Linux Capabilities
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro crucial para profesionales de tecnología y ciberseguridad en todas las disciplinas.\
Capacidades de Linux
Las capacidades de Linux dividen los privilegios de root en unidades más pequeñas y distintas, permitiendo que los procesos tengan un subconjunto de privilegios. Esto minimiza los riesgos al no otorgar privilegios completos de root innecesariamente.
El Problema:
Los usuarios normales tienen permisos limitados, lo que afecta tareas como abrir un socket de red que requiere acceso de root.
Conjuntos de Capacidades:
Heredadas (CapInh):
Propósito: Determina las capacidades heredadas del proceso padre.
Funcionalidad: Cuando se crea un nuevo proceso, hereda las capacidades de su padre en este conjunto. Útil para mantener ciertos privilegios en los procesos generados.
Restricciones: Un proceso no puede adquirir capacidades que su padre no poseía.
Efectivas (CapEff):
Propósito: Representa las capacidades reales que un proceso está utilizando en cualquier momento.
Funcionalidad: Es el conjunto de capacidades verificado por el kernel para otorgar permiso para varias operaciones. Para archivos, este conjunto puede ser una bandera que indique si las capacidades permitidas del archivo deben considerarse efectivas.
Importancia: El conjunto efectivo es crucial para verificaciones inmediatas de privilegios, actuando como el conjunto activo de capacidades que un proceso puede utilizar.
Permitidas (CapPrm):
Propósito: Define el conjunto máximo de capacidades que un proceso puede poseer.
Funcionalidad: Un proceso puede elevar una capacidad del conjunto permitido a su conjunto efectivo, dándole la capacidad de utilizar esa capacidad. También puede eliminar capacidades de su conjunto permitido.
Límite: Actúa como un límite superior para las capacidades que un proceso puede tener, asegurando que un proceso no exceda su alcance de privilegios predefinido.
Limitantes (CapBnd):
Propósito: Establece un límite en las capacidades que un proceso puede adquirir en cualquier momento durante su ciclo de vida.
Funcionalidad: Incluso si un proceso tiene cierta capacidad en su conjunto heredable o permitido, no puede adquirir esa capacidad a menos que también esté en el conjunto limitante.
Casos de uso: Este conjunto es particularmente útil para restringir el potencial de escalada de privilegios de un proceso, agregando una capa adicional de seguridad.
Ambientales (CapAmb):
Propósito: Permite que ciertas capacidades se mantengan a través de una llamada al sistema
execve
, que normalmente resultaría en un restablecimiento completo de las capacidades del proceso.Funcionalidad: Asegura que los programas no SUID que no tienen capacidades de archivo asociadas puedan retener ciertos privilegios.
Restricciones: Las capacidades en este conjunto están sujetas a las restricciones de los conjuntos heredables y permitidos, asegurando que no excedan los privilegios permitidos del proceso.
Para obtener más información, consulta:
Capacidades de Procesos y Binarios
Capacidades de Procesos
Para ver las capacidades de un proceso en particular, utiliza el archivo status en el directorio /proc. Dado que proporciona más detalles, limítalo solo a la información relacionada con las capacidades de Linux. Ten en cuenta que para todos los procesos en ejecución, la información de las capacidades se mantiene por hilo, y para los binarios en el sistema de archivos se almacena en atributos extendidos.
Puedes encontrar las capacidades definidas en /usr/include/linux/capability.h
Puedes encontrar las capacidades del proceso actual en cat /proc/self/status
o haciendo capsh --print
, y las de otros usuarios en /proc/<pid>/status
Este comando debería devolver 5 líneas en la mayoría de los sistemas.
CapInh = Capacidades heredadas
CapPrm = Capacidades permitidas
CapEff = Capacidades efectivas
CapBnd = Conjunto de límites
CapAmb = Conjunto de capacidades ambientales
Estos números hexadecimales no tienen sentido. Usando la utilidad capsh podemos decodificarlos en el nombre de las capacidades.
Veamos ahora las capacidades utilizadas por ping
:
Aunque eso funciona, hay otra forma más fácil. Para ver las capacidades de un proceso en ejecución, simplemente usa la herramienta getpcaps seguida de su ID de proceso (PID). También puedes proporcionar una lista de IDs de procesos.
Vamos a verificar aquí las capacidades de tcpdump
después de haber otorgado al binario suficientes capacidades (cap_net_admin
y cap_net_raw
) para husmear la red (tcpdump se está ejecutando en el proceso 9562):
Como puedes ver, las capacidades proporcionadas corresponden con los resultados de las 2 formas de obtener las capacidades de un binario. La herramienta getpcaps utiliza la llamada al sistema capget() para consultar las capacidades disponibles para un hilo en particular. Esta llamada al sistema solo necesita proporcionar el PID para obtener más información.
Capacidades de Binarios
Los binarios pueden tener capacidades que se pueden utilizar durante la ejecución. Por ejemplo, es muy común encontrar el binario ping
con la capacidad cap_net_raw
:
Puedes buscar binarios con capacidades usando:
Eliminación de capacidades con capsh
Si eliminamos las capacidades CAP_NET_RAW para ping, entonces la utilidad de ping ya no debería funcionar.
Además de la salida de capsh en sí, el comando tcpdump también debería mostrar un error.
/bin/bash: /usr/sbin/tcpdump: Operación no permitida
El error muestra claramente que el comando ping no tiene permiso para abrir un socket ICMP. Ahora sabemos con certeza que esto funciona como se espera.
Eliminar capacidades
Puedes eliminar las capacidades de un binario con
Capacidades de Usuario
Aparentemente también es posible asignar capacidades a los usuarios. Esto probablemente significa que cada proceso ejecutado por el usuario podrá utilizar las capacidades del usuario.
Basado en esto, esto y esto algunos archivos nuevos deben ser configurados para dar a un usuario ciertas capacidades, pero el que asigna las capacidades a cada usuario será /etc/security/capability.conf
.
Ejemplo de archivo:
Capacidades del Entorno
Compilando el siguiente programa es posible iniciar un shell de bash dentro de un entorno que proporciona capacidades.
Dentro del bash ejecutado por el binario de ambiente compilado es posible observar las nuevas capacidades (un usuario regular no tendrá ninguna capacidad en la sección "actual").
Solo puedes añadir capacidades que estén presentes tanto en los conjuntos permitidos como en los heredados.
Binarios Conscientes de Capacidades/Binarios Tontos de Capacidades
Los binarios conscientes de capacidades no utilizarán las nuevas capacidades proporcionadas por el entorno, mientras que los binarios tontos de capacidades las utilizarán ya que no las rechazarán. Esto hace que los binarios tontos de capacidades sean vulnerables dentro de un entorno especial que otorga capacidades a los binarios.
Capacidades de Servicio
Por defecto, un servicio que se ejecuta como root tendrá asignadas todas las capacidades, y en algunas ocasiones esto puede ser peligroso. Por lo tanto, un archivo de configuración del servicio permite especificar las capacidades que deseas que tenga, y el usuario que debería ejecutar el servicio para evitar ejecutar un servicio con privilegios innecesarios:
Capacidades en Contenedores de Docker
Por defecto, Docker asigna algunas capacidades a los contenedores. Es muy fácil verificar cuáles son estas ejecutando:
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro clave para profesionales de tecnología y ciberseguridad en todas las disciplinas.
Privesc/Escape de Contenedor
Las capacidades son útiles cuando deseas restringir tus propios procesos después de realizar operaciones con privilegios (por ejemplo, después de configurar chroot y enlazar a un socket). Sin embargo, pueden ser explotadas al pasarles comandos o argumentos maliciosos que luego se ejecutan como root.
Puedes forzar capacidades en programas usando setcap
y consultarlas usando getcap
:
El +ep
significa que estás añadiendo la capacidad ("-" la eliminaría) como Efectiva y Permitida.
Para identificar programas en un sistema o carpeta con capacidades:
Ejemplo de explotación
En el siguiente ejemplo se encuentra que el binario /usr/bin/python2.6
es vulnerable a la escalada de privilegios:
Capacidades necesarias por tcpdump
para permitir a cualquier usuario capturar paquetes:
El caso especial de las capacidades "vacías"
De la documentación: Tenga en cuenta que se pueden asignar conjuntos de capacidades vacíos a un archivo de programa, por lo que es posible crear un programa con identificación de usuario establecida en root que cambie la identificación de usuario efectiva y guardada del proceso que ejecuta el programa a 0, pero no confiere capacidades a ese proceso. O, dicho de forma simple, si tiene un binario que:
no es propiedad de root
no tiene los bits
SUID
/SGID
establecidostiene un conjunto de capacidades vacío (por ejemplo:
getcap myelf
devuelvemyelf =ep
)
entonces ese binario se ejecutará como root.
CAP_SYS_ADMIN
CAP_SYS_ADMIN
es una capacidad de Linux altamente potente, a menudo equiparada a un nivel casi de root debido a sus extensos privilegios administrativos, como montar dispositivos o manipular características del kernel. Si bien es indispensable para contenedores que simulan sistemas completos, CAP_SYS_ADMIN
plantea desafíos de seguridad significativos, especialmente en entornos contenerizados, debido a su potencial para la escalada de privilegios y compromiso del sistema. Por lo tanto, su uso requiere evaluaciones de seguridad rigurosas y una gestión cautelosa, con una fuerte preferencia por eliminar esta capacidad en contenedores específicos de aplicaciones para cumplir con el principio de menor privilegio y minimizar la superficie de ataque.
Ejemplo con binario
Usando python puedes montar un archivo passwd modificado sobre el verdadero archivo passwd:
Y finalmente monta el archivo passwd
modificado en /etc/passwd
:
Y podrás su
como root usando la contraseña "password".
Ejemplo con entorno (Escape de Docker)
Puedes verificar las capacidades habilitadas dentro del contenedor de Docker usando:
Dentro de la salida anterior se puede ver que la capacidad SYS_ADMIN está habilitada.
Montaje
Esto permite al contenedor de docker montar el disco del host y acceder a él libremente:
Acceso completo
En el método anterior logramos acceder al disco del host de Docker. En caso de que descubras que el host está ejecutando un servidor ssh, podrías crear un usuario dentro del disco del host de Docker y acceder a él a través de SSH:
CAP_SYS_PTRACE
Esto significa que puedes escapar del contenedor inyectando un shellcode dentro de algún proceso en ejecución dentro del host. Para acceder a los procesos en ejecución dentro del host, el contenedor debe ejecutarse al menos con --pid=host
.
CAP_SYS_PTRACE
otorga la capacidad de utilizar funcionalidades de depuración y rastreo de llamadas al sistema proporcionadas por ptrace(2)
y llamadas de adjuntar memoria cruzada como process_vm_readv(2)
y process_vm_writev(2)
. Aunque es poderoso para fines de diagnóstico y monitoreo, si CAP_SYS_PTRACE
está habilitado sin medidas restrictivas como un filtro seccomp en ptrace(2)
, puede socavar significativamente la seguridad del sistema. Específicamente, puede ser explotado para eludir otras restricciones de seguridad, especialmente aquellas impuestas por seccomp, como se demuestra en pruebas de concepto (PoC) como esta.
Ejemplo con binario (python)
Ejemplo con binario (gdb)
gdb
con la capacidad ptrace
:
Crear un shellcode con msfvenom para inyectar en memoria a través de gdb
Depurar un proceso raíz con gdb y copiar y pegar las líneas de gdb previamente generadas:
Ejemplo con entorno (fuga de Docker) - Otro abuso de gdb
Si GDB está instalado (o puedes instalarlo con apk add gdb
o apt install gdb
, por ejemplo) puedes depurar un proceso desde el host y hacer que llame a la función system
. (Esta técnica también requiere la capacidad SYS_ADMIN
).
No podrás ver la salida del comando ejecutado, pero será ejecutado por ese proceso (así obtendrás un shell inverso).
Si obtienes el error "No symbol "system" in current context.", verifica el ejemplo anterior cargando un shellcode en un programa a través de gdb.
Ejemplo con entorno (Escape de Docker) - Inyección de Shellcode
Puedes verificar las capacidades habilitadas dentro del contenedor de Docker usando:
CAP_SYS_MODULE
CAP_SYS_MODULE
capacita a un proceso para cargar y descargar módulos del kernel (llamadas al sistema init_module(2)
, finit_module(2)
y delete_module(2)
), ofreciendo acceso directo a las operaciones fundamentales del kernel. Esta capacidad presenta riesgos críticos de seguridad, ya que permite la escalada de privilegios y la compromisión total del sistema al permitir modificaciones en el kernel, evitando así todos los mecanismos de seguridad de Linux, incluidos los Módulos de Seguridad de Linux y el aislamiento de contenedores. Esto significa que puedes insertar/eliminar módulos del kernel en/del kernel de la máquina anfitriona.
Ejemplo con binario
En el siguiente ejemplo, el binario python
tiene esta capacidad.
Por defecto, el comando modprobe
verifica la lista de dependencias y los archivos de mapeo en el directorio /lib/modules/$(uname -r)
.
Para abusar de esto, creemos una carpeta falsa lib/modules:
Luego compila el módulo del kernel que puedes encontrar 2 ejemplos a continuación y copialo en esta carpeta:
Finalmente, ejecuta el código Python necesario para cargar este módulo del kernel:
Ejemplo 2 con binario
En el siguiente ejemplo, el binario kmod
tiene esta capacidad.
Lo que significa que es posible usar el comando insmod
para insertar un módulo del kernel. Sigue el ejemplo a continuación para obtener una shell inversa abusando de este privilegio.
Ejemplo con entorno (Escape de Docker)
Puedes verificar las capacidades habilitadas dentro del contenedor de Docker usando:
Dentro de la salida anterior se puede ver que la capacidad SYS_MODULE está habilitada.
Cree el módulo del kernel que ejecutará un shell inverso y el Makefile para compilarlo:
¡El espacio en blanco antes de cada palabra make en el archivo Makefile debe ser un tabulador, no espacios!
Ejecuta make
para compilarlo.
Finalmente, inicia nc
dentro de una shell y carga el módulo desde otra y capturarás la shell en el proceso de nc:
El código de esta técnica fue copiado del laboratorio de "Abusing SYS_MODULE Capability" de https://www.pentesteracademy.com/
Otro ejemplo de esta técnica se puede encontrar en https://www.cyberark.com/resources/threat-research-blog/how-i-hacked-play-with-docker-and-remotely-ran-code-on-the-host
CAP_DAC_READ_SEARCH
CAP_DAC_READ_SEARCH permite a un proceso burlar los permisos para leer archivos y para leer y ejecutar directorios. Su uso principal es para buscar archivos o leerlos. Sin embargo, también permite a un proceso utilizar la función open_by_handle_at(2)
, que puede acceder a cualquier archivo, incluidos aquellos fuera del espacio de nombres de montaje del proceso. El identificador utilizado en open_by_handle_at(2)
se supone que es un identificador no transparente obtenido a través de name_to_handle_at(2)
, pero puede incluir información sensible como números de inodo que son vulnerables a manipulación. El potencial de explotación de esta capacidad, particularmente en el contexto de contenedores Docker, fue demostrado por Sebastian Krahmer con el exploit shocker, como se analiza aquí. Esto significa que puedes burlar los controles de permisos de lectura de archivos y los controles de permisos de lectura/ejecución de directorios.
Ejemplo con binario
El binario podrá leer cualquier archivo. Por lo tanto, si un archivo como tar tiene esta capacidad, podrá leer el archivo shadow:
Ejemplo con binary2
En este caso supongamos que el binario python
tiene esta capacidad. Para listar archivos de root podrías hacer:
Y para leer un archivo podrías hacerlo:
Ejemplo en el entorno (fuga de Docker)
Puedes verificar las capacidades habilitadas dentro del contenedor de Docker usando:
Dentro de la salida anterior puedes ver que la capacidad DAC_READ_SEARCH está habilitada. Como resultado, el contenedor puede depurar procesos.
Puedes aprender cómo funciona la siguiente explotación en https://medium.com/@fun_cuddles/docker-breakout-exploit-analysis-a274fff0e6b3 pero en resumen CAP_DAC_READ_SEARCH no solo nos permite atravesar el sistema de archivos sin controles de permisos, sino que también elimina explícitamente cualquier verificación a open_by_handle_at(2) y podría permitir que nuestro proceso acceda a archivos sensibles abiertos por otros procesos.
El exploit original que abusa de estos permisos para leer archivos del host se puede encontrar aquí: http://stealth.openwall.net/xSports/shocker.c, la siguiente es una versión modificada que te permite indicar el archivo que deseas leer como primer argumento y volcarlo en un archivo.
El exploit necesita encontrar un puntero a algo montado en el host. El exploit original usaba el archivo /.dockerinit y esta versión modificada usa /etc/hostname. Si el exploit no funciona, tal vez necesites configurar un archivo diferente. Para encontrar un archivo montado en el host, simplemente ejecuta el comando mount:
El código de esta técnica fue copiado del laboratorio de "Abusing DAC_READ_SEARCH Capability" de https://www.pentesteracademy.com/
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro crucial para profesionales de tecnología y ciberseguridad en todas las disciplinas.
CAP_DAC_OVERRIDE
Esto significa que puedes evadir las comprobaciones de permisos de escritura en cualquier archivo, por lo que puedes escribir en cualquier archivo.
Hay muchos archivos que puedes sobrescribir para escalar privilegios, puedes obtener ideas desde aquí.
Ejemplo con binario
En este ejemplo, vim tiene esta capacidad, por lo que puedes modificar cualquier archivo como passwd, sudoers o shadow:
Ejemplo con el binario 2
En este ejemplo, el binario python
tendrá esta capacidad. Podrías usar python para anular cualquier archivo:
Ejemplo con entorno + CAP_DAC_READ_SEARCH (Escape de Docker)
Puedes verificar las capacidades habilitadas dentro del contenedor de Docker usando:
Primero, lee la sección anterior que abusa de la capacidad DAC_READ_SEARCH para leer archivos arbitrarios del host y compila el exploit. Luego, compila la siguiente versión del exploit shocker que te permitirá escribir archivos arbitrarios en el sistema de archivos del host:
Para escapar del contenedor de Docker, podrías descargar los archivos /etc/shadow
y /etc/passwd
del host, añadir un nuevo usuario a ellos y usar shocker_write
para sobrescribirlos. Luego, acceder a través de ssh.
El código de esta técnica fue copiado del laboratorio de "Abusing DAC_OVERRIDE Capability" de https://www.pentesteracademy.com
CAP_CHOWN
Esto significa que es posible cambiar la propiedad de cualquier archivo.
Ejemplo con binario
Supongamos que el binario python
tiene esta capacidad, puedes cambiar el propietario del archivo shadow, cambiar la contraseña de root y escalar privilegios:
O con el binario ruby
teniendo esta capacidad:
CAP_FOWNER
Esto significa que es posible cambiar los permisos de cualquier archivo.
Ejemplo con binario
Si Python tiene esta capacidad, puedes modificar los permisos del archivo shadow, cambiar la contraseña de root y escalar privilegios:
CAP_SETUID
Esto significa que es posible establecer el id de usuario efectivo del proceso creado.
Ejemplo con binario
Si python tiene esta capacidad, puedes abusar fácilmente de ella para escalar privilegios a root:
Otra forma:
CAP_SETGID
Esto significa que es posible establecer el id de grupo efectivo del proceso creado.
Hay muchos archivos que puedes sobrescribir para escalar privilegios, puedes obtener ideas desde aquí.
Ejemplo con binario
En este caso, debes buscar archivos interesantes que un grupo pueda leer porque puedes suplantar a cualquier grupo:
Una vez que hayas encontrado un archivo que puedas abusar (ya sea leyendo o escribiendo) para escalar privilegios, puedes obtener un shell haciéndote pasar por el grupo de interés con:
En este caso, el grupo shadow fue suplantado para poder leer el archivo /etc/shadow
:
Si docker está instalado, podrías hacerte pasar por el grupo docker y abusar de él para comunicarte con el socket de docker y escalar privilegios.
CAP_SETFCAP
Esto significa que es posible establecer capacidades en archivos y procesos
Ejemplo con binario
Si Python tiene esta capacidad, puedes abusar fácilmente de ella para escalar privilegios a root:
Ten en cuenta que si estableces una nueva capacidad en el binario con CAP_SETFCAP, perderás esta capacidad.
Una vez que tengas la capacidad SETUID puedes ir a su sección para ver cómo escalar privilegios.
Ejemplo con entorno (escape de Docker)
Por defecto, la capacidad CAP_SETFCAP se otorga al proceso dentro del contenedor en Docker. Puedes verificarlo haciendo algo como:
Esta capacidad permite dar cualquier otra capacidad a los binarios, por lo que podríamos pensar en escapar del contenedor abusando de cualquiera de las otras vulnerabilidades de capacidad mencionadas en esta página. Sin embargo, si intentas dar, por ejemplo, las capacidades CAP_SYS_ADMIN y CAP_SYS_PTRACE al binario gdb, descubrirás que puedes dárselas, pero el binario no podrá ejecutarse después de esto:
Desde la documentación: Permitted: Este es un subconjunto limitante para las capacidades efectivas que el hilo puede asumir. También es un subconjunto limitante para las capacidades que pueden ser agregadas al conjunto heredable por un hilo que no tiene la capacidad CAP_SETPCAP en su conjunto efectivo. Parece que las capacidades Permitidas limitan las que se pueden utilizar. Sin embargo, Docker también otorga el CAP_SETPCAP por defecto, por lo que es posible establecer nuevas capacidades dentro de las heredables. Sin embargo, en la documentación de esta capacidad: CAP_SETPCAP: [...] agregar cualquier capacidad del conjunto de límites del hilo que llama a su conjunto heredable. Parece que solo podemos agregar al conjunto heredable capacidades del conjunto de límites. Lo que significa que no podemos colocar nuevas capacidades como CAP_SYS_ADMIN o CAP_SYS_PTRACE en el conjunto heredable para escalar privilegios.
CAP_SYS_RAWIO
CAP_SYS_RAWIO proporciona una serie de operaciones sensibles que incluyen acceso a /dev/mem
, /dev/kmem
o /proc/kcore
, modificar mmap_min_addr
, acceder a las llamadas al sistema ioperm(2)
y iopl(2)
, y varios comandos de disco. La ioctl(2)
de FIBMAP
también está habilitada a través de esta capacidad, lo que ha causado problemas en el pasado. Según la página del manual, esto también permite al titular realizar descriptivamente una serie de operaciones específicas de dispositivos en otros dispositivos
.
Esto puede ser útil para escalada de privilegios y escape de Docker.
CAP_KILL
Esto significa que es posible matar cualquier proceso.
Ejemplo con binario
Supongamos que el binario python
tiene esta capacidad. Si también pudieras modificar alguna configuración de servicio o socket (o cualquier archivo de configuración relacionado con un servicio), podrías instalar un acceso trasero y luego matar el proceso relacionado con ese servicio y esperar a que se ejecute el nuevo archivo de configuración con tu acceso trasero.
Privilegio elevado con kill
Si tienes capacidades de kill y hay un programa de nodo ejecutándose como root (o como un usuario diferente), probablemente puedas enviarle la señal SIGUSR1 y hacer que abra el depurador de nodo para que puedas conectarte.
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro crucial para profesionales de tecnología y ciberseguridad en todas las disciplinas.
CAP_NET_BIND_SERVICE
Esto significa que es posible escuchar en cualquier puerto (incluso en los privilegiados). No se puede escalar privilegios directamente con esta capacidad.
Ejemplo con binario
Si python
tiene esta capacidad, podrá escuchar en cualquier puerto e incluso conectarse desde él a cualquier otro puerto (algunos servicios requieren conexiones desde puertos específicos de privilegios)
CAP_NET_RAW
CAP_NET_RAW permite a los procesos crear sockets RAW y PACKET, lo que les permite generar y enviar paquetes de red arbitrarios. Esto puede llevar a riesgos de seguridad en entornos contenerizados, como suplantación de paquetes, inyección de tráfico y eludir controles de acceso a la red. Actores maliciosos podrían explotar esto para interferir con el enrutamiento de contenedores o comprometer la seguridad de la red del host, especialmente sin protecciones de firewall adecuadas. Además, CAP_NET_RAW es crucial para que los contenedores privilegiados admitan operaciones como ping a través de solicitudes ICMP RAW.
Esto significa que es posible espiar el tráfico. No se puede escalar privilegios directamente con esta capacidad.
Ejemplo con un binario
Si el binario tcpdump
tiene esta capacidad, podrás usarlo para capturar información de red.
Ten en cuenta que si el entorno proporciona esta capacidad, también podrías usar tcpdump
para espiar el tráfico.
Ejemplo con binario 2
El siguiente ejemplo es un código en python2
que puede ser útil para interceptar el tráfico de la interfaz "lo" (localhost). El código es del laboratorio "The Basics: CAP-NET_BIND + NET_RAW" de https://attackdefense.pentesteracademy.com/
CAP_NET_ADMIN + CAP_NET_RAW
La capacidad CAP_NET_ADMIN otorga al titular el poder de alterar configuraciones de red, incluidas las configuraciones de firewall, tablas de enrutamiento, permisos de socket y configuraciones de interfaz de red dentro de los espacios de nombres de red expuestos. También permite activar el modo promiscuo en interfaces de red, lo que permite el espionaje de paquetes en todos los espacios de nombres.
Ejemplo con binario
Supongamos que el binario de python tiene estas capacidades.
CAP_LINUX_IMMUTABLE
Esto significa que es posible modificar los atributos del inode. No se puede escalar privilegios directamente con esta capacidad.
Ejemplo con binario
Si descubres que un archivo es inmutable y python tiene esta capacidad, puedes eliminar el atributo inmutable y hacer que el archivo sea modificable:
Ten en cuenta que normalmente este atributo inmutable se establece y elimina usando:
CAP_SYS_CHROOT
CAP_SYS_CHROOT habilita la ejecución de la llamada al sistema chroot(2)
, lo que potencialmente puede permitir escapar de entornos chroot(2)
a través de vulnerabilidades conocidas:
CAP_SYS_BOOT
CAP_SYS_BOOT no solo permite la ejecución de la llamada al sistema reboot(2)
para reinicios del sistema, incluyendo comandos específicos como LINUX_REBOOT_CMD_RESTART2
adaptados para ciertas plataformas de hardware, sino que también habilita el uso de kexec_load(2)
y, a partir de Linux 3.17, kexec_file_load(2)
para cargar nuevos núcleos de fallo o firmados respectivamente.
CAP_SYSLOG
CAP_SYSLOG se separó del más amplio CAP_SYS_ADMIN en Linux 2.6.37, otorgando específicamente la capacidad de utilizar la llamada syslog(2)
. Esta capacidad permite ver direcciones del kernel a través de /proc
y interfaces similares cuando el ajuste kptr_restrict
está en 1, lo que controla la exposición de direcciones del kernel. Desde Linux 2.6.39, el valor predeterminado para kptr_restrict
es 0, lo que significa que las direcciones del kernel están expuestas, aunque muchas distribuciones lo establecen en 1 (ocultar direcciones excepto para uid 0) o 2 (ocultar siempre direcciones) por razones de seguridad.
Además, CAP_SYSLOG permite acceder a la salida de dmesg
cuando dmesg_restrict
está configurado en 1. A pesar de estos cambios, CAP_SYS_ADMIN conserva la capacidad de realizar operaciones de syslog
debido a precedentes históricos.
CAP_MKNOD
CAP_MKNOD extiende la funcionalidad de la llamada al sistema mknod
más allá de la creación de archivos regulares, FIFOs (tubos con nombre) o sockets de dominio UNIX. Específicamente permite la creación de archivos especiales, que incluyen:
S_IFCHR: Archivos especiales de caracteres, que son dispositivos como terminales.
S_IFBLK: Archivos especiales de bloques, que son dispositivos como discos.
Esta capacidad es esencial para procesos que requieren la capacidad de crear archivos de dispositivo, facilitando la interacción directa con hardware a través de dispositivos de caracteres o bloques.
Es una capacidad predeterminada de Docker (https://github.com/moby/moby/blob/master/oci/caps/defaults.go#L6-L19).
Esta capacidad permite realizar escaladas de privilegios (a través de lectura completa del disco) en el host, bajo estas condiciones:
Tener acceso inicial al host (sin privilegios).
Tener acceso inicial al contenedor (con privilegios (EUID 0) y capacidad efectiva
CAP_MKNOD
).El host y el contenedor deben compartir el mismo espacio de nombres de usuario.
Pasos para Crear y Acceder a un Dispositivo de Bloque en un Contenedor:
En el Host como Usuario Estándar:
Determine su ID de usuario actual con
id
, por ejemplo,uid=1000(standarduser)
.Identifique el dispositivo objetivo, por ejemplo,
/dev/sdb
.
Dentro del Contenedor como
root
:
De vuelta en el Host:
CAP_SETPCAP
CAP_SETPCAP permite a un proceso alterar los conjuntos de capacidades de otro proceso, permitiendo la adición o eliminación de capacidades de los conjuntos efectivos, heredables y permitidos. Sin embargo, un proceso solo puede modificar capacidades que posee en su propio conjunto permitido, asegurando que no puede elevar los privilegios de otro proceso más allá de los suyos. Actualizaciones recientes del kernel han reforzado estas reglas, restringiendo CAP_SETPCAP
para disminuir solo las capacidades dentro de su propio conjunto permitido o el de sus descendientes, con el objetivo de mitigar riesgos de seguridad. Su uso requiere tener CAP_SETPCAP
en el conjunto efectivo y las capacidades objetivo en el conjunto permitido, utilizando capset()
para las modificaciones. Esto resume la función principal y limitaciones de CAP_SETPCAP
, resaltando su papel en la gestión de privilegios y mejora de la seguridad.
Última actualización