balyakin/sudocheck

# sudocheck **一条命令。真实的 Linux 提权路径。附带原理解析与修复方案。** sudocheck 会扫描 Linux 系统中 sudo 规则、SUID/SGID 文件以及 Linux capabilities 的提权向量，随后将发现的结果映射到 GTFOBins 风格的漏洞利用说明和防御性修复建议。 它绝不执行漏洞利用命令。它仅解释攻击者可能的行为以及需要修复的内容。 ## 安装 ``` curl -sSL https://raw.githubusercontent.com/balyakin/sudocheck/main/install.sh | sh ``` 从源码安装： ``` go install github.com/balyakin/sudocheck@latest ``` ## 快速入门 ``` sudocheck sudocheck scan --json sudocheck scan --format sarif --report sudocheck.sarif sudocheck scan --severity info sudocheck scan --defensive sudocheck lookup tcpdump sudocheck demo ``` 默认扫描输出会显示中等及以上严重级别的结果。使用 `--severity info` 可查看完整的清单。 ## 为什么选择 sudocheck？ | 功能 | linPEAS | suid3num | sudocheck | |---|---:|---:|---:| | sudo 规则 | 是 | 否 | 是 | | SUID/SGID 二进制文件 | 是 | 是 | 是 | | capabilities | 是 | 否 | 是 | | GTFOBins 映射 | 部分 | 部分 | 是 | | 漏洞利用命令 | 嘈杂 | 部分 | 精准 | | 修复命令 | 否 | 否 | 是 | | JSON 输出 | 否 | 否 | 是 | | SARIF 输出 | 否 | 否 | 是 | | 基线 / 忽略 | 否 | 否 | 是 | ## CI ``` - name: Privilege escalation audit run: | curl -sSL https://raw.githubusercontent.com/balyakin/sudocheck/main/install.sh | sh sudocheck scan --quiet --fail-on high ``` 对于老旧主机，请首先创建一个基线： ``` sudocheck baseline init --output sudocheck.baseline.json sudocheck scan --baseline sudocheck.baseline.json --fail-on high ``` ## SARIF ``` sudocheck scan --format sarif --report sudocheck.sarif ``` SARIF 输出默认会对主机和用户元数据进行脱敏处理。 ## 演示 ``` sudocheck demo ``` 演示模式使用确定性的夹具数据，不会读取真实的系统。 ## 负责任的使用 sudocheck 仅适用于您拥有或获得明确授权进行测试的系统。请参阅 `DISCLAIMER.md`。 ## 许可证 MIT 许可证。版权所有 (c) 2026 Evgeny Balyakin。

标签：API安全, CI/CD安全, CLI, CSV导出, DevSecOps, EVTX分析, Golang, GTFOBins, JSON输出, Linux Capabilities, Llama, osquery, SARIF, SGID检查, Sudo审计, SUID检查, WiFi技术, 上游代理, 动态分析, 协议分析, 安全基线, 安全编程, 提权检测, 教学环境, 日志审计, 权限提升, 混合加密, 系统加固, 红队评估, 网络安全, 蓝队防御, 运维安全, 防御修复, 隐私保护