ld.so privesc exploit example
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
次のセクションでは、環境を準備するために使用するファイルのコードを見つけることができます。
同じフォルダにそのファイルを作成します
ライブラリをコンパイルします: gcc -shared -o libcustom.so -fPIC libcustom.c
libcustom.so
を/usr/lib
にコピーします: sudo cp libcustom.so /usr/lib
(root権限)
実行可能ファイルをコンパイルします: gcc sharedvuln.c -o sharedvuln -lcustom
libcustom.so_が/usr/lib_から読み込まれていることと、バイナリを実行できることを確認します。
このシナリオでは、誰かが_/etc/ld.so.conf/_内に脆弱なエントリを作成したと仮定します:
脆弱なフォルダーは /home/ubuntu/lib です(書き込みアクセスがあります)。 次のコードをそのパス内でダウンロードしてコンパイルしてください:
今、誤って設定されたパス内に悪意のあるlibcustomライブラリを作成したので、再起動を待つか、rootユーザーが**ldconfig
を実行するのを待つ必要があります(_このバイナリをsudoとして実行できる場合、またはsuidビット**が設定されている場合は、自分で実行できます_)。
これが発生したら、再確認してください。sharevuln
実行可能ファイルがlibcustom.so
ライブラリをどこから読み込んでいるかを確認します:
ご覧のとおり、/home/ubuntu/lib
から読み込んでいます。もしユーザーがこれを実行すると、シェルが実行されます:
この例では特権を昇格させていないことに注意してくださいが、実行されるコマンドを変更し、rootまたは他の特権ユーザーが脆弱なバイナリを実行するのを待つことで特権を昇格させることができます。
前の例では、管理者が**/etc/ld.so.conf.d/
内の設定ファイルに非特権フォルダーを設定したという誤設定を偽装しました。
しかし、同じ脆弱性を引き起こす他の誤設定もあります。/etc/ld.so.conf.d
内のいくつかの設定ファイル**、/etc/ld.so.conf.d
フォルダー内、または/etc/ld.so.conf
ファイル内に書き込み権限がある場合、同じ脆弱性を設定して悪用することができます。
ldconfig
に対してsudo権限を持っていると仮定します。
ldconfig
に設定ファイルをどこから読み込むかを指示することができます。これを利用してldconfig
に任意のフォルダーを読み込ませることができます。
それでは、"/tmp"を読み込むために必要なファイルとフォルダーを作成しましょう:
今、前のエクスプロイトで示されたように、/tmp
内に悪意のあるライブラリを作成します。
最後に、パスをロードして、バイナリがライブラリをどこからロードしているかを確認しましょう:
ご覧のとおり、ldconfig
に対するsudo権限を持っていると、同じ脆弱性を悪用できます。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)