Linux Priv Escalation через crontab

День добрый, хакеры, и не только.
Который день пытаюсь порутать сервер. Сплоитов под него нет, конфиги все вроде бы в порядке.
Пришла мысль что можно отредачить файл, который запускается кроном каждый день.
Используя команду:

Code:

>crontab -l

Получаем такие записи:

Spoiler: output

Code:

MAILTO="[email protected]"
SHELL="/bin/bash"
0 0 1 * * /home/user1/public_html/crons/deals.php

Где deals.php это обычный парсер, который я могу изменять. Его код:

Code:

#!/usr/local/bin/php -q
<?php
ob_start();
error_reporting(E_CORE_ERROR);
//error_reporting(E_ALL);
//test
session_start();
session_name('site.com');
//require_once($_SERVER['DOCUMENT_ROOT'].'/library/GoogleTranslater.php');
require_once $_SERVER['DOCUMENT_ROOT'].'/options.php';
require_once($_SERVER['DOCUMENT_ROOT'].'/library/spider.php');

$mysql =new sql_db(_SERVER, _USER, _PASSWD,_DBASE);
$mysql->sql_char_set('utf8');
GetDealsResult($mysql);
ob_end_flush();
echo 'Cron Worked';
?>

Вопрос следующий, смогу ли прочитать содержимое /etc/shadow и сохранить в текстовик посредством вставки такого кода в начало файла?

Code:

<?php
// моя вставочка
shell_exec("cat /etc/shadow > secret_hashes.txt");
// и все остальное
ob_start();
...

Подскажите куда вообще копать если сплойтов нет, конфиги ок и вообще не доебаться.
P.S Как цель нужен полный дефейс ресурса, без возможности восстановления. Хотя я и так могу все стереть как в бд, так и файлы узера, но думаю с рутом закрепиться не помешает.

 

Ну так ты ж редачишь кронтаб своего юзера, он не от рута будет запускаться, а от твоего юзера, это тебе не как не поможет

 

Разве все задачи крона не под рутом работают?

 

Сам демон под рутом, но задачи пользователя выполняются с правами пользователя

Если админ логинится под этим пользователем и периодически поднимает права при помощи sudo, то можно через создание своего кастомного алиаса или функции в .bashrc перехватить пароль от sudo

 

Юзер использует sudo пару раз в месяц.Можешь, пожалуйста, поподробнее как такую функцию сделать?

 

https://null-byte.wonderhowto.com/h...-sudo-passwords-without-any-cracking-0194190/

 

Попробовал так сделать. Получается новая функция заработает, когда юзер залогиниться в следуюзий раз, правильно понял? Потому что на данный момент

Code:

>type sudo
sudo is hashed (/usr/bin/sudo)

Что есть стандартным поведением.
P.S система CentOS 6, там же так это работает как Ubuntu/Debian?

 

Может кому пригодится:
Нужно просто перелогиниться и все заработает

 

вот еще попробуй если условия соблюдены https://github.com/nongiach/sudo_inject