Bypass FS protections: read-only / no-exec / Distroless
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
If you are interested in hacking career and hack the unhackable - we are hiring! (fluent polish written and spoken required).
In the following videos you can find the techniques mentioned in this page explained more in depth:
Все частіше можна зустріти linux-машини, змонтовані з захистом файлової системи тільки для читання (ro), особливо в контейнерах. Це пов'язано з тим, що запустити контейнер з файловою системою ro так само просто, як встановити readOnlyRootFilesystem: true в securitycontext:
Однак, навіть якщо файлова система змонтована як ro, /dev/shm все ще буде доступна для запису, тому це неправда, що ми не можемо нічого записати на диск. Проте, ця папка буде змонтована з захистом no-exec, тому якщо ви завантажите бінарний файл сюди, ви не зможете його виконати.
З точки зору червоної команди, це ускладнює завантаження та виконання бінарних файлів, які вже не знаходяться в системі (як бекдори або енумератори, такі як kubectl).
Зверніть увагу, що я згадував бінарні файли, ви можете виконувати будь-який скрипт, якщо інтерпретатор знаходиться всередині машини, наприклад, shell-скрипт, якщо sh присутній, або python скрипт, якщо встановлений python.
Однак цього недостатньо, щоб виконати ваш бінарний бекдор або інші бінарні інструменти, які вам можуть знадобитися.
Якщо ви хочете виконати бінарний файл, але файлова система цього не дозволяє, найкращий спосіб зробити це - виконати його з пам'яті, оскільки захисти не застосовуються там.
Якщо у вас є потужні скриптові движки всередині машини, такі як Python, Perl або Ruby, ви можете завантажити бінарний файл для виконання з пам'яті, зберегти його в файловому дескрипторі пам'яті (create_memfd syscall), який не буде захищений цими захистами, а потім викликати exec syscall, вказуючи fd як файл для виконання.
Для цього ви можете легко використовувати проект fileless-elf-exec. Ви можете передати йому бінарний файл, і він згенерує скрипт у вказаній мові з бінарним файлом, стиснутим і закодованим в b64 з інструкціями для декодування та розпакування його в fd, створеному за допомогою виклику create_memfd syscall, і викликом exec syscall для його виконання.
Це не працює в інших скриптових мовах, таких як PHP або Node, оскільки у них немає жодного за замовчуванням способу викликати сирі системні виклики з скрипту, тому неможливо викликати create_memfd, щоб створити memory fd для зберігання бінарного файлу.
Більше того, створення звичайного fd з файлом у /dev/shm не спрацює, оскільки вам не дозволять його виконати через те, що захист no-exec буде застосований.
DDexec / EverythingExec - це техніка, яка дозволяє вам модифікувати пам'ять вашого власного процесу шляхом перезапису його /proc/self/mem.
Отже, контролюючи асемблерний код, який виконується процесом, ви можете написати shellcode і "мутувати" процес, щоб виконати будь-який довільний код.
DDexec / EverythingExec дозволить вам завантажити та виконати ваш власний shellcode або будь-який бінарний файл з пам'яті.
Для отримання додаткової інформації про цю техніку перевірте Github або:
DDexec / EverythingExecMemexec є природним наступним кроком DDexec. Це DDexec shellcode demonised, тому що щоразу, коли ви хочете запустити інший бінарний файл, вам не потрібно перезапускати DDexec, ви можете просто запустити shellcode memexec за допомогою техніки DDexec, а потім спілкуватися з цим демоном, щоб передати нові бінарні файли для завантаження та виконання.
Ви можете знайти приклад того, як використовувати memexec для виконання бінарних файлів з PHP реверс-шелу за адресою https://github.com/arget13/memexec/blob/main/a.php.
З подібною метою до DDexec, техніка memdlopen дозволяє легше завантажувати бінарні файли в пам'ять для подальшого виконання. Це може навіть дозволити завантажувати бінарні файли з залежностями.
Контейнери distroless містять лише найнеобхідні компоненти для запуску конкретного застосунку або служби, такі як бібліотеки та залежності виконання, але виключають більші компоненти, такі як менеджер пакетів, оболонка або системні утиліти.
Мета контейнерів distroless полягає в тому, щоб зменшити поверхню атаки контейнерів, усунувши непотрібні компоненти та мінімізуючи кількість вразливостей, які можуть бути використані.
У контейнері distroless ви, можливо, навіть не знайдете sh або bash, щоб отримати звичайну оболонку. Ви також не знайдете бінарні файли, такі як ls, whoami, id... все, що ви зазвичай запускаєте в системі.
Отже, ви не зможете отримати реверс-шел або перерахувати систему, як зазвичай.
Однак, якщо скомпрометований контейнер, наприклад, запускає flask web, тоді python встановлений, і тому ви можете отримати Python реверс-шел. Якщо він запускає node, ви можете отримати Node rev shell, і те ж саме з більшістю будь-яких скриптових мов.
Використовуючи скриптову мову, ви могли б перерахувати систему, використовуючи можливості мови.
Якщо немає захистів read-only/no-exec, ви могли б зловживати своїм реверс-шелом, щоб записувати у файлову систему свої бінарні файли та виконувати їх.
Однак у таких контейнерах ці захисти зазвичай існують, але ви могли б використовувати попередні техніки виконання в пам'яті, щоб обійти їх.
Ви можете знайти приклади того, як використовувати деякі вразливості RCE для отримання реверс-шелів скриптових мов та виконання бінарних файлів з пам'яті за адресою https://github.com/carlospolop/DistrolessRCE.
Якщо вас цікавить кар'єра в хакінгу і ви хочете зламати незламне - ми наймаємо! (вимагається вільне володіння польською мовою в письмовій та усній формі).
Вивчайте та практикуйте хакінг AWS:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте хакінг GCP: HackTricks Training GCP Red Team Expert (GRTE)
