本文記錄在 Pentesters Academy – Linux Privilege Escalation Boot camp 的經驗和學習。
LAB: Cron Jobs Gone Wild 本試驗通過利用crontab中的配置問題進行權限提升
- 尋找suid的bin文件,無相關文件,但當前用戶有權管理 cron 服務,因此可以啟動/停止/重新啟動或檢查服務的狀態,可以看到crontab運行中。
- 當前用戶在其 crontab 中沒有配置 cron 作業,並且全局 crontab 文件不包含任何價值信息
- 檢查/tmp/目錄發現 monitor.tar.gz每分鍾更新。由於沒有其他用戶操作,所以它必定是crontab操作。
- 壓縮文件中有5 個名稱為 1 - 5 的文件,查詢文件具體位置,判定具體文件路徑。
- 打包文件為/var/log/monitor包含所有文件,並且該目錄是全局可寫的。這意味着可以修改文件。
- 發現在目錄中創建的任何文件都將歸檔到/tmp/monitor.tar.gz
- 因此,根據上圖,判斷cron 定時任務可能正在執行以下操作
cd /var/log/monitor && tar -cf /tmp/monitor.tar.gz *
- 使用*時,文件名稱會被作為參數執行,如下:
- 使用上述信息來執行tar命令,可以使用--checkpoint和--checkpoint-action參數執行命令。root調用cron,通過tar執行/bin/bash獲取root權限:
