2024hw蓝队面试题-3

Linux有哪些提权思路

常用的有以下几种：

1.SUID提权：在Linux中，如果一个可执行文件的SUID被设置，那么该文件将以拥有者的权限运行，而不是以执行者的权限运行。因此，如果用户找到了一个SUID为root的文件并成功地使其执行了恶意代码，那么该用户将会获得root权限。

2.利用系统漏洞：这是最常见的攻击方式，通过研究和利用Linux内核或者系统服务中的漏洞，以此实现权限提升。

3.安全配置错误：例如配置错误的sudo权限、cron任务、文件系统权限等，都有可能被利用来提权。

4.利用软件漏洞：如果系统上运行的某个软件存在漏洞，如各种服务器软件、数据库等，我们可以尝试利用这些漏洞进行提权操作。

5.密码破解：例如弱口令攻击，或者找到系统中存储密码的文件（如/etc/shadow,/etc/passwd）然后进行破解，以此来提升权限。

Windows有哪些提权思路

1.利用系统漏洞：这是最常见一种方式。通过找到并利用Windows系统的漏洞，可以直接获取高级别的权限。

2.配置错误：主要包括错误的文件和文件夹权限、服务配置错误等情况。

3.服务漏洞：Windows有很多默认安装的服务，一些服务可能存在漏洞

4.利用软件漏洞：如果一个以管理员权限运行的程序存在漏洞，那么攻击者可能可以通过这个漏洞来获取管理员权限。

5.查找并利用密码：例如，可以从系统内部、配置文件、注册表、或者内存中寻找密码的明文或者哈希值。如果找到了，可以尝试破解或者直接使用。

6.Token劫持/Hijacking：在Windows中，权限和访问控制是基于Token的。如果一个程序能获取到另一个权限更高的进程的Token，那么它就可以提升自己的权限。

Linux后门排查哪些东西

1.登录记录：检查/var/log/secure 或/var/log/auth.log。这些登录记录文件会记录所有尝试登录系统的行为，包括ssh登录和物理终端。

2.历史命令：检查~/.bash_history或其他相应的shell历史文件，这能看到输入的命令。

3.开机自启动程序：查看/etc/rc.d目录下的启动脚本，以及/etc/rc.local、/etc/rc.d/rc.sysinit等文件，检查是否存在异常。

4.网络连接：使用netstat、ss等命令查看网络连接状态，检查是否有未知的网络连接或监听状态。

5.进程列表：使用ps、top等命令查看正在运行的进程，特别留意是否有未知或异常的进程。

6.系统计划任务：检查cron、at等定时任务，看是否有未知的计划任务。主要查看/etc/crontab文件以及/etc/cron.*目录。

7.系统调用：使用strace等工具追踪可疑进程的系统调用，看其是否进行了非正常的系统调用，如操作隐藏文件、监听网络端口等。

8.隐藏文件/目录：检查文件系统，看是否有隐藏的或没有权限的文件或目录，具体可以用ls -la命令查看。

9.系统账户：检查/etc/passwd、/etc/shadow等文件，看是否有未知的用户账户。

10.系统日志：查看/var/log/下的系统日志，如messages, syslogs等，检查是否有异常或者疑似攻击的记录。

11.SSH公钥：检查~/.ssh目录下的authorized_keys文件，查看是否有未知的SSH公钥。