Red Team Field NotesPentest · Adversary Simulation · Validation
Élévation de privilèges Linux

sudo, SUID et capabilities

Énumération des droits sudo, SUID, capabilities, services, cron, conteneurs et permissions de fichiers.

sudo

sudo -l indique les commandes autorisées, l’utilisateur cible, les options et les contraintes. Analyse les jokers, scripts modifiables, variables d’environnement et éditeurs.

SUID/SGID

Pour chaque binaire : propriétaire, hash, package, version, arguments contrôlables et fichiers chargés. Compare avec le système de référence.

stat /usr/local/bin/example
sha256sum /usr/local/bin/example
dpkg -S /usr/local/bin/example 2>/dev/null

Capabilities

getcap -r / 2>/dev/null

Des capabilities telles que cap_setuid, cap_dac_read_search ou cap_sys_admin peuvent augmenter fortement le risque. Elles doivent être justifiées et limitées.

Validation

N’exécute pas un “one-liner” d’escalade trouvé sur Internet sur un serveur réel. Reproduis la configuration dans le lab et démontre l’impact avec un fichier canari.

Conseil de mission

Les mauvaises permissions sont souvent plus importantes que la version du noyau. Commence par sudo, services, scripts et répertoires écrits avant de chercher un exploit kernel.