在实际的渗透测试或权限维持过程中，提权往往是关键的一步。通过提权，攻击者可以从一个受限的低权限账户升级为高权限用户，从而获取更大的操作权限，进一步控制系统或窃取敏感信息。提权方式多种多样，涵盖了系统配置漏洞、程序权限设置错误、服务漏洞利用等多个方面。

本文将重点介绍几种常见且实用的提权方式，包括内核漏洞提权、/etc/passwd 提权、Docker 提权、定时任务提权、SUID 提权以及Sudo 提权等。每种方法都将配合实际示例进行讲解，帮助读者更清晰地理解其利用思路与操作流程。

如果你尚不熟悉提权的基本原理与前期信息收集工作，可参考这篇文章了解相关基础内容：点此查看。

内核漏洞提权是利用 Linux 系统内核中存在的已知安全漏洞，获取 root 权限的一种高效提权方式。由于 Linux 是开源系统，长期以来被广泛研究，暴露出大量内核漏洞。提权过程通常包括三步：收集目标系统的内核版本信息，查找与之对应的可利用漏洞及 EXP，最后执行 EXP 实现权限提升。该方法适用于权限受限的普通用户，提权成功率高，但也可能导致系统不稳定或崩溃，因此在实际操作中需谨慎使用。

在本次演示中，我们将采用 第四个项目 。该工具能够根据目标系统的内核版本，快速分析并推荐可用的本地提权漏洞，帮助渗透测试人员识别潜在的提权机会。它是一个高效的漏洞建议工具，适用于漏洞评估和漏洞利用的准备工作。

运行脚本会获得系统信息，然后提供可以利用的脚本地址。

Highly probable: 评估的内核很可能受到影响，并且 PoC 漏洞利用很可能可以直接使用，无需重大修改。

Probable: 利用可能有效，但很可能需要定制 PoC 漏洞利用以适应你的目标。

Less probable: 需要额外的手动分析来验证内核是否受到影响。

Unprobable: 内核受到影响的可能性极低（该漏洞在工具的输出中未显示）。

下载命令

然后根据漏洞情况编译运行就可以了。

当系统错误地将 /etc/passwd 设置为可写时，攻击者可以向其中添加一个伪造的 root 用户（UID 为 0）。通过这个账号登录后，就能直接获取系统最高权限。该方法简单有效，常见于配置不当的系统或靶机环境中。

运行信息收集工具后，发现系统给出了明确的提权提示（工具详情在前言提到的文章里面有）。

普通用户检查 /etc/passwd 文件权限时，发现该文件对当前用户具有写权限，为后续的提权操作提供了可行入口。具体各个字段代表的信息同样可以参考前言部分的文章。

下面这张图是没有写权限的

使用 openssl 或 python 生成一个加密密码，例如密码为 123456

多种方式生成加密密码。

例如添加一个名为 hacker 的 root 用户

使用普通用户直接写入

Docker 提权是指通过容器配置漏洞或不当设置，突破容器的隔离限制，从而获得宿主机的 root 权限。常见的提权方式包括利用 --privileged 标志、挂载宿主机目录、以及内核漏洞等。攻击者可以通过这些漏洞突破容器的安全限制，实现从容器内提权至宿主机。

由于 Docker 提权方式繁多，这里主要关注两种常见的风险：特权容器和挂载宿主机目录的容器。后续将发布更详细的 Docker 提权文章，进一步探讨更多的提权方法。

使用docker ps -a可以查看container_id

容器如果以 --privileged 标志运行，将获得宿主机的几乎所有权限，可能导致提权风险。可以通过以下命令检查容器是否以特权模式运行：

如果容器挂载了宿主机的敏感目录（如 /etc、/root 等），容器中的恶意用户可以直接访问这些目录，从而提升权限。可以通过以下命令查看容器的挂载信息：

如果容器以特权模式运行，容器内的用户将获得几乎与宿主机相同的权限。这意味着容器内的用户能够执行与宿主机相关的操作，甚至修改宿主机的文件系统，带来较高的提权风险。

当容器挂载了宿主机的敏感目录（如 /etc、/root 等），容器内的恶意用户可以修改这些目录中的关键文件。特别地，容器中的用户可以通过修改 /etc/passwd 等文件实现提权操作，具体方法可以参考**/etc/passwd提权**部分。

SUID（Set User ID）是文件权限的一种设置，当一个文件具有 SUID 权限时，执行该文件的用户将临时获得该文件拥有者的权限，通常是 root 权限。这种权限主要用于允许普通用户执行某些高权限的操作，例如访问或修改系统资源。然而，若某些二进制文件或实用程序错误地设置了 SUID 权限，攻击者便可以利用这些文件提升权限，从而获得 root 权限，造成安全风险。因此，正确管理和审查 SUID 权限的文件对于系统安全至关重要。

使用信息收集工具的提示。

查找是否有以 root 身份执行的二进制程序（即拥有 SUID 且属主为 root），攻击者可以借助这些程序尝试“越权”执行某些操作，从而提升自身权限

以下是一些具有 SUID 权限时常被用于提权的高危可执行文件，这些程序多数收录在 GTFOBins 中，通常可以直接利用提权：

/usr/bin/find：利用 -exec 参数执行任意命令，例如 find . -exec /bin/sh ; 即可提权
/usr/bin/vim 或 vi：通过命令模式 :!sh 拿到 root shell
/usr/bin/python 或 python3：使用 os.system("/bin/sh") 或 subprocess 模块执行命令
/usr/bin/perl：使用 system("/bin/sh") 拿 shell
/usr/bin/env：可用 env /bin/sh 方式执行 shell
/usr/bin/bash：如果带有 SUID，可直接提权执行 /bin/bash -p

如果通过上面的方法发现了系统中的敏感 SUID 程序，可以查阅相关命令或脚本实现提权操作。除此之外，还可以直接使用一些自动化工具来简化流程。

AutoSUID 是一个开源项目，其主要目标是自动化地收集系统中的 SUID 可执行文件，并尝试查找可用的提权方式。该工具实现了全流程的 100% 自动化，有效提高了提权的效率与成功率。

GitHub地址

在 Linux 系统中，sudo 命令用于让普通用户以其他用户（通常是 root）的身份执行命令。正常情况下，执行 sudo 需要输入用户自己的密码，但为了运维方便，管理员可能会在 sudoers 文件中配置某些用户或命令为无需密码（NOPASSWD）即可执行。如果这些配置不当，攻击者可能利用它们执行高权限命令，从而实现本地提权，因此 sudo 配置错误常常是提权的关键入口之一。

通过信息收集工具可以快速扫描系统中存在的 SUID 程序和 sudo 权限配置。一旦发现存在已知的提权方式，工具通常会直接给出利用建议，例如：

手工测试结果

在正常环境中，系统可能存在多种语言设置，直接手工测试有助于我们理解提权原理和验证工具提示的准确性。不过在实际渗透过程中，面对复杂多变的系统配置，还是建议优先使用信息收集工具，它们可以快速、全面地识别潜在的提权点，大大提升效率和成功率。

具体使用哪个命令进行提权，需要参考信息收集工具的扫描结果。根据扫描结果，若发现用户可以通过 sudo 执行 Python，通常可以使用以下命令：

定时任务（cron job）是 Linux 系统中用于定期执行任务的工具，允许系统在指定时间间隔内自动运行命令或脚本。由于 cron 通常以 root 权限执行，如果攻击者能够修改 cron 配置文件或其执行的脚本或二进制文件，就可以利用 root 权限执行任意代码，从而实现提权。攻击者通过获取对定时任务的控制，能够在系统中以 root 权限运行恶意代码，造成严重的安全威胁。因此，定时任务的安全配置和监控在系统管理中至关重要。

前期信息搜集工具发现定时任务里面有test.py的文件

手工查看定时任务的命令vim /etc/crontab

查看test.py文件权限，发现任何用户都可写（具体判断方法可以参考前言提到的文章）。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课