arshad1312/PriviLens_Tool
GitHub: arshad1312/PriviLens_Tool
一款面向Linux和Windows系统的本地权限提升(LPE)自动化检测工具,可识别sudo配置错误、危险文件权限、可疑进程等常见提权风险。
Stars: 0 | Forks: 0
# 本地权限提升(LPE)检测工具
一个轻量级的**安全审计工具**,用于扫描 Linux 和 Windows 系统中常见的**本地权限提升(LPE)配置错误**。
该脚本在主机系统上执行多项检查,以识别弱权限、可疑进程、不安全配置以及其他可能允许普通用户获取提升权限的条件。
该项目的目标是提供一个**简单易读的安全扫描器**,帮助安全学习者、系统管理员和渗透测试人员快速审查潜在的权限提升风险。
# 概述
权限提升是后渗透阶段最常见的步骤之一。
获得系统的初始访问权限后,攻击者通常会寻找允许他们将权限提升到**管理员或 root**的配置错误。
该工具自动化了多项此类检查,并以分类的严重级别突出显示潜在的安全问题。
该脚本直接在目标系统上运行,并将结果打印到终端。
此外,它还可以生成**JSON 报告**供进一步分析。
# 功能
该工具包含以下分析模块:
### 1. 用户权限分析
检查当前用户的权限。
检测内容:
* Root 或 Administrator 执行权限
* 危险的 sudo 权限
* 特权组成员身份
* SUID 二进制文件
* 二进制文件的 Linux capabilities
* Windows 令牌权限
### 2. 文件和目录权限扫描
扫描敏感文件和目录的不安全权限。
检测内容:
* 全局可写的系统文件
* 组可写的关键文件
* PATH 目录劫持风险
* 弱 Windows ACL 权限
* 未引用的 Windows 服务路径
### 3. 进程分析
审查运行中的进程以识别可疑的权限使用。
检测内容:
* 具有提升**有效 UID**的进程
* 意外的 root 级进程
* 可能执行不安全脚本的 root 定时任务
* 安全描述符较弱的 Windows 服务
### 4. 注册表分析(仅限 Windows)
分析常被滥用于权限提升的注册表项。
检查内容:
* 自动运行项
* 可疑的可执行文件位置
* `AlwaysInstallElevated` 配置错误
* 特权启动项
### 5. 日志分析
在系统日志中搜索与权限提升尝试相关的可疑活动。
示例包括:
* sudo 认证失败
* SSH 暴力破解尝试
* 特权命令执行
* 可疑的定时任务活动
# 严重级别
每个发现结果都按严重级别分类。
| 级别 | 含义 |
| ------ | ------------------------------------------- |
| HIGH | 高概率的权限提升风险 |
| MEDIUM | 需要审查的潜在配置错误 |
| LOW | 次要的安全观察 |
| INFO | 信息性输出 |
# 安装
克隆仓库:
```
git clone https://github.com/arshad1312/PriviLens_Tool.git
cd lpe-detector
```
安装可选依赖项:
```
pip install colorama
```
`colorama` 仅用于彩色终端输出。
# 使用方法
运行扫描器:
```
python3 lpe_detector.py
```
运行特定模块:
```
python3 lpe_detector.py --modules user files processes
```
生成 JSON 报告:
```
python3 lpe_detector.py --output report.json
```
示例:
```
python3 lpe_detector.py --modules user files logs --output scan_report.json
```
# 示例输出
```
[ HIGH ] User: Unrestricted or NOPASSWD sudo rights detected
[ MEDIUM ] Permissions: Group-writable sensitive file: /etc/passwd
[ INFO ] Processes: No unexpected privilege-escalated processes found
```
扫描结束时,会显示**摘要报告**。
```
SCAN SUMMARY
HIGH : 2
MEDIUM : 3
LOW : 0
INFO : 12
```
# 支持的平台
该工具支持:
* Linux 发行版
* Windows 系统
某些模块是平台特定的:
| 模块 | Linux | Windows |
| ----------------------- | ----- | ------- |
| 用户权限分析 | ✔ | ✔ |
| 文件权限扫描 | ✔ | ✔ |
| 进程分析 | ✔ | ✔ |
| 注册表分析 | ✘ | ✔ |
| 日志分析 | ✔ | ✔ |
# 局限性
该工具旨在作为**基本的安全审计脚本**,不能替代专业的漏洞扫描器。
某些检查可能需要:
* 提升的权限
* 访问系统日志
* 已安装的系统工具(`find`、`getcap` 等)
结果应始终由人工审查。
# 项目结构
```
lpe_detector.py
README.md
```
该脚本使用**Python**编写,设计为易于阅读和修改。
# 教育目的
该项目作为学习练习的一部分创建,涉及:
* Linux 安全
* Windows 权限提升
* 系统审计
* Python 安全脚本编写
该工具仅用于**教育和防御性安全目的**。
# 免责声明
该工具仅应在您拥有或已获得明确测试许可的系统上使用。
作者不对滥用负责。
# 许可证
该项目基于**MIT 许可证**发布。
# 作者
Arshad
网络安全爱好者
标签:Capabilities, Conpot, Cron任务分析, LPE, PATH劫持, Python安全工具, SUDO权限检查, SUID二进制, Web报告查看器, Windows ACL, Windows安全, 代码生成, 反取证, 后渗透测试, 安全审计工具, 安全评估, 无线安全, 服务漏洞检测, 权限提升检测, 渗透测试工具, 特权升级, 系统加固检查, 网络安全审计, 逆向工具