NFS no_root_squash/no_all_squash misconfiguration PE
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Прочитайте файл _ /etc/exports _ , якщо ви знайдете деяку директорію, яка налаштована як no_root_squash, тоді ви можете доступитися до неї як клієнт і записувати всередині цієї директорії так, ніби ви були локальним root машини.
no_root_squash: Ця опція в основному надає повноваження користувачу root на клієнті доступатися до файлів на NFS сервері як root. І це може призвести до серйозних проблем з безпекою.
no_all_squash: Це схоже на опцію no_root_squash, але застосовується до не-root користувачів. Уявіть, що у вас є оболонка як користувач nobody; перевірте файл /etc/exports; опція no_all_squash присутня; перевірте файл /etc/passwd; емітуйте не-root користувача; створіть файл suid як цей користувач (монтуванням за допомогою nfs). Виконайте suid як користувач nobody і станьте іншим користувачем.
Підвищення привілеїв
Віддалена експлуатація
Якщо ви знайшли цю вразливість, ви можете її експлуатувати:
Монтування цієї директорії на клієнтській машині, і як root копіювання всередину змонтованої папки бінарного файлу /bin/bash і надання йому прав SUID, і виконання з жертви машини цього бінарного файлу bash.
Монтування цього каталогу на клієнтській машині та як root копіювання всередину змонтованої папки нашого скомпільованого вантажу, який зловживає правами SUID, надання йому прав SUID та виконання з жертви цієї двійкової програми (ви можете знайти тут деякі C SUID вантажі).
Local Exploit
Зверніть увагу, що якщо ви можете створити тунель з вашого комп'ютера до комп'ютера жертви, ви все ще можете використовувати віддалену версію для експлуатації цього підвищення привілеїв, тунелюючи необхідні порти.
Наступний трюк стосується випадку, коли файл /etc/exports
вказує на IP. У цьому випадку ви не зможете використовувати в жодному випадку віддалену експлуатацію і вам потрібно буде зловживати цим трюком.
Ще однією необхідною умовою для роботи експлуатації є те, що експорт всередині /etc/export
повинен використовувати прапор insecure
.
--Я не впевнений, що якщо /etc/export
вказує на IP-адресу, цей трюк спрацює--
Basic Information
Сценарій передбачає експлуатацію змонтованого NFS-спільного ресурсу на локальному комп'ютері, використовуючи недолік у специфікації NFSv3, який дозволяє клієнту вказувати свій uid/gid, що потенційно може дозволити несанкціонований доступ. Експлуатація передбачає використання libnfs, бібліотеки, яка дозволяє підробляти виклики NFS RPC.
Compiling the Library
Кроки компіляції бібліотеки можуть вимагати коригувань залежно від версії ядра. У цьому конкретному випадку системні виклики fallocate були закоментовані. Процес компіляції включає наступні команди:
Проведення експлуатації
Експлуатація полягає у створенні простого C програми (pwn.c
), яка підвищує привілеї до root, а потім виконує оболонку. Програма компілюється, а отриманий бінарний файл (a.out
) розміщується на загальному ресурсі з suid root, використовуючи ld_nfs.so
для підробки uid у викликах RPC:
Скомпілюйте код експлуатації:
Розмістіть експлуатацію на загальному ресурсі та змініть її дозволи, підробляючи uid:
Виконайте експлуатацію для отримання привілеїв root:
Бонус: NFShell для прихованого доступу до файлів
Після отримання доступу root, для взаємодії з NFS загальним ресурсом без зміни власності (щоб уникнути залишення слідів), використовується Python скрипт (nfsh.py). Цей скрипт налаштовує uid, щоб відповідати uid файлу, до якого звертаються, що дозволяє взаємодіяти з файлами на загальному ресурсі без проблем з дозволами:
Запустіть як:
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated