Linux Privilege Escalation
Información del Sistema
Información del SO
Comencemos obteniendo conocimiento del sistema operativo en ejecución.
Ruta
Si tienes permisos de escritura en cualquier carpeta dentro de la variable PATH
, es posible que puedas secuestrar algunas bibliotecas o binarios:
Información del entorno
¿Información interesante, contraseñas o claves API en las variables de entorno?
Exploits del Kernel
Verifica la versión del kernel y si existe algún exploit que se pueda utilizar para escalar privilegios
Puedes encontrar una buena lista de kernels vulnerables y algunos exploits ya compilados aquí: https://github.com/lucyoa/kernel-exploits y exploitdb sploits. Otros sitios donde puedes encontrar algunos exploits compilados: https://github.com/bwbwbwbw/linux-exploit-binaries, https://github.com/Kabot/Unix-Privilege-Escalation-Exploits-Pack
Para extraer todas las versiones de kernel vulnerables de esa web puedes hacer:
Las herramientas que podrían ayudar a buscar exploits del kernel son:
linuxprivchecker.py (ejecutar en la víctima, solo verifica exploits para kernel 2.x)
Siempre busca la versión del kernel en Google, tal vez tu versión de kernel esté mencionada en algún exploit del kernel y así te asegurarás de que dicho exploit es válido.
CVE-2016-5195 (DirtyCow)
Escalada de privilegios en Linux - Kernel de Linux <= 3.19.0-73.8
Versión de Sudo
Basado en las versiones vulnerables de sudo que aparecen en:
Puedes verificar si la versión de sudo es vulnerable utilizando este comando grep.
sudo < v1.28
Por @sickrov
Fallo de verificación de firma de Dmesg
Verifique la máquina smasher2 de HTB para ver un ejemplo de cómo esta vulnerabilidad podría ser explotada
Más enumeración del sistema
Enumerar posibles defensas
AppArmor
Grsecurity
Grsecurity es un conjunto de parches para el kernel de Linux que incluye características de seguridad avanzadas, como protecciones contra escalada de privilegios y mitigación de exploits.
PaX
Execshield
Execshield es una característica de seguridad del kernel de Linux que protege contra ataques de desbordamiento de búfer y otros tipos de vulnerabilidades de ejecución de código.
SElinux
SElinux (Security-Enhanced Linux) es un mecanismo de control de acceso obligatorio (MAC) implementado en el núcleo de Linux. Proporciona políticas de seguridad mejoradas mediante el etiquetado de los recursos del sistema y la imposición de reglas de acceso.
ASLR
ASLR (Address Space Layout Randomization) es una técnica de seguridad que ayuda a prevenir ataques de explotación al aleatorizar la ubicación en la memoria de áreas clave del sistema, como la pila, la biblioteca de enlaces dinámicos y el montón.
Escapada de Docker
Si te encuentras dentro de un contenedor de Docker, puedes intentar escapar de él:
Docker SecurityUnidades
Verifica qué está montado y desmontado, dónde y por qué. Si algo está desmontado, podrías intentar montarlo y buscar información privada.
Software útil
Enumerar binarios útiles
También, verifica si hay algún compilador instalado. Esto es útil si necesitas usar alguna vulnerabilidad del kernel ya que se recomienda compilarla en la máquina donde la vas a utilizar (o en una similar)
Software Vulnerable Instalado
Verifique la versión de los paquetes y servicios instalados. Tal vez haya alguna versión antigua de Nagios (por ejemplo) que podría ser explotada para escalar privilegios... Se recomienda verificar manualmente la versión del software instalado más sospechoso.
Si tienes acceso SSH a la máquina, también podrías usar openVAS para verificar si hay software desactualizado y vulnerable instalado dentro de la máquina.
Ten en cuenta que estos comandos mostrarán mucha información que en su mayoría será inútil, por lo tanto se recomienda utilizar algunas aplicaciones como OpenVAS o similares que verificarán si alguna versión de software instalada es vulnerable a exploits conocidos
Procesos
Echa un vistazo a qué procesos se están ejecutando y verifica si algún proceso tiene más privilegios de los que debería (¿quizás un tomcat ejecutado por root?)
Siempre verifica la posible presencia de depuradores de electron/cef/chromium en ejecución, podrías abusar de ello para escalar privilegios. Linpeas los detecta revisando el parámetro --inspect
dentro de la línea de comandos del proceso.
También verifica tus privilegios sobre los binarios de los procesos, tal vez puedas sobrescribir a alguien.
Monitoreo de procesos
Puedes utilizar herramientas como pspy para monitorear procesos. Esto puede ser muy útil para identificar procesos vulnerables que se ejecutan con frecuencia o cuando se cumplen ciertos requisitos.
Memoria de procesos
Algunos servicios de un servidor guardan credenciales en texto claro dentro de la memoria. Normalmente necesitarás privilegios de root para leer la memoria de procesos que pertenecen a otros usuarios, por lo tanto, esto suele ser más útil cuando ya eres root y deseas descubrir más credenciales. Sin embargo, recuerda que como usuario regular puedes leer la memoria de los procesos que posees.
Ten en cuenta que en la actualidad la mayoría de las máquinas no permiten ptrace de forma predeterminada, lo que significa que no puedes volcar otros procesos que pertenecen a tu usuario no privilegiado.
El archivo /proc/sys/kernel/yama/ptrace_scope controla la accesibilidad de ptrace:
kernel.yama.ptrace_scope = 0: todos los procesos pueden ser depurados, siempre y cuando tengan el mismo uid. Esta es la forma clásica en la que funcionaba ptrace.
kernel.yama.ptrace_scope = 1: solo un proceso padre puede ser depurado.
kernel.yama.ptrace_scope = 2: Solo un administrador puede usar ptrace, ya que requiere la capacidad CAP_SYS_PTRACE.
kernel.yama.ptrace_scope = 3: Ningún proceso puede ser rastreado con ptrace. Una vez establecido, se necesita un reinicio para habilitar el rastreo nuevamente.
GDB
Si tienes acceso a la memoria de un servicio FTP (por ejemplo), podrías obtener el Heap y buscar dentro de él sus credenciales.
Script de GDB
/proc/$pid/maps & /proc/$pid/mem
Para un ID de proceso dado, maps muestra cómo está mapeada la memoria dentro del espacio de direcciones virtuales de ese proceso; también muestra los permisos de cada región mapeada. El archivo pseudo mem expone la memoria del proceso en sí. A partir del archivo maps sabemos qué regiones de memoria son legibles y sus desplazamientos. Utilizamos esta información para buscar en el archivo mem y volcar todas las regiones legibles en un archivo.
/dev/mem
/dev/mem
proporciona acceso a la memoria física del sistema, no a la memoria virtual. El espacio de direcciones virtuales del kernel se puede acceder utilizando /dev/kmem.
Normalmente, /dev/mem
solo es legible por el usuario root y el grupo kmem.
ProcDump para Linux
ProcDump es una reimaginación para Linux de la clásica herramienta ProcDump de la suite de herramientas Sysinternals para Windows. Encuéntralo en https://github.com/Sysinternals/ProcDump-for-Linux
Herramientas
Para volcar la memoria de un proceso podrías usar:
https://github.com/hajzer/bash-memory-dump (root) - _Puedes eliminar manualmente los requisitos de root y volcar el proceso propiedad tuya
Script A.5 de https://www.delaat.net/rp/2016-2017/p97/report.pdf (se requiere root)
Credenciales de la Memoria del Proceso
Ejemplo Manual
Si descubres que el proceso del autenticador está en ejecución:
Puedes volcar el proceso (ver secciones anteriores para encontrar diferentes formas de volcar la memoria de un proceso) y buscar credenciales dentro de la memoria:
mimipenguin
La herramienta https://github.com/huntergregal/mimipenguin robará credenciales en texto claro de la memoria y de algunos archivos conocidos. Requiere privilegios de root para funcionar correctamente.
Característica | Nombre del Proceso |
---|---|
Contraseña de GDM (Kali Desktop, Debian Desktop) | gdm-password |
Gnome Keyring (Ubuntu Desktop, ArchLinux Desktop) | gnome-keyring-daemon |
LightDM (Ubuntu Desktop) | lightdm |
VSFTPd (Conexiones FTP activas) | vsftpd |
Apache2 (Sesiones de autenticación básica HTTP activas) | apache2 |
OpenSSH (Sesiones SSH activas - Uso de Sudo) | sshd: |
Search Regexes/truffleproc
Tareas programadas/Cron jobs
Verifique si alguna tarea programada es vulnerable. Tal vez pueda aprovechar un script que se ejecuta como root (¿vulnerabilidad de comodín? ¿puede modificar archivos que root utiliza? ¿usar enlaces simbólicos? ¿crear archivos específicos en el directorio que root utiliza?).
Ruta de Cron
Por ejemplo, dentro de /etc/crontab puedes encontrar el PATH: PATH=/home/user:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
(Nota cómo el usuario "user" tiene privilegios de escritura sobre /home/user)
Si dentro de este crontab el usuario root intenta ejecutar algún comando o script sin establecer la ruta. Por ejemplo: * * * * root overwrite.sh Entonces, puedes obtener un shell de root usando:
Cron usando un script con un comodín (Inyección de Comodines)
Si un script es ejecutado por root y tiene un "*" dentro de un comando, podrías explotar esto para hacer cosas inesperadas (como escalada de privilegios). Ejemplo:
Si el comodín está precedido de una ruta como /some/path/* , no es vulnerable (incluso ./* no lo es).
Lee la siguiente página para conocer más trucos de explotación de comodines:
Wildcards Spare tricksSobrescritura de script Cron y enlace simbólico
Si puedes modificar un script Cron ejecutado por root, puedes obtener una shell muy fácilmente:
Si el script ejecutado por root utiliza un directorio al que tienes acceso total, tal vez podría ser útil eliminar esa carpeta y crear un enlace simbólico a otra que sirva a un script controlado por ti.
Tareas cron frecuentes
Puedes monitorear los procesos para buscar aquellos que se están ejecutando cada 1, 2 o 5 minutos. Tal vez puedas aprovecharlo y escalar privilegios.
Por ejemplo, para monitorear cada 0.1s durante 1 minuto, ordenar por comandos menos ejecutados y eliminar los comandos que han sido ejecutados con más frecuencia, puedes hacer lo siguiente:
También puedes usar pspy (esto monitoreará y listará cada proceso que se inicia).
Trabajos cron invisibles
Es posible crear un trabajo cron poniendo un retorno de carro después de un comentario (sin carácter de nueva línea), y el trabajo cron funcionará. Ejemplo (nota el carácter de retorno de carro):
Servicios
Archivos .service con permisos de escritura
Verifique si puede escribir en algún archivo .service
, si puede, podría modificarlo para que ejecute su puerta trasera cuando el servicio se inicie, reinicie o detenga (quizás necesite esperar hasta que la máquina se reinicie).
Por ejemplo, cree su puerta trasera dentro del archivo .service con ExecStart=/tmp/script.sh
Binarios de servicios con permisos de escritura
Tenga en cuenta que si tiene permisos de escritura sobre los binarios que son ejecutados por los servicios, puede cambiarlos por puertas traseras para que cuando los servicios se vuelvan a ejecutar, las puertas traseras se ejecuten.
Rutas relativas de systemd PATH
Puede ver el PATH utilizado por systemd con:
Si descubres que puedes escribir en cualquiera de las carpetas de la ruta, es posible que puedas escalar privilegios. Debes buscar rutas relativas que se utilicen en archivos de configuración de servicios como:
Luego, crea un ejecutable con el mismo nombre que el binario de la ruta relativa dentro de la carpeta PATH de systemd donde puedas escribir, y cuando se solicite al servicio ejecutar la acción vulnerable (Start, Stop, Reload), se ejecutará tu puerta trasera (los usuarios sin privilegios generalmente no pueden iniciar/detener servicios, pero verifica si puedes usar sudo -l
).
Obtén más información sobre los servicios con man systemd.service
.
Temporizadores
Los temporizadores son archivos de unidad de systemd cuyo nombre termina en **.timer**
que controlan archivos o eventos **.service**
. Los temporizadores pueden usarse como una alternativa a cron ya que tienen soporte incorporado para eventos de tiempo de calendario y eventos de tiempo monótono, y pueden ejecutarse de forma asíncrona.
Puedes enumerar todos los temporizadores con:
Temporizadores con permisos de escritura
Si puedes modificar un temporizador, puedes hacer que ejecute algunas existencias de systemd.unit (como un .service
o un .target
)
En la documentación se puede leer qué es la Unidad:
La unidad a activar cuando este temporizador se agota. El argumento es un nombre de unidad, cuyo sufijo no es ".timer". Si no se especifica, este valor se establece de forma predeterminada en un servicio que tiene el mismo nombre que la unidad de temporizador, excepto por el sufijo. (Ver arriba.) Se recomienda que el nombre de la unidad que se activa y el nombre de la unidad de temporizador sean idénticos, excepto por el sufijo.
Por lo tanto, para abusar de este permiso necesitarías:
Encontrar alguna unidad de systemd (como un
.service
) que esté ejecutando un binario escribibleEncontrar alguna unidad de systemd que esté ejecutando una ruta relativa y tener privilegios de escritura sobre la RUTA de systemd (para hacerse pasar por ese ejecutable)
Aprende más sobre temporizadores con man systemd.timer
.
Habilitar Temporizador
Para habilitar un temporizador necesitas privilegios de root y ejecutar:
Ten en cuenta que el temporizador se activa creando un enlace simbólico en /etc/systemd/system/<WantedBy_section>.wants/<name>.timer
Sockets
Los Sockets de Dominio Unix (UDS) permiten la comunicación entre procesos en las mismas o diferentes máquinas dentro de modelos cliente-servidor. Utilizan archivos de descriptor estándar de Unix para la comunicación entre computadoras y se configuran a través de archivos .socket
.
Los Sockets se pueden configurar utilizando archivos .socket
.
Aprende más sobre los sockets con man systemd.socket
. Dentro de este archivo, se pueden configurar varios parámetros interesantes:
ListenStream
,ListenDatagram
,ListenSequentialPacket
,ListenFIFO
,ListenSpecial
,ListenNetlink
,ListenMessageQueue
,ListenUSBFunction
: Estas opciones son diferentes pero se utiliza un resumen para indicar dónde va a escuchar el socket (la ruta del archivo de socket AF_UNIX, la dirección IPv4/6 y/o el número de puerto para escuchar, etc.)Accept
: Toma un argumento booleano. Si es true, se genera una instancia de servicio para cada conexión entrante y solo se pasa el socket de conexión a ella. Si es false, todos los sockets de escucha se pasan a la unidad de servicio iniciada, y solo se genera una unidad de servicio para todas las conexiones. Este valor se ignora para los sockets de datagramas y FIFOs donde una única unidad de servicio maneja incondicionalmente todo el tráfico entrante. Por defecto es false. Por razones de rendimiento, se recomienda escribir nuevos demonios solo de una manera que sea adecuada paraAccept=no
.ExecStartPre
,ExecStartPost
: Toma una o más líneas de comando, que se ejecutan antes o después de que los sockets/FIFOs de escucha se crean y se enlazan, respectivamente. El primer token de la línea de comando debe ser un nombre de archivo absoluto, seguido de argumentos para el proceso.ExecStopPre
,ExecStopPost
: Comandos adicionales que se ejecutan antes o después de que los sockets/FIFOs de escucha se cierran y se eliminan, respectivamente.Service
: Especifica el nombre de la unidad de servicio a activar en el tráfico entrante. Esta configuración solo se permite para sockets con Accept=no. Por defecto, es el servicio que lleva el mismo nombre que el socket (con el sufijo reemplazado). En la mayoría de los casos, no debería ser necesario usar esta opción.
Archivos .socket modificables
Si encuentras un archivo .socket
modificable, puedes agregar al principio de la sección [Socket]
algo como: ExecStartPre=/home/kali/sys/backdoor
y el backdoor se ejecutará antes de que se cree el socket. Por lo tanto, probablemente necesitarás esperar hasta que la máquina se reinicie.
Nota que el sistema debe estar utilizando esa configuración de archivo de socket o el backdoor no se ejecutará
Sockets modificables
Si identificas algún socket modificable (ahora estamos hablando de Sockets Unix y no de los archivos de configuración .socket
), entonces puedes comunicarte con ese socket y tal vez explotar una vulnerabilidad.
Enumerar Sockets Unix
Conexión directa
Ejemplo de explotación:
Socket Command InjectionSockets HTTP
Tenga en cuenta que puede haber algunos sockets escuchando peticiones HTTP (No estoy hablando de archivos .socket sino de archivos que actúan como sockets Unix). Puede verificar esto con:
Socket de Docker Escribible
El socket de Docker, que se encuentra comúnmente en /var/run/docker.sock
, es un archivo crítico que debe estar asegurado. Por defecto, es escribible por el usuario root
y los miembros del grupo docker
. Poseer acceso de escritura a este socket puede llevar a una escalada de privilegios. Aquí tienes un desglose de cómo se puede lograr esto y métodos alternativos si la CLI de Docker no está disponible.
Escalada de Privilegios con la CLI de Docker
Si tienes acceso de escritura al socket de Docker, puedes escalar privilegios usando los siguientes comandos:
Estos comandos te permiten ejecutar un contenedor con acceso de nivel raíz al sistema de archivos del host.
Usando la API de Docker Directamente
En casos donde la CLI de Docker no está disponible, el socket de Docker aún puede ser manipulado usando la API de Docker y comandos curl
.
Listar Imágenes de Docker: Obtener la lista de imágenes disponibles.
Crear un Contenedor: Enviar una solicitud para crear un contenedor que monta el directorio raíz del sistema host.
Iniciar el contenedor recién creado:
Adjuntarse al Contenedor: Usar
socat
para establecer una conexión al contenedor, permitiendo la ejecución de comandos dentro de él.
Después de configurar la conexión socat
, puedes ejecutar comandos directamente en el contenedor con acceso de nivel raíz al sistema de archivos del host.
Otros
Ten en cuenta que si tienes permisos de escritura sobre el socket de docker porque estás dentro del grupo docker
tienes más formas de escalar privilegios. Si la API de docker está escuchando en un puerto también puedes comprometerla.
Consulta más formas de escapar de docker o abusar de él para escalar privilegios en:
Docker SecurityEscalada de privilegios de Containerd (ctr)
Si descubres que puedes usar el comando ctr
lee la siguiente página ya que podrías abusar de él para escalar privilegios:
Escalada de privilegios de RunC
Si descubres que puedes usar el comando runc
lee la siguiente página ya que podrías abusar de él para escalar privilegios:
D-Bus
D-Bus es un sofisticado sistema de Comunicación entre Procesos (IPC) que permite a las aplicaciones interactuar y compartir datos de manera eficiente. Diseñado pensando en el sistema Linux moderno, ofrece un marco robusto para diferentes formas de comunicación de aplicaciones.
El sistema es versátil, soportando IPC básico que mejora el intercambio de datos entre procesos, recordando a sockets de dominio UNIX mejorados. Además, ayuda en la difusión de eventos o señales, fomentando la integración fluida entre los componentes del sistema. Por ejemplo, una señal de un demonio de Bluetooth sobre una llamada entrante puede hacer que un reproductor de música se silencie, mejorando la experiencia del usuario. Además, D-Bus soporta un sistema de objetos remotos, simplificando las solicitudes de servicio e invocaciones de métodos entre aplicaciones, agilizando procesos que tradicionalmente eran complejos.
D-Bus opera en un modelo de permitir/denegar, gestionando permisos de mensajes (llamadas de métodos, emisiones de señales, etc.) basados en el efecto acumulativo de reglas de política coincidentes. Estas políticas especifican interacciones con el bus, permitiendo potencialmente la escalada de privilegios a través de la explotación de estos permisos.
Se proporciona un ejemplo de tal política en /etc/dbus-1/system.d/wpa_supplicant.conf
, detallando permisos para que el usuario root posea, envíe y reciba mensajes de fi.w1.wpa_supplicant1
.
Las políticas sin un usuario o grupo especificado se aplican universalmente, mientras que las políticas de contexto "predeterminado" se aplican a todos los no cubiertos por otras políticas específicas.
Aprende cómo enumerar y explotar una comunicación D-Bus aquí:
D-Bus Enumeration & Command Injection Privilege EscalationRed
Siempre es interesante enumerar la red y averiguar la posición de la máquina.
Enumeración genérica
Puertos abiertos
Siempre verifica los servicios de red que se están ejecutando en la máquina con la que no pudiste interactuar antes de acceder a ella:
Sniffing
Verifique si puede husmear el tráfico. Si puede, podría ser capaz de obtener algunas credenciales.
Usuarios
Enumeración Genérica
Verifique quién es usted, qué privilegios tiene, qué usuarios están en los sistemas, quiénes pueden iniciar sesión y quiénes tienen privilegios de root:
Gran UID
Algunas versiones de Linux se vieron afectadas por un error que permite a los usuarios con UID > INT_MAX escalar privilegios. Más información: aquí, aquí y aquí.
Explotarlo usando: systemd-run -t /bin/bash
Grupos
Verifique si es miembro de algún grupo que podría otorgarle privilegios de root:
Interesting Groups - Linux PrivescPortapapeles
Verifique si hay algo interesante dentro del portapapeles (si es posible)