【网络安全】复现CVE-2019-14287漏洞

本文阅读 3 分钟
首页 Linux,系统 正文

复现CVE-2019-14287漏洞 原理:Sudo的全称是"superuserdo”,它是Linux系统管理指令,允许用户在不需要切换环境的前提下,以其它用户的权限运行应用程序或命令,通常是以root用户身份运行命令,以减少root用户的登录和管理时间,同时提高安全性,当在Linux操作系统上执行命令时,只有得到许可或者知道root密码,普通用户才可以使用sudo命令以root身份执行命令. 个人理解:(直白点讲就是,如果你入侵了他人的主机,可以利用该漏洞,进行权限升级,不用切换root,因为切换root的时候需要输入密码,用该漏洞可以跳过该步骤,获得权限)

那么开始实操吧! 1.打开contos7 liunx系统 (怎么安装虚拟机,就不讲了太简单了) img 2.部署可实现该漏洞的环境 img

3.查看版本 命令:sudo -V img

4.需要配置网络信息 命令: vim /etc/sudoers img

5.找到root行,在root下一行加入一个命令 命令:test ALL=(ALL,!root) ALL 这里的第一个ALL代表用户可以在任何地方使用我们的sudo(简单点讲,假如每个人家里都有智能空调,你可以在任意地点远程操纵你的空调,就是这个道理) (ALL,!root)该命令的意思就很简单了,表示除了root其他用户不可以使用sudo这个命令 最后一个ALL 表示被允许执行 img 输入完成之后,保存退出vim(这里不会的话,请学习下vim命令的使用)

6.利用漏洞 (1)先创建一个test用户,并且创建密码后切换到test用户 命令;新建;passwd test 切换;su test img (2)这时候会出现一个问题 img Test用户无权用root身份登录 那么怎么解决呢? 输入命令;sudo -u#1 id(这个就是体现了这个漏洞,原理上咱们限制了test 不能用root的命令,但是通过这个漏洞 成功的获得了root权限) img

这样就可以解决该问题了

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/weixin_50481708/article/details/123335470
-- 展开阅读全文 --
BUUCTF Web [极客大挑战 2019]Knife
« 上一篇 06-24
安全面试之XSS(跨站脚本攻击)
下一篇 » 07-24

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复