Saba沙巴电竞官网

图3-2 能够看到剧本内容

接下来
，我们必要在sudoers文件中做一些批改。首先
，我们把文件的地位改为/tmp目录
，而后在文件中参与SETENV象征
，如图3-3所示。这意味着lele用户能够使器拥有sudo权限的SETENV号令
，而无需输入root密码。SETENV是个能够扭转Python PATH环境变量的值
，并将任何地位纳入我们在前面的步骤中学到的执行挨次的号令。

图3-3给Saba沙巴电竞文件加上SETENV象征配置环境变量

以上就是使机械容易受到Python库劫持的齐全过程。其余没有提到的配置都被设置为Linux的默认配置。

缝隙利用

同样
，该缝隙利用的前提是我们在指标机上已经获得初始安身点。而后我们能够利用这种步骤在获得初始安身点后提升权限。为了仿照这种情况
，我们以用户lele的身份衔接到指标机械。作为一个必要提升权限的攻击者
，我们运行sudo -l号令
，看看我们能够用哪些剧本或二进造文件是以提升的权限运行的。我们看到
，我们能够用root权限使用SETENV,这意味着我们能够用它来扭转导入
？榈挠畔劝ご。由于hack.py位于/tmp目录内
，我们进入其中并查抄hack.py剧本,如图3-4所示。

图3-4 能够看到已经以root权限进行设置环境变量

由于它必要导入webbrowser
？
，我们首先将创建一个名为webbrowser.py的恶意
？槲募
，而后利用扭转环境变量Python PATH的能力导入Saba沙巴电竞恶意
？槲募
，恶意
？槲募中蕴含反弹shell的代码。如图3-5接着在剧本中提到的统一端口上启动一个Netcat监听器
，并持续将/tmp目录增长到Python蹊径中
，而后执行hack.py文件以提升Saba沙巴电竞接见权限。

图3-5恶意
？槲募里蕴含反弹shell的代码

当剧本运行时
，我们能够看到一个会话衔接到了Saba沙巴电竞Netcat监听器。whoami和id号令讲了然我们已经成功地将权限从lele用户提升到了root权限用户
，如图3-6。

图3-6已经从通常接见权限提权为root权限

在这篇文章中
，我们通过报答的为Python库的环境设置三个真实的场景
，而后介绍了一些谬误的配置可能导致攻击者将其接见权限提升到root权限级此外步骤。