2049 - Pentesting NFS Service

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Grundinformationen

NFS ist ein System, das für Client/Server konzipiert wurde und es Benutzern ermöglicht, nahtlos auf Dateien über ein Netzwerk zuzugreifen, als ob sich diese Dateien in einem lokalen Verzeichnis befinden würden.

Ein bemerkenswerter Aspekt dieses Protokolls ist das Fehlen von integrierten Authentifizierungs- oder Autorisierungsmechanismen. Stattdessen beruht die Autorisierung auf Dateisysteminformationen, wobei der Server dafür verantwortlich ist, die vom Client bereitgestellten Benutzerinformationen in das erforderliche Autorisierungsformat des Dateisystems genau zu übersetzen, hauptsächlich gemäß der UNIX-Syntax.

Die Authentifizierung beruht häufig auf UNIX UID/GID-Identifikatoren und Gruppenmitgliedschaften. Ein Problem ergibt sich jedoch aufgrund der möglichen Diskrepanz in den UID/GID-Zuordnungen zwischen Clients und Servern, was keinen Raum für zusätzliche Überprüfungen durch den Server lässt. Folglich ist das Protokoll am besten für die Verwendung innerhalb von vertrauenswürdigen Netzwerken geeignet, da es auf dieser Methode der Authentifizierung basiert.

Standardport: 2049/TCP/UDP (außer Version 4, es benötigt nur TCP oder UDP).

2049/tcp open  nfs     2-3 (RPC #100003

Versionen

NFSv2: Diese Version ist bekannt für ihre breite Kompatibilität mit verschiedenen Systemen und markiert ihre Bedeutung mit anfänglichen Operationen überwiegend über UDP. Als die älteste in der Reihe legte sie den Grundstein für zukünftige Entwicklungen.
NFSv3: Eingeführt mit einer Reihe von Verbesserungen, erweiterte NFSv3 seinen Vorgänger, indem es variable Dateigrößen unterstützte und verbesserte Fehlerberichterstattungsmechanismen bot. Trotz seiner Fortschritte hatte es Einschränkungen in der vollständigen Rückwärtskompatibilität mit NFSv2-Clients.
NFSv4: Eine wegweisende Version in der NFS-Serie, brachte NFSv4 eine Reihe von Funktionen mit sich, die darauf abzielen, die Dateifreigabe über Netzwerke zu modernisieren. Zu den bemerkenswerten Verbesserungen gehören die Integration von Kerberos für hohe Sicherheit, die Fähigkeit, Firewalls zu durchqueren und über das Internet ohne die Notwendigkeit von Portmappern zu arbeiten, Unterstützung für Access Control Lists (ACLs) und die Einführung von zustandsbasierten Operationen. Die Leistungsverbesserungen und die Annahme eines zustandsbehafteten Protokolls heben NFSv4 als einen entscheidenden Fortschritt in der Technologie der Netzwerkdateifreigabe hervor.

Jede Version von NFS wurde mit dem Ziel entwickelt, den sich entwickelnden Bedürfnissen von Netzwerkumgebungen gerecht zu werden und dabei Sicherheit, Kompatibilität und Leistung schrittweise zu verbessern.

Enumeration

Nützliche nmap-Skripte

nfs-ls #List NFS exports and check permissions
nfs-showmount #Like showmount -e
nfs-statfs #Disk statistics and info from NFS share

Nützliche Metasploit-Module

scanner/nfs/nfsmount #Scan NFS mounts and list permissions

Mounting

Um zu wissen, welcher Ordner dem Server verfügbar ist, um ihn zu mounten, können Sie ihn fragen mit:

showmount -e <IP>

Dann mounten Sie es mit:

mount -t nfs [-o vers=2] <ip>:<remote_folder> <local_folder> -o nolock

Sie sollten Version 2 verwenden, da sie keine Authentifizierung oder Autorisierung hat.

Beispiel:

mkdir /mnt/new_back
mount -t nfs [-o vers=2] 10.12.0.150:/backup /mnt/new_back -o nolock

Berechtigungen

Wenn Sie einen Ordner einhängen, der Dateien oder Ordner enthält, die nur von einem bestimmten Benutzer (durch UID) zugänglich sind. Sie können lokal einen Benutzer mit dieser UID erstellen und mit diesem Benutzer werden Sie in der Lage sein, auf die Datei/den Ordner zu zugreifen.

NSFShell

Um Dateien einfach aufzulisten, einzuhängen und UID sowie GID zu ändern, um Zugriff auf Dateien zu erhalten, können Sie nfsshell verwenden.

Nice NFSShell tutorial.

Konfigurationsdateien

/etc/exports
/etc/lib/nfs/etab

Gefährliche Einstellungen

Lese- und Schreibberechtigungen (rw): Diese Einstellung erlaubt sowohl das Lesen als auch das Schreiben im Dateisystem. Es ist wichtig, die Auswirkungen einer so breiten Zugriffsgewährung zu berücksichtigen.
Verwendung unsicherer Ports (insecure): Wenn aktiviert, erlaubt dies dem System, Ports über 1024 zu nutzen. Die Sicherheit von Ports in diesem Bereich kann weniger streng sein, was das Risiko erhöht.
Sichtbarkeit von verschachtelten Dateisystemen (nohide): Diese Konfiguration macht Verzeichnisse sichtbar, selbst wenn ein anderes Dateisystem unter einem exportierten Verzeichnis gemountet ist. Jedes Verzeichnis benötigt seinen eigenen Exporteintrag für eine ordnungsgemäße Verwaltung.
Besitz von Root-Dateien (no_root_squash): Mit dieser Einstellung behalten Dateien, die vom Root-Benutzer erstellt werden, ihre ursprüngliche UID/GID von 0, was das Prinzip der minimalen Berechtigung missachtet und potenziell übermäßige Berechtigungen gewährt.
Nicht-Squashing aller Benutzer (no_all_squash): Diese Option stellt sicher, dass die Benutzeridentitäten im gesamten System erhalten bleiben, was zu Berechtigungs- und Zugriffssteuerungsproblemen führen kann, wenn es nicht korrekt behandelt wird.

Privilegieneskalation durch NFS-Misconfigurationen

NFS no_root_squash und no_all_squash Privilegieneskalation

HackTricks Automatische Befehle

Protocol_Name: NFS    #Protocol Abbreviation if there is one.
Port_Number:  2049     #Comma separated if there is more than one.
Protocol_Description: Network File System         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for NFS
Note: |
NFS is a system designed for client/server that enables users to seamlessly access files over a network as though these files were located within a local directory.

#apt install nfs-common
showmount 10.10.10.180      ~or~showmount -e 10.10.10.180
should show you available shares (example /home)

mount -t nfs -o ver=2 10.10.10.180:/home /mnt/
cd /mnt
nano into /etc/passwd and change the uid (probably 1000 or 1001) to match the owner of the files if you are not able to get in

https://book.hacktricks.xyz/pentesting/nfs-service-pentesting

Entry_2:
Name: Nmap
Description: Nmap with NFS Scripts
Command: nmap --script=nfs-ls.nse,nfs-showmount.nse,nfs-statfs.nse -p 2049 {IP}

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstütze HackTricks

Überprüfe die Abonnementpläne!
Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
Teile Hacking-Tricks, indem du PRs zu den HackTricks und HackTricks Cloud GitHub-Repos einreichst.

Previous1883 - Pentesting MQTT (Mosquitto)Next2301,2381 - Pentesting Compaq/HP Insight Manager

Last updated 1 month ago