Sensitive Mounts
Last updated
Last updated
Lernen & Üben Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & Üben Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Die Offenlegung von /proc und /sys ohne angemessene Namespace-Isolierung birgt erhebliche Sicherheitsrisiken, einschließlich einer Vergrößerung der Angriffsfläche und der Offenlegung von Informationen. Diese Verzeichnisse enthalten sensible Dateien, die bei falscher Konfiguration oder Zugriff durch einen nicht autorisierten Benutzer zu einem Container-Ausbruch, einer Änderung des Hosts oder zur Bereitstellung von Informationen führen können, die weitere Angriffe unterstützen. Beispielsweise kann das falsche Einhängen von -v /proc:/host/proc den AppArmor-Schutz aufgrund seiner pfadbasierten Natur umgehen und /host/proc ungeschützt lassen.
Weitere Details zu jeder potenziellen Schwachstelle finden Sie unter https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts.
/proc/sysDieses Verzeichnis ermöglicht den Zugriff auf die Änderung von Kernelvariablen, normalerweise über sysctl(2), und enthält mehrere Unterordner von Interesse:
/proc/sys/kernel/core_patternBeschrieben in core(5).
Ermöglicht die Definition eines Programms, das bei der Generierung von Core-Dateien mit den ersten 128 Bytes als Argumenten ausgeführt wird. Dies kann zu einer Codeausführung führen, wenn die Datei mit einem Pipe-Zeichen | beginnt.
Beispiel für Test und Ausnutzung:
/proc/sys/kernel/modprobeDetailliert in proc(5).
Enthält den Pfad zum Kernelmodullader, der zum Laden von Kernelmodulen aufgerufen wird.
Beispiel zur Überprüfung des Zugriffs:
/proc/sys/vm/panic_on_oomReferenziert in proc(5).
Ein globaler Schalter, der steuert, ob der Kernel bei einem OOM-Zustand in Panik gerät oder den OOM-Killer aufruft.
/proc/sys/fsGemäß proc(5) enthält Optionen und Informationen zum Dateisystem.
Schreibzugriff kann verschiedene Denial-of-Service-Angriffe gegen den Host ermöglichen.
/proc/sys/fs/binfmt_miscErmöglicht die Registrierung von Interpretern für nicht native Binärformate basierend auf ihrer Magiezahl.
Kann zu Privilegieneskalation oder Root-Shell-Zugriff führen, wenn /proc/sys/fs/binfmt_misc/register beschreibbar ist.
Relevanter Exploit und Erklärung:
Ausführliches Tutorial: Video-Link
/proc/proc/config.gzKann die Kernelkonfiguration offenlegen, wenn CONFIG_IKCONFIG_PROC aktiviert ist.
Nützlich für Angreifer, um Schwachstellen im laufenden Kernel zu identifizieren.
/proc/sysrq-triggerErmöglicht das Auslösen von Sysrq-Befehlen, die möglicherweise sofortige Systemneustarts oder andere kritische Aktionen verursachen.
Beispiel zum Neustart des Hosts:
/proc/kmsgZeigt Kernelringpuffermeldungen an.
Kann bei Kernel-Exploits, Adresslecks und der Bereitstellung sensibler Systeminformationen helfen.
/proc/kallsymsListet exportierte Kernel-Symbole und deren Adressen auf.
Wesentlich für die Entwicklung von Kernel-Exploits, insbesondere zur Überwindung von KASLR.
Adressinformationen sind mit kptr_restrict auf 1 oder 2 beschränkt.
Details in proc(5).
/proc/[pid]/memInteragiert mit dem Kernel-Speichergerät /dev/mem.
Historisch anfällig für Privilegieneskalationsangriffe.
Mehr unter proc(5).
/proc/kcoreStellt den physischen Speicher des Systems im ELF-Core-Format dar.
Das Lesen kann den Speicherinhalt des Host-Systems und anderer Container preisgeben.
Eine große Dateigröße kann zu Leseproblemen oder Softwareabstürzen führen.
Detaillierte Verwendung in Dumping /proc/kcore in 2019.
/proc/kmemAlternative Schnittstelle für /dev/kmem, die den virtuellen Kernel-Speicher darstellt.
Ermöglicht das Lesen und Schreiben, daher die direkte Modifikation des Kernel-Speichers.
/proc/memAlternative Schnittstelle für /dev/mem, die den physischen Speicher darstellt.
Ermöglicht das Lesen und Schreiben, die Modifikation des gesamten Speichers erfordert die Auflösung virtueller in physische Adressen.
/proc/sched_debugGibt Informationen zur Prozessplanung zurück und umgeht PID-Namensraumschutzmaßnahmen.
Offenbart Prozessnamen, IDs und cgroup-Bezeichner.
/proc/[pid]/mountinfoBietet Informationen über Einhängepunkte im Einhängepunkt-Namensraum des Prozesses.
Offenbart den Speicherort des Container-rootfs oder des Images.
/sys/kernel/uevent_helperWird zur Behandlung von Kernelgeräte-uevents verwendet.
Das Schreiben in /sys/kernel/uevent_helper kann beliebige Skripte bei uevent-Auslösern ausführen.
Beispiel für Ausnutzung: %%%bash
echo "#!/bin/sh" > /evil-helper echo "ps > /output" >> /evil-helper chmod +x /evil-helper
host_path=$(sed -n 's/.\perdir=([^,]).*/\1/p' /etc/mtab)
echo "$host_path/evil-helper" > /sys/kernel/uevent_helper
echo change > /sys/class/mem/null/uevent
cat /output %%%
/sys/class/thermalSteuert Temperatureinstellungen, was potenziell DoS-Angriffe oder physische Schäden verursachen kann.
/sys/kernel/vmcoreinfoGibt Kernel-Adressen preis, was potenziell KASLR gefährden kann.
/sys/kernel/securityBeherbergt die securityfs-Schnittstelle, die die Konfiguration von Linux Security Modules wie AppArmor ermöglicht.
Der Zugriff könnte einem Container ermöglichen, sein MAC-System zu deaktivieren.
/sys/firmware/efi/vars und /sys/firmware/efi/efivarsBietet Schnittstellen zur Interaktion mit EFI-Variablen im NVRAM.
Fehlkonfiguration oder Ausnutzung kann zu unbrauchbaren Laptops oder nicht bootfähigen Host-Maschinen führen.
/sys/kernel/debugdebugfs bietet eine "keine Regeln" Debugging-Schnittstelle zum Kernel.
Geschichte von Sicherheitsproblemen aufgrund seiner uneingeschränkten Natur.
Lerne & übe AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)
