提权的目的是获取 root 权限

root 权限可获取 shadow 文件中的密码 Hash，若内网环境中存在「账户/密码复用」的情况，可用于横向扩展

暴力破解

suid 提权

内核漏洞提权

定时任务提权

sudo 提权

第三方服务提权（docker、mysql、redis、NFS提权）

暴力破解

爆破 root 用户的密码

有一个工具，sucrack

——————

suid 提权

suid（Set owner User ID up on execution）

suid是可执行文件的一个属性（我理解为是一个特殊权限）

通过这个，其他组用户在执行一个程序时可以有该程序所有者/组 的权限

如果此程序所有者是root权限，那其他用户也能有root权限

条件：程序所有者是 0 号或其他 super user ，同时有suid 权限

程序只要有suid权限，就可以提权，这个说法其实是不准确的。只有这个程序的所有者是0号或其他super user，同时拥有suid权限，才可以提权。

正常权限比如为 rwx ，可读可写可执行

而有的却是 rws ，这个 s 就是 suid

比如，nmap是需要 root 权限才能运行， 给nmap加上suid权限，这样普通用户就可以随便运行nmap了。

常见用来提权的 Linux 可执行文件：

nmap、vim 、find、bash、more、less、nano、cp

查看可以 suid 提权的可执行文件

find / -perm -u=s -type f 2>/dev/null

find / -user root -perm -4000-print2>/dev/null

find / -user root -perm -4000-exec ls -ldb {} \\;

可以看到有 nmap 之类的

在看看 nmap 的权限

-rwsr-xr-x 1 root root 780676 2008-04-08 10:04 /usr/bin/nmap

有一个 s 权限，即可以进行 suid 提权

旧版本的 Nmap（2.02 到 5.21）具有交互模式，允许用户执行 shell 命令。

即使用 nmap 的 --interactive 交互模式

nmap --interactive

进入 nmap 交互模式之后，输入 !sh 就可以进行执行命令了，并且是 root 权限

find 提权

后面跟的 abc 是一个存在的文件夹或文件

find abc -exec whoami \\;

————————

内核漏洞提权

先查看Linux 内核版本

uname -a

比如我这里是 5.13.0

1、寻找内核版本存在的漏洞

可以用 kali 自带的 searchsploit ，看看有没有符合的漏洞。

searchsploit Ubuntu 5.13.0

2、下载payload并编译

如果有符合的漏洞，后面有 payload 文件名，使用 -m 命令下载下来（一般应该是 .c 文件， 还需要编译）

searchsploit -m 41760.txt

下载好会有路径

文本打开这个文件会有编译命令，编译之后得到可执行文件，执行即可。

3、执行编译后的可执行文件

然后大概会得到一个用户，su 用户名 登录，就有 root 权限了

除了kali 的 searchsploit ，还可以利用  linux-exploit-suggester、linux-exploit-suggester-2等工具

——————

计划任务提权

定时任务（cron job）

通过配置crontab可以让系统周期性地执行某些命令或者脚本

User Crontabs 通常位于 /var/spool/cron/or/var/spool/cron/crontabs/（非 root 用户无法查看 root 用户的计划任务）

system 系统的 crontab 位于/etc/crontab （普通用户可查看）

cron通常以root特权运行，如果可以修改其调度的任何脚本或二进制文件，那就可以使用root权限执行任意代码。

普通用户可以列出系统的计划任务：

cat /etc/crontab

我们先创建一个可执行文件以便测试，然后在 /etc/crontab 文件中添加这个文件，让此文件能够计划性周期性执行。

而在实际情况中，cat /etc/crontab 就是要看看里面存不存在可执行文件，并且有普通用户可更改的权限。

创建测试文件

为了方便，也先赋权，防止后面没有执行权限

touch test.sh

chmod 777 test.sh

文件中写入内容：

#!/bin/bash

cp /bin/bash /tmp/shell

chmod +s /tmp/shell

此内容的功能：

cp /bin/bash /tmp/shell 是把 bash 复制到 /tmp 文件夹下，命名为 shell 文件

chmod +s /tmp/shell 给其赋予 suid 权限，即让普通用户也能执行此 /shell 文件

在 /etc/crontab 加上创建的文件的计划任务（编辑此文件需要 root 权限）

*  *    * * *   root    /home/doodric/test.sh

然后计划任务成功执行，即 /home/doodric/test.sh 执行之后

/tmp 下就得到了这个 shell 文件，是通过 /bin/bash 复制过来的

直接输入 /tmp/shell 

相当于成功把 bash 文件给复制移动了（是 root 权限才能做到的）

总之，就是在 计划任务中看看有没有可写的可执行文件，普通用户对此计划任务文件修改内容，达到以 root 权限执行命令

——————

sudo 提权

运用sudo可以使普通用户使用root用户的命令，只需要输入普通用户的密码。

比如通过 sudo 命令执行 su 切换用户命令，只需要输入普通用户 msfadmin 的密码，不需要 root 用户的密码

但是通过对配置文件 /etc/sudoers 进行修改，把用户

vim  /etc/sudoers

我这里文件内是空白的，添加一行内容：

msfadmin ALL=(ALL:ALL) NOPASSWD:ALL

（msfadmin 是我们的普通用户，添加之后让 sudo 命令免密码使用）

然后再执行 sudo su

发现不用输入普通用户的密码就能进入管理员用户了。