
Enumy
Enumy是一款功能强大的linux后渗透提权枚举工具,该工具是一个速度非常快的可移植可执行文件,广大研究人员可以在针对Linux设备的渗透测试以及CTF的后渗透阶段利用该工具实现权限提升,而Enumy运行之后将能够帮助研究人员枚举出目标设备中常见的安全漏洞。
哪些人应该使用Enumy
1、渗透测试人员,可以在目标设备上运行Enumy,并报告发现的安全问题;
2、CTF玩家可以利用Enumy来识别他们原本可能会错过或忽略的东西;
3、想识别本地设备中安全漏洞的话,同样可以使用Enumy;
工具安装
广大研究人员可以直接使用下列命令将项目源码克隆至本地:
git clone https://github.com/luke-goddard/enumy.git
除此之外,你也可以直接根据自己设备的平台架构下载最终编译好的x86或x64的Release版本代码:【Release页面】。
./enumy
工具选项

汇编代码
如需在开发过程中对代码进行汇编,请确保设备已安装了make和libcap库:
sudo apt-get install libcap-dev
make
接下来,在环境中运行下列构建命令:
./build.sh 64bit
./build.sh 32bit
./build.sh all
cd output
扫描类型
SUIDGUID扫描
这种扫描方式的目的是枚举系统数据,并搜索异常的SUID/GUID二进制文件或具有可利用的弱权限文件。
文件功能扫描
这种扫描功能可以扫描Linux系统中设置了异常功能的文件及其目录内的子集,通过这种扫描功能,我们将能够找到可利用的文件并获取到更高级别的访问控制权。
感兴趣文件扫描
这更像是一种常规扫描,它将尝试根据文件的内容、文件扩展名和文件名对文件进行分类。Enumy将查找私钥、密码和备份文件等文件。
Coredump扫描
Coredump文件是一种ELF文件,当程序意外终止时,它将存储进程的地址空间。如果这个过程的内存是可读的,并且包含敏感信息,那么这些内容将帮助我们开发0 day漏洞。
损坏的二进制文件扫描
有些文件不应该设置SUID位,对于一个懒惰的系统管理员来说,给docker、ionice、hexdump这样的文件设置SUID会让bash脚本工作起来更容易,这项扫描将试图找到一些已知损坏的SUID二进制文件。
Sysctl参数强化
Sysctl用于在运行时修改内核参数。还可以查询这些内核参数并检查是否启用了重要的安全措施,如ASLR。
动态共享对象注入扫描
此扫描将分析ELF文件的依赖项。如果我们对这些依赖项中的任何一个具有写访问权限,或者对任何DT_RPATH和DT_RUNPATH值具有写访问权限,那么我们可以在该可执行文件中创建自己的恶意共享对象,从而进一步利用系统漏洞。
SSH错误配置扫描
SSH是现实世界中最常见的服务之一,也很容易出现错误的配置,这项扫描将检查它是否可以在其他情况下被利用。
当前用户扫描
当前用户扫描只解析/etc/passwd。通过这些信息,我们可以找到root帐户、未受保护和丢失的主目录等。
工具性能测评
| 扫描类型 | 文件数量 | 线程 | 时间 |
|---|---|---|---|
| 快速扫描 | 180万 | 1 | 54 秒 |
| 快速扫描 | 180万 | 2 | 26 秒 |
| 快速扫描 | 180万 | 4 | 15 秒 |
| 快速扫描 | 180万 | 6 | 15 秒 |
| 快速扫描 | 180万 | 12 | 20 秒 |
| 完整扫描 | 180万 | 1 | 196 秒 |
| 完整扫描 | 180万 | 2 | 93 秒 |
| 完整扫描 | 180万 | 4 | 47 秒 |
| 完整扫描 | 180万 | 6 | 30 秒 |
| 完整扫描 | 180万 | 12 | 29 秒 |
项目地址
Enumy:【GitHub传送门】

湖北省咸宁市赤壁市 1F
之前用过类似的,结果一堆误报。
上海市 B1
@ 巫山神女 之前搞过提权,这个输出格式有点难读
北京市 2F
小白一个,这玩意儿咋用啊?
北京市 3F
看着功能挺全,不知道实际效果咋样。
台湾省 B1
@ 锈迹收割者 比linpeas轻量,适合CTF速刷
泰国 B1
@ 锈迹收割者 又是标题党吧,真能提权早火了
北京市 4F
对SUID扫描那块感兴趣,回头试试。
上海市 B1
@ 软软兔兔 跑过一次,SUID那块真挖出个脏东西
韩国 B1
@ 软软兔兔 我上次扫出来一堆docker的SUID,直接提权了
日本 B1
@ 软软兔兔 SUID那块我也想玩,等会儿先搞下。
安徽省六安市 5F
有懂哥说说这工具靠谱不?🤔
上海市 B1
@ 未来旅者 别忘了装libcap,要不扫描会报错。
印度 B1
@ 未来旅者 SSH那块能扫弱密码?回头试试看
贵州省贵阳市 B1
@ 未来旅者 到底是哪个版本的Enumy最稳?有没实测报告?🤔
浙江省舟山市 B1
@ 未来旅者 听说有的机器上会卡死,慎用。
湖南省郴州市 6F
脚本小子狂喜。
福建省漳州市 7F
看起来比手动一个个找方便多了。
福建省福州市 8F
这工具的名字起得还挺有意思。
韩国 9F
啥时候出个中文教程就好了。
上海市 10F
这玩意儿编译完才3MB?太香了
福建省福州市 11F
小白求问:build.sh要root权限吗?
河南省洛阳市偃师市 12F
看着像脚本小子玩具,不过应急确实快
越南 13F
之前踩过坑,有些coredump根本读不了,白高兴
韩国 14F
SSH配置那块扫出来过弱密码,真有用
日本 15F
这工具编译要装哪些依赖?
福建省泉州市 16F
试了下扫描速度确实快,比手动省事儿
北京市 B1
@ 永恒之森祭司 要是能在树莓派上跑就绝了
韩国 B1
@ 永恒之森祭司 三秒搞定,省事。
日本 B1
@ 永恒之森祭司 速度真的飞起,手工搜文件根本跟不上,几分钟搞定全盘。
重庆市 B1
@ 永恒之森祭司 确实,秒扫完真爽。
上海市 B1
@ 永恒之森祭司 速度快是好,但误报也挺多的。
湖南省怀化市 17F
SUID那块扫出来的结果准不准?
广东省广州市 B1
@ 花魂鬼语 如果系统自带的SUID太多,有没有过滤脚本推荐?
河南省新乡市 B1
@ 花魂鬼语 我之前也跑过,SUID结果基本靠谱。
湖北省黄冈市 18F
有人试过在CentOS上跑吗?
巴基斯坦 B1
@ 山远人 CentOS上跑过,装了libcap后能正常执行 😊
湖南省衡阳市 19F
文件功能扫描能发现隐藏后门不?
台湾省 20F
看介绍感觉对CTF挺有用的🤔
山东省 21F
之前用别的工具一堆误报,这个咋样?
日本 22F
安装命令直接复制就能用?
韩国 23F
这工具能自定义扫描项吗?
上海市普陀区 24F
性能测试数据挺吸引人的
广东省深圳市 25F
这工具编译完才3MB?太香了
日本 26F
SUID扫出来一堆系统自带的咋办,怎么区分?
广东省东莞市 27F
build.sh需要提前装gcc吗?
湖北省黄石市 28F
coredump扫描实际挖到过漏洞吗?
山东省济南市 B1
@ 灵霄嘲风 确实有一次从coredump里拿到敏感信息,直接定位到漏洞点。
上海市 29F
感觉适合懒人快速摸底,hhhh
湖北省鄂州市 30F
有人在Ubuntu 22.04试过吗?老是卡住
山东省青岛市 31F
这东西跑起来快不快?
湖北省十堰市 B1
@ Soda Pop Sam 快是快,但吃内存有点狠
日本 B1
@ Soda Pop Sam 跑起来挺快的,几秒就完事。
日本 32F
这工具名字是enum+Y组合的?666
江苏省无锡市 33F
中文教程求带,现在全靠猜着用
日本 34F
速度真的惊人,秒开。
韩国 35F
看到SUID那块扫到一堆系统自带的,我笑了。
天津市 36F
这个工具在ARM上能跑吗?
浙江省台州市 37F
别忘了先装libcap,少走弯路。
北京市 38F
我之前用它抓到一个root权限,爽。
印度 39F
文档太简陋,找指令像找宝藏 😂
山东省临沂市 40F
误报少了点,但比手动强。
中国 41F
有人说全是误报,我倒是用它定位了一个coredump泄露,感觉还行。
广西柳州市 B1
@ 金骏眉缘 定位成功挺爽,感谢分享。
北京市 42F
如果想自定义扫描项,需要改源码还是配置文件就行?
山东省淄博市 B1
@ 门下侍郎 make卡住可能是libcap没装对
日本 43F
刚在Ubuntu 22.04上跑,卡在make阶段半小时,我都快崩溃了,谁能给点实战经验?
湖北省武汉市 44F
有中文文档就好了,现在全靠猜着用
陕西省西安市 45F
感觉编译依赖这块写得不够细
云南省 46F
速度确实快,扫完180万文件才几十秒
日本 47F
之前搞渗透时也自己写脚本枚举,现在有现成的工具了
韩国 48F
功能挺全的,suid和ssh都覆盖了
内蒙古鄂尔多斯市 49F
这工具能扫到隐藏的SUID吗?
广东省广州市 50F
看起来比LinEnum好用?
韩国 51F
编译完3MB,带U盘里挺方便
辽宁省大连市 52F
开源工具就是好,可以自己魔改
日本 53F
这工具装完直接跑,省事。
湖南省长沙市 54F
我在ARM上试了,竟然能跑,惊喜。
马来西亚 55F
想自定义扫描项的话,源码里有配置文件,改完重新编译就行。
北京市 56F
太香了🤤,3MB装进U盘超方便。
台湾省新北市 57F
第一次用Enumy抓到coredump泄露,真是意外收获,感觉比手写脚本靠谱多了。
中国 58F
SUID结果里有系统自带的,怎么筛选?
中国 59F
文档有点简陋,找指令像找宝藏 😂
韩国 60F
功能还挺全,就是不知道误报多不多。
宁夏银川市 B1
@ Riftstalker 误报控制得还行,具体看扫描类型和环境。