在渗透测试全流程中，提权是衔接“获取低权限 foothold”与“掌控目标系统”的关键环节——多数情况下，我们通过Web漏洞、弱口令、社会工程学等方式获取的只是普通用户权限，无法访问系统核心资源、读取敏感数据或执行高危操作。而提权漏洞，正是突破这一限制、实现权限跃迁的核心手段。

一、提权漏洞

1. 1. 提权的本质：将低权限账户（如Windows普通用户、Linux的www-data、nobody用户）的权限，提升至系统最高权限（Windows的Administrator、SYSTEM；Linux的root），核心是利用系统配置缺陷、软件漏洞或权限管理疏忽，绕过系统权限校验机制。
2. 2. 提权漏洞的分类：按触发场景可分为「本地提权漏洞」和「远程提权漏洞」，其中本地提权漏洞在渗透测试中最常用——因为远程提权漏洞（如MS17-010永恒之蓝）多属于远程代码执行漏洞的延伸，且多数已被系统补丁修复，实际测试中检出率较低；而本地提权漏洞多源于系统配置不当或长期未修复的低危漏洞，检出率极高。

二、Windows系统常用提权漏洞详解

Windows系统的提权漏洞，核心集中在「权限配置错误」「系统内核漏洞」「软件组件漏洞」三类，其中权限配置错误类漏洞在实际测试中占比超60%，无需复杂EXP，仅通过系统命令即可利用，门槛极低。

2.1 服务权限配置错误提权

这是Windows提权中最常见、最易利用的漏洞，无需要求系统存在未修复的高危漏洞，仅源于管理员对系统服务的权限配置疏忽，多见于Windows Server 2008、2012等老旧服务器，Windows 10/11及Server 2016+也有检出（多为管理员手动配置错误）。

「漏洞原理」：Windows系统中的服务（如MySQL、IIS、自定义应用服务）需以特定账户身份运行（通常为SYSTEM或Administrator），若管理员在配置服务时，将服务的“可执行文件路径”权限设置为“Everyone可修改”，则普通用户可替换该服务对应的可执行文件（.exe），当服务重启时，会以高权限（SYSTEM）执行替换后的恶意文件，从而实现提权。

「影响范围」：所有Windows系统（无版本限制），核心取决于服务权限配置，而非系统本身漏洞。

「渗透测试利用思路」（仅授权场景）：

1. 1. 先用命令查询系统中所有服务的可执行文件路径及权限：sc queryex type= service state= all | findstr "NAME PATH"，或使用工具（如AccessChk）批量检测；
2. 2. 筛选出“可执行文件路径可被当前普通用户修改”的服务（如路径在C:\Program Files\XXX\下，但该文件夹给了Everyone写入权限）；
3. 3. 替换服务对应的.exe文件（需与原文件同名，避免被服务检测异常），写入简单的提权脚本（如添加管理员账户）；
4. 4. 重启该服务（可通过sc restart 服务名命令，若普通用户无重启权限，可等待服务自动重启或触发服务异常重启）；
5. 5. 服务重启后，恶意脚本以SYSTEM权限执行，完成提权。

「注意事项」：替换可执行文件时，需注意服务的依赖关系，避免替换后服务无法启动，导致测试痕迹暴露；优先选择启动频率低、无核心业务依赖的服务（如冗余的系统辅助服务）。

「防御建议」：1. 定期检查系统服务的可执行文件权限，禁止Everyone、普通用户拥有修改权限，仅保留Administrator/SYSTEM权限；2. 服务运行账户优先使用低权限账户，避免直接使用SYSTEM账户；3. 禁止随意修改服务的可执行文件路径，若需修改，同步调整权限配置。

2.2 注册表键值劫持提权

注册表是Windows系统的核心配置数据库，部分注册表键值关联着系统启动、软件运行的关键流程，若这些键值可被普通用户修改，即可通过“劫持”键值，让系统或高权限软件执行恶意代码，实现提权，属于“配置类漏洞”，检出率仅次于服务权限配置错误。

「漏洞原理」：Windows系统启动时，会自动读取特定注册表键值（如HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce）中的可执行文件路径，并以SYSTEM权限执行；若这些键值的“写入权限”被误配置为普通用户可修改，则普通用户可向键值中添加恶意文件路径，当系统重启或用户登录时，恶意文件会以高权限执行，完成提权。

「常见劫持键值」：

• • Run键值：系统启动后自动执行，重启后仍有效；
• • RunOnce键值：系统启动后仅执行一次，执行后自动删除键值（隐蔽性更强）；
• • Winlogon键值：关联用户登录流程，登录时执行，适合隐蔽提权。

「影响范围」：所有Windows系统，尤其多见于Windows 7、Server 2008等未严格配置注册表权限的系统，Windows 10/11默认权限较严格，但仍有管理员手动修改权限导致漏洞的情况。

「渗透测试利用思路」（仅授权场景）：

1. 1. 用reg query命令查询目标键值的权限：reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /s，或使用regini工具检测权限；
2. 2. 若发现键值可被当前普通用户写入，使用reg add命令添加恶意文件路径（如reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v Test /t REG_SZ /d "C:\temp\priv.exe"）；
3. 3. 等待系统重启或用户重新登录，恶意文件以SYSTEM权限执行，完成提权；
4. 4. 提权后可删除添加的注册表键值，清理测试痕迹。

「注意事项」：恶意文件路径需选择系统可访问的位置（如C:\temp、用户桌面），避免路径不存在导致执行失败；优先使用RunOnce键值，隐蔽性更强，不易被管理员发现。

「防御建议」：1. 限制普通用户对注册表核心键值（Run、RunOnce、Winlogon等）的写入权限，仅保留Administrator/SYSTEM权限；2. 定期检查注册表关键键值，及时删除不明路径的键值；3. 启用注册表审计功能，记录对关键键值的修改操作。

2.3 Windows内核提权漏洞

Windows内核漏洞提权，是利用Windows系统内核（ntoskrnl.exe）中的安全缺陷，通过执行漏洞利用代码，绕过内核权限校验，直接提升至SYSTEM权限。这类漏洞多为微软官方披露的高危漏洞，部分漏洞虽已发布补丁，但实际测试中仍有大量老旧系统未修复，检出率较高。

本文仅讲解2个渗透测试中最常用、复现性强的内核提权漏洞，不讲解已淘汰、无实际价值的漏洞：

2.3.1 CVE-2021-1732（Windows内核本地提权漏洞）

「漏洞原理」：该漏洞存在于Windows内核的Win32k组件中，Win32k组件负责处理窗口管理器和图形设备接口（GDI）相关操作，其User-Mode Callback机制存在设计缺陷。攻击者可通过hook xxxClientAllocWindowClassExtraBytes的用户层回调函数，强行改变窗口对象tagWND的扩展数据保存位置及寻址方式，触发任意地址覆盖写漏洞，进而绕过权限校验，提升至SYSTEM权限。

「影响范围」：Windows 10 1903-20H2、Windows Server 2019 1903-20H2版本，微软已于2021年3月发布补丁修复（KB5000802）。

「渗透测试利用思路」（仅授权场景）：

1. 1. 先通过systeminfo命令查询目标系统版本及已安装补丁，确认系统未安装KB5000802补丁；
2. 2. 上传适配目标系统版本的漏洞利用代码（EXP），注意区分32位/64位系统；
3. 3. 执行EXP，利用漏洞触发内核权限绕过，生成SYSTEM权限的shell；
4. 4. 验证权限（whoami命令查看是否为nt authority\system），完成提权。

「注意事项」：该漏洞利用过程中可能触发系统蓝屏（尤其在未适配的系统版本上），测试前需提前告知授权方，避免影响业务系统；EXP需严格适配系统版本，否则无法利用。

2.3.2 CVE-2025-24076（Windows 11 DLL劫持类提权漏洞）

「漏洞原理」：该漏洞是典型的DLL劫持漏洞，存在于Windows 11的“移动设备”功能中，该功能允许用户将手机链接为网络摄像头使用。位于%PROGRAMDATA%\CrossDevice\下的CrossDevice.Streaming.Source.dll文件，会先由普通用户进程加载，随后被高权限系统进程加载，且该文件路径可被普通用户修改。攻击者可通过替换该DLL文件，利用高权限进程加载恶意DLL，实现权限提升，攻击窗口期极短（仅300毫秒）。

「影响范围」：启用“移动设备”功能的Windows 11系统，微软已于2025年3月发布安全补丁修复。

「渗透测试利用思路」（仅授权场景）：

1. 1. 检测目标Windows 11系统是否启用“移动设备”功能，且未安装2025年3月及以后的安全补丁；
2. 2. 利用机会锁（Opportunistic Locks）技术，拦截GetFileVersionInfoExW API调用，把控DLL替换的时间窗口；
3. 3. 生成恶意DLL文件（保留原DLL功能，添加提权脚本，避免进程崩溃），替换CrossDevice.Streaming.Source.dll；
4. 4. 等待高权限进程加载该DLL，恶意代码以SYSTEM权限执行，完成提权。

「防御建议」：1. 及时安装Windows系统补丁，尤其关注内核漏洞补丁，定期更新系统；2. 禁用不必要的系统功能（如未使用的“移动设备”功能）；3. 启用EDR（端点检测与响应）解决方案，监控异常DLL加载行为。

2.4 DLL劫持提权（通用型漏洞）

DLL（动态链接库）是Windows系统中常用的组件，用于封装可复用的代码和资源，很多软件（尤其是第三方软件、自定义应用）启动时会自动加载指定的DLL文件。若软件加载DLL时，未明确指定DLL的绝对路径，而是按默认顺序搜索DLL文件，且搜索路径中存在普通用户可写入的目录，则普通用户可植入恶意DLL，当软件以高权限启动时，恶意DLL会被加载执行，实现提权。

「漏洞原理」：Windows系统加载DLL的默认顺序（从高到低）：1. 软件当前运行目录；2. 系统目录（System32、SysWOW64）；3. 环境变量PATH指定的目录。若软件未使用绝对路径加载DLL，且当前运行目录或PATH目录可被普通用户写入，则可植入与目标DLL同名的恶意DLL，优先被软件加载，从而执行恶意代码。

「影响范围」：所有Windows系统，核心取决于软件的DLL加载方式，而非系统本身，多见于第三方软件、自定义开发的应用，系统自带软件默认加载方式较安全。

「渗透测试利用思路」（仅授权场景）：

1. 1. 排查目标系统中以高权限运行的软件（如管理员启动的客户端、系统辅助软件）；
2. 2. 用工具（如Dependency Walker）检测该软件启动时需要加载的DLL文件，筛选出未使用绝对路径加载的DLL；
3. 3. 确认该DLL的搜索路径（如软件当前运行目录）可被普通用户写入；
4. 4. 生成恶意DLL（需与目标DLL同名，确保软件能正常启动，避免异常报错），放入对应的搜索路径；
5. 5. 重启该软件（若普通用户无重启权限，可等待软件自动重启或诱导管理员重启），恶意DLL被加载，以高权限执行，完成提权。

「注意事项」：恶意DLL需适配软件的位数（32位/64位），否则无法加载；优先选择无数字签名校验的软件，有数字签名的软件会校验DLL的签名，无法加载恶意DLL。

「防御建议」：1. 软件开发时，使用绝对路径加载DLL文件，避免使用默认搜索顺序；2. 对软件加载的DLL进行数字签名校验，拒绝加载未签名的DLL；3. 限制普通用户对软件运行目录、PATH目录的写入权限。

三、Linux系统常用提权漏洞详解

Linux系统的提权漏洞，核心集中在「权限配置错误」「SUID/SGID权限滥用」「内核漏洞」「计划任务漏洞」四类，与Windows系统不同，Linux提权更依赖于系统权限管理机制（如文件权限、用户组、sudo配置），多数漏洞源于管理员对权限的疏忽配置，实操性强、隐蔽性高。

3.1 SUID/SGID权限滥用提权

SUID（Set User ID）和SGID（Set Group ID）是Linux系统中的特殊文件权限，用于让普通用户执行某个文件时，临时获得该文件所有者（SUID）或所属组（SGID）的权限。若管理员误将高权限文件（如root用户所有的文件）设置为SUID/SGID权限，且该文件可被普通用户利用执行系统命令，则普通用户可通过该文件，临时获得root权限，实现提权。

「漏洞原理」：正常情况下，普通用户执行root用户的文件，仅能获得普通用户权限；若该文件设置了SUID权限（权限标识为s，如-rwsr-xr-x），则普通用户执行该文件时，会临时获得root权限，执行文件中的代码或命令。若该文件存在可被利用的漏洞（如可执行自定义命令），则普通用户可通过该文件执行root权限的命令，实现提权。

「常见可利用的SUID文件」（渗透测试高频遇到）：

• • find：搜索文件命令，若设置SUID权限，可通过-exec参数执行系统命令；
• • cp：复制文件命令，若设置SUID权限，可复制/etc/shadow、/etc/passwd等敏感文件，或替换root用户的配置文件；
• • bash：Shell命令，若设置SUID权限，可直接执行bash -p，获得root权限的Shell；
• • /usr/bin/env：环境变量相关命令，可通过env /bin/sh执行Shell。

「影响范围」：所有Linux系统，无版本限制，核心取决于SUID/SGID文件的配置，多见于管理员为了方便操作，随意给常用命令设置SUID/SGID权限的场景。

「渗透测试利用思路」（仅授权场景）：

1. 1. 用命令查询系统中所有设置了SUID权限的root用户文件：find / -perm -u=s -type f 2>/dev/null；
2. 2. 筛选出可被利用的SUID文件（如find、bash、cp等），优先选择无需复杂利用条件的文件；
3. 3. 利用该文件执行root权限命令，例如：

• • find命令：find / -name test -exec /bin/bash ; （执行后获得root权限的Shell）；
• • bash命令：/bin/bash -p （直接获得root权限的Shell）；

1. 4. 验证权限（whoami命令查看是否为root），完成提权；
2. 5. 可选：使用AutoSUID等自动化工具，批量检测SUID文件及可用利用方式，提升测试效率。

「注意事项」：部分SUID文件会限制执行的命令，需提前测试该文件是否可执行自定义命令；提权后避免修改系统核心文件，防止系统崩溃。

「防御建议」：1. 定期检查系统中的SUID/SGID文件，删除不必要的SUID/SGID权限，尤其禁止给bash、find等高危命令设置SUID/SGID权限；2. 严格控制SUID/SGID文件的所有者和所属组，仅允许root用户拥有高权限SUID/SGID文件；3. 定期审计SUID/SGID文件的执行日志，发现异常执行行为及时排查。

3.2 sudo配置错误提权

sudo（Super User Do）是Linux系统中用于让普通用户临时执行高权限命令的工具，管理员通过配置/etc/sudoers文件，指定普通用户可执行的高权限命令（无需输入root密码或需要输入密码）。若/etc/sudoers文件配置错误，允许普通用户执行可用于提权的高危命令，或无需输入密码即可执行所有命令，则普通用户可通过sudo命令，直接获得root权限。

「常见配置错误场景」（渗透测试高频遇到）：

1. 1. 允许普通用户无需密码执行所有命令：testuser ALL=(ALL) NOPASSWD: ALL；
2. 2. 允许普通用户无需密码执行高危命令（如bash、sh、python、find等）：testuser ALL=(ALL) NOPASSWD: /bin/bash；
3. 3. /etc/sudoers文件权限配置错误（如普通用户可修改），允许普通用户自行修改配置；
4. 4. Sudo版本漏洞（如CVE-2025-32463），滥用--chroot选项劫持共享库加载，无需sudo权限即可提权。

「影响范围」：所有Linux系统，无版本限制，核心取决于/etc/sudoers文件的配置，或Sudo版本是否存在漏洞，多见于管理员为了方便运维，随意配置sudo权限的场景。

「渗透测试利用思路」（仅授权场景）：

场景1：sudo配置错误（无需密码执行高危命令）

1. 1. 用命令查询当前用户可执行的sudo命令：sudo -l；
2. 2. 若显示无需密码即可执行bash、python等命令，直接执行：sudo /bin/bash 或 sudo python -c 'import os; os.system("/bin/bash")'；
3. 3. 执行后获得root权限，完成提权。

场景2：CVE-2025-32463漏洞利用（Sudo版本漏洞）

1. 1. 检查Sudo版本：sudo --version，确认版本在1.9.14至1.9.17之间（该版本存在漏洞）；
2. 2. 利用漏洞滥用--chroot选项，创建临时工作目录、恶意共享库及虚假chroot环境；
3. 3. 配置恶意nsswitch.conf文件，诱使Sudo加载恶意共享库；
4. 4. 执行sudo -R woot woot命令触发漏洞，恶意共享库加载后自动执行提权代码，获得root Shell；
5. 5. 利用完成后，清理临时文件，隐藏测试痕迹。

「防御建议」：1. 严格配置/etc/sudoers文件，仅允许普通用户执行必要的高权限命令，禁止无需密码执行高危命令；2. 限制/etc/sudoers文件的权限（权限设置为440，仅root用户可修改）；3. 及时更新Sudo版本，将Sudo升级至1.9.17p1及以上版本，修复已知漏洞；4. 除非必要，避免使用sudo的--chroot选项。

3.3 内核漏洞提权

Linux内核漏洞提权，与Windows内核提权原理类似，利用Linux系统内核中的安全缺陷，通过执行EXP，绕过内核权限校验，直接获得root权限。这类漏洞多为开源社区披露的高危漏洞，部分漏洞虽已发布补丁，但实际测试中，很多老旧服务器（如CentOS 6、Ubuntu 16.04）长期未更新系统，仍存在该类漏洞，检出率较高。

本文重点讲解渗透测试中最常用、复现性强的1个内核提权漏洞：CVE-2022-0847（Dirty Pipe，脏管道漏洞）。

3.3.1 CVE-2022-0847（Dirty Pipe 脏管道漏洞）

「漏洞原理」：该漏洞源于Linux内核中pipe（管道）机制的内存未初始化缺陷，最早出现于2016年，2020年内核pipe实现修改后，成为可利用的漏洞。漏洞核心涉及pipe和splice两个系统调用，pipe在内核中使用环状buffer管理数据，当用户向pipe中写入数据时，内核未正确初始化pipe_buffer的flags字段，导致攻击者可利用该缺陷，修改任意只读文件的内容（无需调用特权syscall），进而通过修改/etc/passwd等敏感文件，实现提权。

「与脏牛漏洞（CVE-2016-5195）的区别」：无需ROP等复杂利用方法，不涉及内存损坏，无需知道内核基址，无需适配内核版本，利用更简单、兼容性更强，且不会导致系统崩溃。

「影响范围」：Linux内核版本 5.8 至 5.16.11、5.15.25、5.10.92 及以下版本，覆盖Ubuntu、CentOS、Debian、RedHat等主流Linux发行版，微软已于2022年3月发布内核补丁修复。

「渗透测试利用思路」（仅授权场景）：

1. 1. 先通过uname -r命令查询目标系统内核版本，确认系统内核在受影响范围内，且未安装修复补丁；
2. 2. 上传适配的EXP（漏洞利用程序），无需复杂配置，直接执行；
3. 3. EXP会利用漏洞修改/etc/passwd文件，添加一个具有root权限的临时用户（如user:pass:0:0::/:/bin/bash）；
4. 4. 用临时用户登录（su user，输入密码），获得root权限，完成提权；
5. 5. 提权后可删除临时用户，恢复/etc/passwd文件原貌，清理测试痕迹。

「注意事项」：该漏洞仅能修改只读文件的内容，无法直接执行命令，需通过修改敏感文件实现提权；修改/etc/passwd文件时，需注意文件格式，避免修改错误导致系统无法登录。

「防御建议」：1. 及时更新Linux系统内核，安装官方修复补丁，避免使用受影响的内核版本；2. 限制普通用户对/etc/passwd、/etc/shadow等敏感文件的访问权限，禁止普通用户修改；3. 启用内核审计功能，监控pipe相关系统调用的异常行为。

3.4 计划任务（Cron）漏洞提权

Cron是Linux系统中用于定时执行任务的工具，管理员通过配置Cron任务（/etc/crontab、/var/spool/cron/目录下的文件），让系统定期执行指定的脚本或命令，多数Cron任务以root权限执行。若Cron任务配置错误，允许普通用户修改任务对应的脚本文件，或任务执行的脚本存在路径漏洞，则普通用户可通过修改脚本，让Cron任务执行恶意代码，实现提权。

「常见配置错误场景」（渗透测试高频遇到）：

1. 1. Cron任务执行的脚本文件，可被普通用户修改（如脚本文件权限为777，Everyone可读写执行）；
2. 2. Cron任务中使用相对路径执行脚本或命令（如./test.sh），且相对路径所在目录可被普通用户写入；
3. 3. Cron任务执行的脚本中，调用了可被普通用户替换的命令（如未使用绝对路径调用find、cp等命令）。

「影响范围」：所有Linux系统，无版本限制，核心取决于Cron任务的配置，多见于管理员为了方便，随意配置Cron任务权限或脚本路径的场景。

「渗透测试利用思路」（仅授权场景）：

1. 1. 查看系统中的Cron任务：crontab -l（查看当前用户的Cron任务）、cat /etc/crontab（查看系统级Cron任务）；
2. 2. 筛选出以root权限执行、且脚本可被普通用户修改的Cron任务（如Cron任务为* * * * * root /home/test/test.sh，且test.sh文件可被当前普通用户修改）；
3. 3. 向脚本文件中添加恶意提权代码（如echo "test:test:0:0::/:/bin/bash" >> /etc/passwd）；
4. 4. 等待Cron任务定时执行，恶意代码以root权限执行，完成提权；
5. 5. 提权后删除脚本中的恶意代码，清理测试痕迹。

「注意事项」：修改脚本时，需保留脚本原有的功能，避免Cron任务执行失败，导致管理员发现异常；优先选择执行频率高的Cron任务（如每分钟执行一次），缩短提权等待时间。

「防御建议」：1. 严格控制Cron任务对应的脚本文件权限，仅允许root用户修改，禁止普通用户读写；2. Cron任务中执行脚本或命令时，使用绝对路径（如/usr/bin/find，而非find）；3. 定期检查系统级和用户级Cron任务，删除不必要的Cron任务，排查异常任务。

3.5 其他常用提权漏洞

3.5.1 /etc/passwd 文件可写提权

「漏洞原理」：/etc/passwd是Linux系统中存储用户信息的核心文件，若该文件被错误设置为可写权限（如权限为666），则普通用户可直接向文件中添加一个UID为0（root权限）的伪造用户，通过该用户登录即可获得root权限，方法简单有效，多见于配置不当的系统或靶机环境中。

「利用思路」：1. 检查/etc/passwd权限：ls -l /etc/passwd，确认文件可被当前普通用户写入；2. 执行命令添加伪造root用户：echo "hack:hack$xxxxxxxxxxxxxxx:0:0:hack:/root:/bin/bash" >> /etc/passwd（密码可提前加密）；3. 用su hack命令登录，输入密码即可获得root权限。

3.5.2 Docker 提权

「漏洞原理」：Docker是Linux系统中常用的容器化工具，若容器配置不当，攻击者可突破容器隔离限制，获得宿主机的root权限。常见利用场景包括：容器以--privileged（特权模式）运行，获得宿主机几乎所有权限；容器挂载了宿主机的敏感目录（如/etc、/root），可直接修改宿主机敏感文件。

「利用思路」：1. 查看容器信息：docker ps -a，获取容器ID；2. 检查容器是否为特权模式：docker inspect --format '{{.HostConfig.Privileged}}' ，若返回true则可利用；3. 进入特权容器：docker exec -it /bin/bash，执行mount /dev/sda1 /mnt，即可访问宿主机文件系统，实现提权；4. 若容器挂载了宿主机敏感目录，可直接修改宿主机/etc/passwd文件，添加root用户提权。

四、提权漏洞的核心防范思路

无论是Windows还是Linux系统，提权漏洞的产生，大多源于「权限配置不当」「系统/软件未及时更新」「管理员安全意识薄弱」，因此防御的核心的是“规范权限管理、及时修复漏洞、强化安全审计”，具体建议如下：

1. 1. 及时更新系统和软件：定期安装系统补丁（Windows的KB补丁、Linux的内核补丁），更新第三方软件和组件，修复已知的提权漏洞；避免使用长期未更新、已淘汰的系统版本（如Windows Server 2003、CentOS 6）。
2. 2. 规范权限配置：这是防御提权漏洞最核心的手段——Windows系统限制普通用户对服务、注册表、DLL文件的修改权限；Linux系统严格控制SUID/SGID文件、sudo配置、Cron任务、敏感文件（/etc/passwd、/etc/shadow）的权限，遵循“最小权限原则”，不给普通用户多余的权限。
3. 3. 强化安全审计：启用系统审计功能，记录用户的高危操作（如修改注册表、执行sudo命令、修改敏感文件），定期查看审计日志，及时发现异常行为；对关键系统资源（如Windows的System32目录、Linux的/etc目录）进行权限监控，发现权限异常修改及时排查。
4. 4. 禁用不必要的功能和服务：关闭系统中不必要的服务（如Windows的冗余辅助服务、Linux的不必要Cron任务），禁用未使用的系统功能（如Windows的“移动设备”功能），减少提权漏洞的攻击面。
5. 5. 提升管理员安全意识：避免为了方便，随意修改系统权限、配置文件；避免使用弱口令，定期更换管理员密码；不随意安装未验证的第三方软件，不随意给软件赋予高权限。

五、总结

本文梳理的提权漏洞，均为渗透测试中「高频遇到、实用性强、无明显攻击痕迹」的类型，核心分为两类：一类是“配置类漏洞”（如服务权限配置错误、sudo配置错误、Cron任务漏洞），这类漏洞无需系统存在高危漏洞，仅源于管理员疏忽，检出率最高、利用门槛最低；另一类是“系统/软件漏洞”（如Windows内核漏洞、Linux Dirty Pipe漏洞、DLL劫持漏洞），这类漏洞需要系统或软件存在未修复的缺陷，利用需依赖EXP，且需适配系统版本。

文章来源：HACK之道

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END