Bypass FS protections: read-only / no-exec / Distroless
Eğer hacking kariyeri ile ilgileniyorsanız ve hacklenemez olanı hacklemek istiyorsanız - işe alıyoruz! (akıcı Lehçe yazılı ve sözlü gereklidir).
Videolar
Aşağıdaki videolarda bu sayfada bahsedilen teknikleri daha derinlemesine bulabilirsiniz:
yalnızca okunur / çalıştırma yok senaryosu
Linux makinelerinin yalnızca okunur (ro) dosya sistemi koruması ile monte edilmesi giderek daha yaygın hale geliyor, özellikle konteynerlerde. Bunun nedeni, ro dosya sistemi ile bir konteyner çalıştırmanın readOnlyRootFilesystem: true ayarını securitycontext içinde ayarlamak kadar kolay olmasıdır:
Ancak, dosya sistemi ro olarak monte edilse bile, /dev/shm hala yazılabilir olacak, bu nedenle diske hiçbir şey yazamayacağımız yalan. Ancak, bu klasör çalıştırma yok koruması ile monte edilecektir, bu nedenle burada bir ikili dosya indirirseniz onu çalıştıramayacaksınız.
Kırmızı takım perspektifinden, bu, sistemde zaten bulunmayan ikili dosyaları indirmeyi ve çalıştırmayı zorlaştırıyor (örneğin, arka kapılar veya kubectl gibi sayıcılar).
En Kolay Aşma: Scriptler
İkili dosyalardan bahsettiğimi unutmayın, eğer yorumlayıcı makine içinde mevcutsa, bir shell script veya python yüklüyse bir python script gibi herhangi bir scripti çalıştırabilirsiniz.
Ancak, bu yalnızca ikili arka kapınızı veya çalıştırmanız gereken diğer ikili araçları çalıştırmak için yeterli değildir.
Bellek Aşmaları
Bir ikili dosyayı çalıştırmak istiyorsanız ancak dosya sistemi buna izin vermiyorsa, bunu bellekten çalıştırarak yapmak en iyi yoldur, çünkü korumalar burada geçerli değildir.
FD + exec syscall aşması
Makine içinde bazı güçlü script motorlarına sahipseniz, örneğin Python, Perl veya Ruby, ikili dosyayı bellekte çalıştırmak için indirebilir, bir bellek dosya tanımlayıcısında (create_memfd syscall) saklayabilir, bu korumalardan etkilenmeyecek ve ardından exec syscall çağrısı yaparak çalıştırılacak dosya olarak fd'yi belirtebilirsiniz.
Bunun için fileless-elf-exec projesini kolayca kullanabilirsiniz. Bir ikili dosya geçirebilir ve belirtilen dilde ikili dosya sıkıştırılmış ve b64 kodlanmış bir script oluşturur, ardından bellek fd'sinde create_memfd syscall çağrısı yaparak çözme ve açma talimatları ile birlikte çalıştırır.
Bu, PHP veya Node gibi diğer script dillerinde çalışmaz çünkü scriptten ham syscall'leri çağırmanın varsayılan bir yolu yoktur, bu nedenle ikili dosyayı saklamak için bellek fd'si oluşturmak için create_memfd çağrısı yapmak mümkün değildir.
Ayrıca, /dev/shm içinde bir dosya ile normal bir fd oluşturmak işe yaramaz, çünkü çalıştırma yok koruması uygulanacağı için bunu çalıştırmanıza izin verilmeyecektir.
DDexec / EverythingExec
DDexec / EverythingExec tekniği, kendi sürecinizin belleğini /proc/self/mem üzerine yazarak değiştirmenizi sağlar.
Bu nedenle, sürecin yürüttüğü montaj kodunu kontrol ederek, bir shellcode yazabilir ve süreci "değiştirerek" herhangi bir keyfi kodu çalıştırabilirsiniz.
DDexec / EverythingExec, kendi shellcode'unuzu veya herhangi bir ikili dosyayı bellekten yükleyip çalıştırmanıza olanak tanır.
Daha fazla bilgi için bu tekniği kontrol edin Github veya:
DDexec / EverythingExecMemExec
Memexec DDexec'in doğal bir sonraki adımıdır. Bu, DDexec shellcode demonize edilmiştir, böylece her seferinde farklı bir ikili dosya çalıştırmak istediğinizde DDexec'i yeniden başlatmanıza gerek yoktur, sadece memexec shellcode'u DDexec tekniği aracılığıyla çalıştırabilir ve ardından yeni ikili dosyaları yüklemek ve çalıştırmak için bu demon ile iletişim kurabilirsiniz.
Memexec'i bir PHP ters shell'den ikili dosyaları çalıştırmak için nasıl kullanacağınızla ilgili bir örneği https://github.com/arget13/memexec/blob/main/a.php adresinde bulabilirsiniz.
Memdlopen
DDexec ile benzer bir amaca sahip olan memdlopen tekniği, ikili dosyaları hafızaya yüklemenin daha kolay bir yolunu sağlar ve daha sonra bunları çalıştırmanıza olanak tanır. Hatta bağımlılıkları olan ikili dosyaları yüklemeye bile izin verebilir.
Distroless Bypass
Distroless nedir
Distroless konteynerler, belirli bir uygulama veya hizmeti çalıştırmak için gerekli olan en az gerekli bileşenleri içerir, örneğin kütüphaneler ve çalışma zamanı bağımlılıkları, ancak bir paket yöneticisi, shell veya sistem yardımcı programları gibi daha büyük bileşenleri hariç tutar.
Distroless konteynerlerin amacı, gereksiz bileşenleri ortadan kaldırarak konteynerlerin saldırı yüzeyini azaltmak ve istismar edilebilecek zafiyet sayısını en aza indirmektir.
Ters Shell
Bir distroless konteynerde normal bir shell almak için sh veya bash bile bulamayabilirsiniz. Ayrıca ls, whoami, id gibi ikili dosyaları da bulamayacaksınız... genellikle bir sistemde çalıştırdığınız her şey.
Bu nedenle, ters bir shell almanız veya sistemi numaralandırmanız mümkün olmayacaktır.
Ancak, eğer ele geçirilmiş konteyner örneğin bir flask web çalıştırıyorsa, o zaman python yüklüdür ve bu nedenle bir Python ters shell alabilirsiniz. Eğer node çalıştırıyorsa, bir Node rev shell alabilirsiniz ve çoğu betik dili ile aynı durum geçerlidir.
Betik dilini kullanarak sistemi numaralandırabilirsiniz.
Eğer read-only/no-exec korumaları yoksa, ters shell'inizi kullanarak dosya sistemine ikili dosyalarınızı yazabilir ve çalıştırabilirsiniz.
Ancak, bu tür konteynerlerde bu korumalar genellikle mevcut olacaktır, ancak önceki bellek yürütme tekniklerini kullanarak bunları aşabilirsiniz.
**Bazı RCE zafiyetlerini istismar ederek betik dillerinden ters shell'ler almak ve hafızadan ikili dosyaları çalıştırmak için örnekleri https://github.com/carlospolop/DistrolessRCE adresinde bulabilirsiniz.
Eğer hack kariyeri ile ilgileniyorsanız ve hacklenemez olanı hacklemek istiyorsanız - işe alıyoruz! (akıcı lehçe yazılı ve sözlü gereklidir).
Last updated
