Linux Priv Escalation через crontab

Discussion in 'Уязвимости' started by BenderMR, 4 Jul 2019.

  1. BenderMR

    BenderMR Member

    Joined:
    23 Feb 2019
    Messages:
    65
    Likes Received:
    23
    Reputations:
    10
    День добрый, хакеры, и не только.
    Который день пытаюсь порутать сервер. Сплоитов под него нет, конфиги все вроде бы в порядке.
    Пришла мысль что можно отредачить файл, который запускается кроном каждый день.
    Используя команду:
    Code:
    >crontab -l
    Получаем такие записи:
    Code:
    MAILTO="user1@mail.ru"
    SHELL="/bin/bash"
    0 0 1 * * /home/user1/public_html/crons/deals.php
    Где deals.php это обычный парсер, который я могу изменять. Его код:
    Code:
    #!/usr/local/bin/php -q
    <?php
    ob_start();
    error_reporting(E_CORE_ERROR);
    //error_reporting(E_ALL);
    //test
    session_start();
    session_name('site.com');
    //require_once($_SERVER['DOCUMENT_ROOT'].'/library/GoogleTranslater.php');
    require_once $_SERVER['DOCUMENT_ROOT'].'/options.php';
    require_once($_SERVER['DOCUMENT_ROOT'].'/library/spider.php');
    
    $mysql =new sql_db(_SERVER, _USER, _PASSWD,_DBASE);
    $mysql->sql_char_set('utf8');
    GetDealsResult($mysql);
    ob_end_flush();
    echo 'Cron Worked';
    ?>

    Вопрос следующий, смогу ли прочитать содержимое /etc/shadow и сохранить в текстовик посредством вставки такого кода в начало файла?
    Code:
    <?php
    // моя вставочка
    shell_exec("cat /etc/shadow > secret_hashes.txt");
    // и все остальное
    ob_start();
    ...
    
    Подскажите куда вообще копать если сплойтов нет, конфиги ок и вообще не доебаться.
    P.S Как цель нужен полный дефейс ресурса, без возможности восстановления. Хотя я и так могу все стереть как в бд, так и файлы узера, но думаю с рутом закрепиться не помешает.
     
  2. vikaig

    vikaig Member

    Joined:
    3 Jul 2019
    Messages:
    13
    Likes Received:
    15
    Reputations:
    0
    Ну так ты ж редачишь кронтаб своего юзера, он не от рута будет запускаться, а от твоего юзера, это тебе не как не поможет
     
    dmax0fw likes this.
  3. BenderMR

    BenderMR Member

    Joined:
    23 Feb 2019
    Messages:
    65
    Likes Received:
    23
    Reputations:
    10
    Разве все задачи крона не под рутом работают?
     
  4. dmax0fw

    dmax0fw Level 8

    Joined:
    31 Dec 2017
    Messages:
    106
    Likes Received:
    128
    Reputations:
    46
    Сам демон под рутом, но задачи пользователя выполняются с правами пользователя
    Если админ логинится под этим пользователем и периодически поднимает права при помощи sudo, то можно через создание своего кастомного алиаса или функции в .bashrc перехватить пароль от sudo
     
  5. BenderMR

    BenderMR Member

    Joined:
    23 Feb 2019
    Messages:
    65
    Likes Received:
    23
    Reputations:
    10
    Юзер использует sudo пару раз в месяц.Можешь, пожалуйста, поподробнее как такую функцию сделать?
     
  6. vikaig

    vikaig Member

    Joined:
    3 Jul 2019
    Messages:
    13
    Likes Received:
    15
    Reputations:
    0
    BenderMR likes this.
  7. BenderMR

    BenderMR Member

    Joined:
    23 Feb 2019
    Messages:
    65
    Likes Received:
    23
    Reputations:
    10
    Попробовал так сделать. Получается новая функция заработает, когда юзер залогиниться в следуюзий раз, правильно понял? Потому что на данный момент
    Code:
    >type sudo
    sudo is hashed (/usr/bin/sudo)
    
    Что есть стандартным поведением.
    P.S система CentOS 6, там же так это работает как Ubuntu/Debian?
     
  8. BenderMR

    BenderMR Member

    Joined:
    23 Feb 2019
    Messages:
    65
    Likes Received:
    23
    Reputations:
    10
    Может кому пригодится:
    Нужно просто перелогиниться и все заработает
     
  9. grimnir

    grimnir Reservists Of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,117
    Likes Received:
    762
    Reputations:
    200
    _________________________
    dmax0fw likes this.
Loading...