Checklist - Linux Privilege Escalation

Reading time: 8 minutes

查找Linux本地权限提升向量的最佳工具： LinPEAS

系统信息

• 获取 操作系统信息
• 检查 PATH，是否有 可写文件夹？
• 检查 环境变量，是否有敏感信息？
• 搜索 内核漏洞 使用脚本（DirtyCow？）
• 检查 sudo版本是否存在漏洞
• Dmesg 签名验证失败
• 更多系统枚举（日期，系统统计，CPU信息，打印机）
• 枚举更多防御措施

驱动器

• 列出已挂载的驱动器
• 有未挂载的驱动器吗？
• fstab中有任何凭据吗？

已安装软件

• 检查是否安装了 有用的软件
• 检查是否安装了 易受攻击的软件

进程

• 是否有 未知软件在运行？
• 是否有软件以 超出其应有的权限运行？
• 搜索 正在运行进程的漏洞（特别是正在运行的版本）。
• 你能 修改任何正在运行进程的二进制文件吗？
• 监控进程，检查是否有任何有趣的进程频繁运行。
• 你能 读取 一些有趣的 进程内存（可能保存密码的地方）吗？

计划任务/Cron作业？

• PATH是否被某些cron修改且你可以 写入？
• 在cron作业中有任何 通配符吗？
• 是否有某个 可修改的脚本正在 执行或在 可修改文件夹中？
• 你是否检测到某个 脚本 可能或正在被 频繁执行？（每1、2或5分钟）

服务

• 有任何 可写的.service 文件吗？
• 有任何 可写的二进制文件 被 服务 执行吗？
• 在systemd PATH中有任何 可写文件夹？

定时器

• 有任何 可写的定时器？

套接字

• 有任何 可写的.socket 文件吗？
• 你能 与任何套接字通信吗？
• HTTP套接字中有有趣的信息吗？

D-Bus

• 你能 与任何D-Bus通信吗？

网络

• 枚举网络以了解你的位置
• 打开的端口你之前无法访问，现在可以在机器内部获取shell吗？
• 你能使用 tcpdump 嗅探流量吗？

用户

• 通用用户/组 枚举
• 你有一个 非常大的UID 吗？ 机器 易受攻击吗？
• 你能 通过你所属的组提升权限吗？
• 剪贴板 数据？
• 密码策略？
• 尝试 使用 你之前发现的每个 已知密码 登录 每个 可能的 用户。 也尝试不带密码登录。

可写的PATH

• 如果你对某个PATH中的文件夹 具有写权限，你可能能够提升权限

SUDO和SUID命令

• 你能执行 任何带sudo的命令吗？ 你能用它 读取、写入或执行 任何东西作为root吗？ (GTFOBins)
• 是否有任何 可利用的SUID二进制文件？ (GTFOBins)
• sudo 命令是否 受限于 路径？你能 绕过 限制吗？
• 没有指定路径的Sudo/SUID二进制文件？
• 指定路径的SUID二进制文件？ 绕过
• LD_PRELOAD漏洞
• SUID二进制文件中缺少.so库来自可写文件夹？
• 可用的SUDO令牌？ 你能创建SUDO令牌吗？
• 你能 读取或修改sudoers文件吗？
• 你能 修改/etc/ld.so.conf.d/吗？
• OpenBSD DOAS 命令

能力

• 是否有任何二进制文件具有 意外的能力？

ACLs

• 是否有任何文件具有 意外的ACL？

开放Shell会话

• screen
• tmux

SSH

• Debian OpenSSL可预测PRNG - CVE-2008-0166
• SSH有趣的配置值

有趣的文件

• 配置文件 - 读取敏感数据？ 写入权限提升？
• passwd/shadow文件 - 读取敏感数据？ 写入权限提升？
• 检查常见的有趣文件夹以查找敏感数据
• **奇怪的位置/拥有的文件，**你可能有权限访问或更改可执行文件
• 最近几分钟内修改
• Sqlite数据库文件
• 隐藏文件
• PATH中的脚本/二进制文件
• Web文件（密码？）
• 备份？
• 已知包含密码的文件：使用 Linpeas 和 LaZagne
• 通用搜索

可写文件

• 修改python库以执行任意命令？
• 你能 修改日志文件吗？ Logtotten 漏洞
• 你能 **修改/etc/sysconfig/network-scripts/**吗？ Centos/Redhat 漏洞
• 你能 写入ini、int.d、systemd或rc.d文件吗？

其他技巧

• 你能 利用NFS提升权限吗？
• 你需要 逃离限制性shell吗？