Bypass FS protections: read-only / no-exec / Distroless
Last updated
Last updated
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Wenn du an einer Hacking-Karriere interessiert bist und das Unhackbare hacken möchtest - wir stellen ein! (fließend Polnisch in Wort und Schrift erforderlich).
In den folgenden Videos findest du die auf dieser Seite erwähnten Techniken ausführlicher erklärt:
Es ist immer häufiger, Linux-Maschinen mit read-only (ro) Dateisystemschutz zu finden, insbesondere in Containern. Das liegt daran, dass es so einfach ist, einen Container mit ro Dateisystem zu starten, wie readOnlyRootFilesystem: true im securitycontext festzulegen:
Allerdings, selbst wenn das Dateisystem als ro gemountet ist, bleibt /dev/shm beschreibbar, sodass es falsch ist zu sagen, dass wir nichts auf die Festplatte schreiben können. Diese Ordner werden jedoch mit no-exec-Schutz gemountet, sodass du eine hier heruntergeladene Binärdatei nicht ausführen kannst.
Aus der Perspektive eines Red Teams macht dies das Herunterladen und Ausführen von Binärdateien, die sich nicht bereits im System befinden (wie Backdoors oder Aufzähler wie kubectl), kompliziert.
Beachte, dass ich von Binärdateien gesprochen habe, du kannst jedes Skript ausführen, solange der Interpreter auf der Maschine vorhanden ist, wie ein Shell-Skript, wenn sh vorhanden ist, oder ein Python-Skript, wenn Python installiert ist.
Allerdings reicht das nicht aus, um deine Binär-Backdoor oder andere Binärwerkzeuge auszuführen, die du möglicherweise benötigst.
Wenn du eine Binärdatei ausführen möchtest, aber das Dateisystem dies nicht zulässt, ist der beste Weg, dies zu tun, indem du sie aus dem Speicher ausführst, da die Schutzmaßnahmen dort nicht gelten.
Wenn du einige leistungsstarke Skript-Engines auf der Maschine hast, wie Python, Perl oder Ruby, könntest du die Binärdatei herunterladen, um sie aus dem Speicher auszuführen, sie in einem Speicher-Dateideskriptor (create_memfd syscall) speichern, der nicht durch diese Schutzmaßnahmen geschützt ist, und dann einen exec syscall aufrufen, der den fd als die auszuführende Datei angibt.
Dafür kannst du das Projekt fileless-elf-exec einfach verwenden. Du kannst ihm eine Binärdatei übergeben, und es wird ein Skript in der angegebenen Sprache generiert, mit der Binärdatei komprimiert und b64 codiert und den Anweisungen, um sie in einem fd zu dekodieren und zu dekomprimieren, das durch den Aufruf des create_memfd syscalls erstellt wird, und einem Aufruf des exec syscalls, um sie auszuführen.
Dies funktioniert nicht in anderen Skriptsprachen wie PHP oder Node, da sie keine Standardmethode haben, um rohe Syscalls aus einem Skript aufzurufen, sodass es nicht möglich ist, create_memfd aufzurufen, um den Speicher fd zu erstellen, um die Binärdatei zu speichern.
Darüber hinaus wird das Erstellen eines regulären fd mit einer Datei in /dev/shm nicht funktionieren, da du sie nicht ausführen darfst, weil der no-exec-Schutz gilt.
DDexec / EverythingExec ist eine Technik, die es dir ermöglicht, den Speicher deines eigenen Prozesses zu modifizieren, indem du /proc/self/mem überschreibst.
Daher kannst du, indem du den Assembly-Code kontrollierst, der vom Prozess ausgeführt wird, einen Shellcode schreiben und den Prozess "mutieren", um beliebigen Code auszuführen.
DDexec / EverythingExec ermöglicht es dir, deinen eigenen Shellcode oder jede Binärdatei aus dem Speicher zu laden und auszuführen.
For more information about this technique check the Github or:
Memexec ist der natürliche nächste Schritt von DDexec. Es ist ein DDexec Shellcode demonisiert, sodass Sie jedes Mal, wenn Sie eine andere Binärdatei ausführen möchten, DDexec nicht neu starten müssen. Sie können einfach den Memexec-Shellcode über die DDexec-Technik ausführen und dann mit diesem Daemon kommunizieren, um neue Binärdateien zu laden und auszuführen.
Sie finden ein Beispiel, wie Sie memexec verwenden, um Binärdateien von einer PHP-Reverse-Shell auszuführen unter https://github.com/arget13/memexec/blob/main/a.php.
Mit einem ähnlichen Zweck wie DDexec ermöglicht die memdlopen Technik eine einfachere Möglichkeit, Binärdateien im Speicher zu laden, um sie später auszuführen. Es könnte sogar ermöglichen, Binärdateien mit Abhängigkeiten zu laden.
Distroless-Container enthalten nur die minimalen Komponenten, die erforderlich sind, um eine bestimmte Anwendung oder einen Dienst auszuführen, wie Bibliotheken und Laufzeitabhängigkeiten, schließen jedoch größere Komponenten wie einen Paketmanager, eine Shell oder Systemdienstprogramme aus.
Das Ziel von Distroless-Containern ist es, die Angriffsfläche von Containern zu reduzieren, indem unnötige Komponenten eliminiert und die Anzahl der ausnutzbaren Schwachstellen minimiert wird.
In einem Distroless-Container finden Sie möglicherweise nicht einmal sh oder bash, um eine reguläre Shell zu erhalten. Sie werden auch keine Binärdateien wie ls, whoami, id... finden, alles, was Sie normalerweise in einem System ausführen.
Daher werden Sie nicht in der Lage sein, eine Reverse Shell zu erhalten oder das System wie gewohnt zu enumerieren.
Wenn der kompromittierte Container jedoch beispielsweise eine Flask-Webanwendung ausführt, ist Python installiert, und daher können Sie eine Python-Reverse-Shell erhalten. Wenn es Node ausführt, können Sie eine Node-Reverse-Shell erhalten, und dasselbe gilt für die meisten Skriptsprache.
Mit der Skriptsprache könnten Sie das System enumerieren, indem Sie die Sprachfähigkeiten nutzen.
Wenn es keine read-only/no-exec-Schutzmaßnahmen gibt, könnten Sie Ihre Reverse Shell missbrauchen, um Ihre Binärdateien im Dateisystem zu schreiben und sie auszuführen.
In dieser Art von Containern werden diese Schutzmaßnahmen jedoch normalerweise vorhanden sein, aber Sie könnten die vorherigen Techniken zur Ausführung im Speicher verwenden, um sie zu umgehen.
Sie finden Beispiele, wie Sie einige RCE-Schwachstellen ausnutzen können, um Skriptsprache Reverse Shells zu erhalten und Binärdateien aus dem Speicher auszuführen unter https://github.com/carlospolop/DistrolessRCE.
If you are interested in hacking career and hack the unhackable - we are hiring! (fluent polish written and spoken required).
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
