拿到一个低权限 shell 之后,第一件事通常不是盲目找 exp,而是先做信息收集。提权很多时候拼的是细节。
基础信息收集
当前身份
1 | whoami |
这几条命令能帮助判断:
- 当前权限级别
- 系统版本
- 内核版本
- 主机角色
重点排查方向
SUID 文件
1 | find / -perm -4000 -type f 2>/dev/null |
检查是否存在可利用的高权限程序,例如:
findvimbashcppython
如果配置不当,可能直接被用于提权。
sudo 权限
1 | sudo -l |
这一项非常关键。很多靶机和真实环境中都存在 sudo 配置不严的问题。
定时任务
关注:
/etc/crontab/etc/cron.*- 用户私有定时任务
如果高权限任务调用了可写脚本或相对路径命令,就可能被劫持。
敏感配置文件
重点看:
- Web 配置中的数据库口令
- SSH 密钥
- 备份文件
- 历史命令
.env
很多提权并不是“内核漏洞提权”,而是通过凭据复用、横向切换、配置泄露实现的。
提权思路不要局限于本地漏洞
常见误区是看到低权限 shell 就开始搜索内核漏洞。实际上更高效的顺序通常是:
- 配置错误
- 凭据泄露
- 计划任务
- SUID / sudo
- 服务配置问题
- 最后才考虑内核漏洞
小结
提权本质上是寻找“高权限执行链路中的薄弱点”。收集越细,提权越稳。
后续可以继续补一篇关于 sudo 误配置和 PATH 劫持的专题整理。