Linux exploit如何提升权限

Linux 提权常用路径与利用要点

一、信息收集与版本识别

• 识别系统与内核：执行命令查看发行版与内核版本，例如：cat /etc/issue、cat /etc/*-release、uname -a、lsb_release -a。这些信息决定后续选择哪类内核或本地漏洞。
• 辅助脚本：使用 linux-exploit-suggester.sh 自动匹配可能的本地提权漏洞，提高筛选效率。
• 典型用途：快速判断是否存在可利用的内核漏洞、SUID 程序、计划任务与服务配置问题。

二、内核漏洞提权

• 基本流程：确认版本后，用 searchsploit 或公开仓库检索对应 CVE 与 Exploit，在本地或目标机编译运行，获取 root 权限。
• 常见漏洞与要点：
  • CVE-2016-5195 Dirty Cow：影响 Linux kernel > = 2.6.22，通过写时拷贝竞争条件获取只读映射写权限，进而提权。
  • CVE-2022-0847 Dirty Pipe：允许普通用户向只读文件写入，常被用于本地提权。
  • CVE-2021-4034 PwnKit：polkit 组件缺陷，可在无需特殊权限下以 root 执行任意命令。
• 操作示例：
  • 检索与编译：searchsploit linux kernel 4.4.0；gcc exploit.c -o exploit；chmod +x exploit；./exploit。
• 风险提示：内核利用存在稳定性与崩溃风险，优先在可控环境验证，避免生产系统数据损坏。

三、滥用配置不当的本地权限

• SUID/SGID 滥用：查找并设置不当的 SUID 程序执行特权命令。
  • 查找：find / -perm -u=s -type f 2> /dev/null。
  • 利用示例：find / -name 1.txt -exec /bin/sh -p ; ；vim -c ‘:py import os; os.setuid(0); os.execl(“/bin/sh”,“sh”,“-c”,“reset; exec sh”)’；旧版 nmap --interactive 调用 !sh。
• 环境变量劫持（PATH）：当 SUID 程序调用外部命令时，通过修改 PATH 优先执行恶意程序。
  • 步骤：strace /path/to/suid 2> & 1 | grep execve 确认调用；在 /tmp 放置恶意程序（如伪造 ls）；export PATH=/tmp:$PATH；执行目标 SUID 程序触发劫持。
• 计划任务（Cron）滥用：检查 /etc/crontab 与 /etc/cron.*，若脚本可写或存在通配符注入，可写入提权命令或利用 tar 的 –checkpoint/–checkpoint-action 执行脚本。
• 服务提权：
  • 可写服务单元：创建恶意 systemd service 并启用，执行 chmod u+s /bin/bash 等提权操作。
  • Docker 组：若用户在 docker 组，可挂载根分区并 chroot 获取 root：docker run -v /:/mnt -it alpine chroot /mnt bash。
• 密码与哈希：若可读 /etc/shadow，可用 unshadow 合并字典配合 john 破解；亦可搜寻配置文件/备份中的明文口令复用登录。

四、自动化辅助与参考

• 漏洞匹配：linux-exploit-suggester.sh 快速给出潜在本地提权路径。
• 命令参考：GTFOBins 汇总常见可被滥用的 SUID/可写配置 程序及利用方式，便于快速验证与利用。

五、合规与安全建议

• 仅在授权的渗透测试或红队演练中使用上述方法，严禁用于未授权环境。
• 生产环境防护要点：
  • 及时更新内核与组件，修补如 Dirty Pipe/PwnKit 等高危漏洞。
  • 严格管控 SUID/SGID，移除不必要的特权位；审查 PATH 与 LD_PRELOAD 等环境风险。
  • 最小化 Cron 与 systemd 任务权限，脚本与目录设置最小可写；禁止将普通用户加入 docker 等高权限组。
  • 加强日志与审计（如 auditd、journalctl），监控可疑提权行为。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！