清单 - Linux Privilege Escalation

Tip

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术：HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

• 查看 订阅计划!
• 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

Best tool to look for Linux local privilege escalation vectors: LinPEAS

System Information

• 获取 OS information
• 检查 PATH，有没有 可写的文件夹？
• 检查 env variables，有没有敏感信息？
• 使用脚本搜索 kernel exploits（DirtyCow？）
• 检查 sudo version 是否存在漏洞
• Dmesg signature verification failed
• 更多系统枚举（date, system stats, cpu info, printers）
• 枚举更多防御措施

Drives

• 列出已挂载 驱动器
• 有没有 未挂载的驱动器？
• fstab 中有没有凭证？

Installed Software

• 检查是否安装 任何 有用的软件
• 检查是否安装 任何易受攻击的软件

Processes

• 是否有任何 未知软件在运行？
• 是否有软件以 比应有更多的权限运行？
• 搜索正在运行进程的 漏洞（尤其是运行的版本）。
• 你能否 修改任何正在运行进程的二进制文件？
• 监控进程 并检查是否有任何有趣的进程频繁运行。
• 你能否 读取 某些有趣的 进程内存（可能保存密码）？

Scheduled/Cron jobs?

• 是否有 cron 修改了 PATH 且你可以 写入？
• 有没有 cron 作业使用 通配符 ？
• 是否有可修改的脚本 被 执行 或位于 可修改的文件夹 中？
• 你是否发现某些 脚本 被非常频繁地 执行？（每 1、2 或 5 分钟）

Services

• 有没有 可写的 .service 文件？
• 有没有由 service 执行的 可写二进制？
• systemd PATH 中有没有 可写文件夹？
• /etc/systemd/system/<unit>.d/*.conf 中有没有 可写的 systemd unit drop-in 可以覆盖 ExecStart/User？

Timers

• 有没有 可写的 timer？

Sockets

• 有没有 可写的 .socket 文件？
• 你能否 与任意 socket 通信？
• 有包含有趣信息的 HTTP sockets？

D-Bus

• 你能否 与任意 D-Bus 通信？

Network

• 枚举网络以了解你的所在位置
• 在获取机器 shell 后，是否出现了之前无法访问的 开放端口？
• 你能否使用 tcpdump 嗅探流量？

Users

• 对通用用户/组进行 枚举
• 你有非常大的 UID 吗？机器是否 易受攻击？
• 你能否通过你所属的一个组来升级权限？
• 剪贴板 数据？
• 密码策略？
• 尝试对每个可能的用户使用你之前发现的每一个 已知密码 登录。也尝试无密码登录。

Writable PATH

• 如果你对 PATH 中的某个文件夹有 写入权限，你可能能够升级权限

SUDO and SUID commands

• 你能以 sudo 执行 任何命令 吗？你能否利用它以 root 身份 READ、WRITE 或 EXECUTE 任何东西？(GTFOBins)
• 如果 sudo -l 允许 sudoedit，检查是否存在通过 SUDO_EDITOR/VISUAL/EDITOR 的 sudoedit 参数注入（CVE-2023-22809），可以在易受攻击的版本（sudo -V < 1.9.12p2）上编辑任意文件。例如：SUDO_EDITOR="vim -- /etc/sudoers" sudoedit /etc/hosts
• 有没有 可利用的 SUID 二进制文件？(GTFOBins)
• 是否有 sudo 命令被 path 限制 的情况？你能否绕过限制？
• Sudo/SUID binary without path indicated?
• SUID binary specifying path? 绕过方法
• LD_PRELOAD vuln
• 来自可写文件夹的 SUID 二进制缺失 .so 库？
• 可用的 SUDO tokens？你能创建 SUDO token 吗？
• 你能否 读取或修改 sudoers 文件？
• 你能否 修改 /etc/ld.so.conf.d/？
• OpenBSD DOAS 命令

Capabilities

• 有没有二进制具有任何 意外的 capability？

ACLs

• 有没有文件具有任何 意外的 ACL？

Open Shell sessions

• screen
• tmux

SSH

• Debian OpenSSL Predictable PRNG - CVE-2008-0166
• SSH Interesting configuration values

Interesting Files

• Profile files - 读取敏感数据？可写用于 privesc？
• passwd/shadow files - 读取敏感数据？可写用于 privesc？
• 检查常见的有趣文件夹以查找敏感数据
• 奇怪位置/属主文件，你可能可以访问或修改可执行文件
• 最近几分钟被修改
• Sqlite DB 文件
• 隐藏文件
• 位于 PATH 中的脚本/二进制
• Web 文件（密码？）
• 备份？
• 已知包含密码的文件：使用 Linpeas 和 LaZagne
• 通用搜索

Writable Files

• 修改 python 库以执行任意命令？
• 你能否 修改日志文件？ Logtotten 漏洞
• 你能否 修改 /etc/sysconfig/network-scripts/？Centos/Redhat 漏洞
• 你能否在 ini, init.d, systemd 或 rc.d 文件中写入？

Other tricks

• 你能否滥用 NFS 提权？
• 你是否需要从受限 shell 逃逸？

References

• Sudo advisory: sudoedit arbitrary file edit
• Oracle Linux docs: systemd drop-in configuration

Tip

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术：HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

• 查看 订阅计划!
• 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。