Linux exploit利用方式大揭秘

Linux 常见利用方式与防护要点

一 信息收集与快速判断

• 基础识别
  • 查看内核与架构：uname -a
  • 查看发行版：cat /etc/os-release
  • 当前用户与权限：id、whoami、sudo -l
• 权限与文件
  • 查找 SUID/SGID：find / -perm -4000 -type f 2> /dev/null、find / -perm -2000 -type f 2> /dev/null
  • 查找可写路径与全局可写文件：find / -writable -type d 2> /dev/null、find / -perm -2 -type f 2> /dev/null
• 进程、网络与任务
  • 进程与服务：ps aux、top、systemctl list-units --type=service --all
  • 监听端口：netstat -tulnp
  • 计划任务：crontab -l、cat /etc/crontab、ls -al /etc/cron.*
• 自动化枚举
  • 推荐工具：LinEnum、linux-exploit-suggester.sh、Linux Exploit Suggester 2、BeRoot、traitor，可快速汇总薄弱点并给出可能利用方向。

二 本地提权常见路径与要点

• 内核漏洞提权
  • 思路：利用本地内核缺陷获取 root。经典案例包括 CVE-2016-5195 Dirty COW、CVE-2022-0847 Dirty Pipe、CVE-2021-4034 PwnKit。
  • 要点：先确认内核与发行版，再匹配可用 PoC；高风险，生产环境常见但更偏向“有补丁就修复”的问题。
• SUID/SGID 滥用
  • 思路：当可执行文件设置 SUID/SGID 时，会以文件所有者权限运行；若程序可被“逃逸”到 shell，即可提权。
  • 快速查：find / -perm -4000 -type f 2> /dev/null
  • 示例：find . -exec /bin/sh -p ; -quit（部分二进制如 find、vim、less、nmap 旧版等曾被用于此类逃逸，具体以版本为准）。
• 计划任务与服务配置
  • 思路：root 计划任务或服务的脚本/目录可被低权用户写入，或被通配符/包含路径劫持，执行时即获高权。
  • 快速查：cat /etc/crontab、ls -al /etc/cron.*、crontab -l；关注脚本本身及其上级目录权限链。
• Sudo 配置不当
  • 思路：/etc/sudoers 授权过宽或命令可被“逃逸”（如 less、vim、nmap、git、python 等），低权用户可借机提权。
  • 快速查：sudo -l；对可疑条目在 GTFOBins 查询是否存在已知逃逸方法。
• 环境变量与 PATH 劫持
  • 思路：SUID/高权程序调用外部命令时依赖 PATH；若可污染 PATH 或替换被调用程序，即可在特权上下文执行任意代码。
  • 要点：检查程序是否通过 system/popen 等调用外部命令；优先排查自定义/自编译程序。
• 容器与虚拟化逃逸
  • 思路：不当挂载（如 /host、/proc、/sys）、特权容器、可写 cgroup、挂载 udev 设备等，可能导致容器逃逸到宿主机。
  • 要点：核查容器运行参数（是否特权、是否挂载敏感目录）、宿主机内核与容器运行时版本、是否存在已知逃逸链。
• 近期本地提权漏洞示例
  • CVE-2025-6018/CVE-2025-6019：通过 PAM 与 udisks 链路，将“allow_active”会话提升为 root，影响多发行版；缓解为应用补丁或收紧 Polkit 规则（如将 org.freedesktop.udisks2.modify-device 设为 auth_admin）。另有 CVE-2025-6020（PAM pam_namespace 路径遍历）在 linux-pam ≤1.7.0 中可被本地利用，建议升级至 1.7.1 或禁用/加固 pam_namespace。

三 远程代码执行到本地提权的链路

• Web 与 CGI 类
  • Shellshock（CVE-2014-6271）：通过环境变量注入在 CGI 场景执行任意命令。
  • PHP CGI 参数注入（CVE-2012-1823）：构造恶意查询串触发代码执行。
• 服务与协议类
  • Samba usermap_script（Metasploit 模块）：低版本 Samba 远程命令执行，获取立足点后再本地提权。
  • Java RMI Server 命令执行（CVE-2013-0422）：反序列化触发代码执行。
  • NFS 导出信息泄露/滥用：通过 showmount -e 探测导出，挂载后写入 root/.ssh/authorized_keys 获取持久化访问，再转向本地提权。
• 渗透测试常用步骤
  • 端口与服务识别：nmap -sV -p-；识别 80/443（Web/CGI）、139/445（Samba）、1099（RMI）、2049（NFS） 等。
  • 针对性利用获取低权 Shell，随后进入本地提权阶段（内核/SUID/sudo/计划任务/环境变量等）。

四 防护与检测清单

• 系统与内核
  • 及时更新补丁，关键系统考虑 Kernel Live Patching；最小化内核暴露面与内核模块加载。
• 身份与权限
  • 坚持最小权限：清理不必要的 SUID/SGID，仅授予必要的 sudo 命令，优先使用 visudo 编辑，避免 NOPASSWD 滥用。
• 计划任务与服务
  • root 任务脚本及其目录链应采用 root:root 755 或更严格权限；避免用户可写；审查 /etc/cron.*、/var/spool/cron 与 systemd 服务单元。
• 文件系统与挂载
  • 严控可写目录与全局可写文件；容器/虚拟化谨慎使用特权模式与敏感挂载；对 NFS 导出设置 root_squash 等限制。
• 认证与 PAM
  • 及时升级 PAM 等基础组件；对 Polkit 动作实施 auth_admin 要求；审查 pam_namespace 等易被滥用模块的配置。
• 监测与响应
  • 审计关键日志：/var/log/auth.log、/var/log/cron、journalctl；监控异常 sudo 使用、SUID 变更、可疑 cron 任务与异常网络连接。
• 安全测试
  • 在授权范围内使用 LinEnum、LES2、BeRoot、traitor 等做基线排查；对发现的薄弱点优先“修补> 缓解> 临时隔离”。

免责声明

• 本内容仅用于合法合规的安全研究、授权渗透测试与防护加固。任何未授权的测试、入侵或利用行为均可能触犯法律并造成损害，作者与发布平台不对因此产生的后果负责。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！