Linux 提权

前言

Linux提权总结

1. 内核漏洞提权

内核管理着组件（如系统上的内存）和应用程序之间的通信。这个关键作用要求内核具有特定的权限。因此，成功的攻击可能会导致root权限。

内核利用方法很简单；

1. 识别内核版本
2. 搜索并找到目标系统内核版本的漏洞利用代码
3. 运行exp

尽管看起来很简单，但请记住，失败的内核利用可能导致系统崩溃。在尝试利用内核漏洞之前，请确保在您的渗透测试范围内可以接受这种潜在的结果。

辅助项目：
traitor
BeRoot
LinEnum
linux-exploit-suggester
linuxprivchecker
linux-exploit-suggester-2

脏牛（CVE-2016-5195）

2. 不安全的系统配置项

2.1 SUID/SGID提权

详细介绍：Linux提权-01 SUID提权
SUID（Set User ID）意味着如果某个用户对属于自己的文件设置了这种权限，那么其他用户在执行这一脚本时也会具有其属主的相应权限。那么如果root用户的某一个脚本/可执行程序设置了这样的权限，其他普通用户在执行它的期间也同样具有root用户的权限。同样的原则也适用于SGID，执行相应脚本的用户将具有该文件所属用户组中用户的权限。

SUID特殊权限只适用于可执行文件。当用户执行此类型文件时，操作系统会暂时将当前用户的UID切换为文件所有者的UID。当文件执行结束后，身份的切换随之结束。

举个例子，用户想修改自己的密码，可以使用passwd 用户名，passwd可执行文件位于/usr/bin/下。我们知道，用户的密码信息保存在/etc/shadow文件中，那么可以推测passwd的作用其实就是修改shadow文件。

可以看到，shadow文件为root用户所有，并设置了仅root用户有w（写）权限。那么，其他普通用户按理说是修改不了该文件，为什么普通用户可以使用passwd命令直接修改shadow文件？我们再看下面的passwd命令，执行权限x变成了s，这是因为设置了SUID权限，其他用户执行passwd时，操作系统会使用该文件所有者的的身份（root）去执行，故而可以修改shadow文件。如果取消passwd的SUID权限，你可尝试一下，普通用户修改密码会失败。

chmod u+s filename	#设置SUID权限
chmod u+s filename	#取消SUID权限

2.2 sudo提权

Linux提权-02 sudo提权

2.3 定时任务提权

Linux提权-03 定时任务crontab提权

2.4 capabilities提权

Linux提权-04 capabilities

3. 第三方软件提权

Tomcat manager

Nginx本地提权（CVE-2016-1247）

Redis未授权

4. 参考

[1] 《Linux与Unix Shell 编程指南》
[2] 《权限提升技术-攻防实战与技巧-》
[3] 【小迪安全】红蓝对抗 | 网络攻防 | V2022全栈培训
[4] tryhackme-jr peneration tester-privilege escalation-linuxprivesc