Sensitive Mounts
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
L'esposizione di /proc e /sys senza una corretta isolamento dei namespace introduce significativi rischi per la sicurezza, inclusi l'ampliamento della superficie di attacco e la divulgazione di informazioni. Queste directory contengono file sensibili che, se mal configurati o accessibili da un utente non autorizzato, possono portare a fuga dal container, modifica dell'host o fornire informazioni che facilitano ulteriori attacchi. Ad esempio, montare in modo errato -v /proc:/host/proc può eludere la protezione di AppArmor a causa della sua natura basata su percorso, lasciando /host/proc non protetto.
Puoi trovare ulteriori dettagli su ciascuna potenziale vulnerabilità in https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts.
/proc/sysQuesta directory consente l'accesso per modificare le variabili del kernel, di solito tramite sysctl(2), e contiene diverse sottodirectory di interesse:
/proc/sys/kernel/core_patternDescritto in core(5).
Consente di definire un programma da eseguire alla generazione di un file di core con i primi 128 byte come argomenti. Questo può portare all'esecuzione di codice se il file inizia con una pipe |.
Esempio di test e sfruttamento:
/proc/sys/kernel/modprobeDettagliato in proc(5).
Contiene il percorso per il caricatore di moduli del kernel, invocato per caricare i moduli del kernel.
Esempio di controllo accesso:
/proc/sys/vm/panic_on_oomRiferito in proc(5).
Un flag globale che controlla se il kernel va in panico o invoca l'oom killer quando si verifica una condizione OOM.
/proc/sys/fsSecondo proc(5), contiene opzioni e informazioni sul file system.
L'accesso in scrittura può abilitare vari attacchi di denial-of-service contro l'host.
/proc/sys/fs/binfmt_miscConsente di registrare interpreti per formati binari non nativi basati sul loro numero magico.
Può portare a escalation dei privilegi o accesso a shell root se /proc/sys/fs/binfmt_misc/register è scrivibile.
Sfruttamento e spiegazione rilevanti:
Tutorial approfondito: Video link
/proc/proc/config.gzPuò rivelare la configurazione del kernel se CONFIG_IKCONFIG_PROC è abilitato.
Utile per gli attaccanti per identificare vulnerabilità nel kernel in esecuzione.
/proc/sysrq-triggerConsente di invocare comandi Sysrq, potenzialmente causando riavvii immediati del sistema o altre azioni critiche.
Esempio di riavvio dell'host:
/proc/kmsgEspone i messaggi del buffer di anello del kernel.
Può aiutare negli exploit del kernel, perdite di indirizzi e fornire informazioni sensibili sul sistema.
/proc/kallsymsElenca i simboli esportati dal kernel e i loro indirizzi.
Essenziale per lo sviluppo di exploit del kernel, specialmente per superare KASLR.
Le informazioni sugli indirizzi sono limitate con kptr_restrict impostato su 1 o 2.
Dettagli in proc(5).
/proc/[pid]/memInterfaccia con il dispositivo di memoria del kernel /dev/mem.
Storicamente vulnerabile ad attacchi di escalation dei privilegi.
Maggiori informazioni su proc(5).
/proc/kcoreRappresenta la memoria fisica del sistema in formato ELF core.
La lettura può rivelare contenuti di memoria del sistema host e di altri container.
La grande dimensione del file può portare a problemi di lettura o crash del software.
Uso dettagliato in Dumping /proc/kcore in 2019.
/proc/kmemInterfaccia alternativa per /dev/kmem, rappresenta la memoria virtuale del kernel.
Consente lettura e scrittura, quindi modifica diretta della memoria del kernel.
/proc/memInterfaccia alternativa per /dev/mem, rappresenta la memoria fisica.
Consente lettura e scrittura, la modifica di tutta la memoria richiede la risoluzione degli indirizzi virtuali in fisici.
/proc/sched_debugRestituisce informazioni sulla pianificazione dei processi, eludendo le protezioni del namespace PID.
Espone nomi di processi, ID e identificatori di cgroup.
/proc/[pid]/mountinfoFornisce informazioni sui punti di montaggio nel namespace di montaggio del processo.
Espone la posizione del rootfs o dell'immagine del container.
/sys Vulnerabilities/sys/kernel/uevent_helperUtilizzato per gestire i uevents dei dispositivi del kernel.
Scrivere in /sys/kernel/uevent_helper può eseguire script arbitrari al verificarsi di uevent.
Esempio di sfruttamento: %%%bash
echo "#!/bin/sh" > /evil-helper echo "ps > /output" >> /evil-helper chmod +x /evil-helper
host_path=$(sed -n 's/.\perdir=([^,]).*/\1/p' /etc/mtab)
echo "$host_path/evil-helper" > /sys/kernel/uevent_helper
echo change > /sys/class/mem/null/uevent
cat /output %%%
/sys/class/thermalControlla le impostazioni di temperatura, potenzialmente causando attacchi DoS o danni fisici.
/sys/kernel/vmcoreinfoRilascia indirizzi del kernel, compromettendo potenzialmente KASLR.
/sys/kernel/securityContiene l'interfaccia securityfs, che consente la configurazione dei moduli di sicurezza Linux come AppArmor.
L'accesso potrebbe consentire a un container di disabilitare il proprio sistema MAC.
/sys/firmware/efi/vars e /sys/firmware/efi/efivarsEspone interfacce per interagire con le variabili EFI in NVRAM.
Una configurazione errata o sfruttamento può portare a laptop bloccati o macchine host non avviabili.
/sys/kernel/debugdebugfs offre un'interfaccia di debug "senza regole" al kernel.
Storia di problemi di sicurezza a causa della sua natura illimitata.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
