Linux Privilege Escalation
Πληροφορίες Συστήματος
Πληροφορίες Λειτουργικού Συστήματος
Ας ξεκινήσουμε αποκτώντας κάποιες γνώσεις για το λειτουργικό σύστημα που τρέχει.
Διαδρομή
Αν έχετε δικαιώματα εγγραφής σε οποιονδήποτε φάκελο μέσα στη μεταβλητή PATH
ενδέχεται να μπορείτε να αρπάξετε κάποιες βιβλιοθήκες ή δυαδικά αρχεία:
Πληροφορίες περιβάλλοντος
Ενδιαφέρουσες πληροφορίες, κωδικοί πρόσβασης ή κλειδιά API στις μεταβλητές περιβάλλοντος;
Εκμετάλλευση πυρήνα
Ελέγξτε την έκδοση του πυρήνα και αν υπάρχει κάποια εκμετάλλευση που μπορεί να χρησιμοποιηθεί για την ανάδειξη προνομίων
Μπορείτε να βρείτε μια καλή λίστα ευάλωτων πυρήνων και μερικά εκ των προτέρων μεταγλωττισμένα exploits εδώ: https://github.com/lucyoa/kernel-exploits και exploitdb sploits. Άλλες ιστοσελίδες όπου μπορείτε να βρείτε μερικά μεταγλωττισμένα exploits: https://github.com/bwbwbwbw/linux-exploit-binaries, https://github.com/Kabot/Unix-Privilege-Escalation-Exploits-Pack
Για να εξάγετε όλες τις ευάλωτες εκδόσεις πυρήνα από αυτό τον ιστότοπο, μπορείτε να κάνετε:
Εργαλεία που μπορούν να βοηθήσουν στην αναζήτηση εκμεταλλεύσεων πυρήνα είναι:
linux-exploit-suggester.sh linux-exploit-suggester2.pl linuxprivchecker.py (εκτέλεση ΣΤΟ θύμα, ελέγχει μόνο εκμεταλλεύσεις για πυρήνα 2.x)
Πάντα ψάξτε την έκδοση του πυρήνα στο Google, ίσως η έκδοση του πυρήνα σας να είναι γραμμένη σε κάποια εκμετάλλευση πυρήνα και τότε θα είστε σίγουροι ότι αυτή η εκμετάλλευση είναι έγκυρη.
CVE-2016-5195 (DirtyCow)
Ανόρθωση Προνομίων Linux - Πυρήνας Linux <= 3.19.0-73.8
Έκδοση Sudo
Βασισμένο στις ευάλωτες εκδόσεις του sudo που εμφανίζονται σε:
Μπορείτε να ελέγξετε αν η έκδοση του sudo είναι ευάλωτη χρησιμοποιώντας αυτό το grep.
sudo < v1.28
Από τον χρήστη @sickrov
Αποτυχία επαλήθευσης υπογραφής Dmesg
Ελέγξτε το smasher2 box του HTB για ένα παράδειγμα πώς μπορεί να εκμεταλλευτεί αυτή η ευπάθεια
Περισσότερη απαρίθμηση συστήματος
Απαρίθμηση πιθανών αμυντικών μέτρων
AppArmor
Grsecurity
Grsecurity
PaX
Execshield
Προστασία Execshield
SElinux
SElinux
ASLR
Διαρροή Docker
Αν βρίσκεστε μέσα σε ένα container του Docker μπορείτε να προσπαθήσετε να δραπετεύσετε από αυτό:
Docker SecurityΔίσκοι
Ελέγξτε τι είναι προσαρτημένο και αποσυνδεδεμένο, πού και γιατί. Αν κάτι είναι αποσυνδεδεμένο μπορείτε να προσπαθήσετε να το προσαρτήσετε και να ελέγξετε για προσωπικές πληροφορίες
Χρήσιμο λογισμικό
Καταγράψτε χρήσιμα δυαδικά αρχεία
Επίσης, ελέγξτε εάν έχει εγκατασταθεί κάποιος μεταγλωττιστής. Αυτό είναι χρήσιμο εάν χρειαστεί να χρησιμοποιήσετε κάποια εκμετάλλευση πυρήνα καθώς συνιστάται να τη μεταγλωττίσετε στο μηχάνημα όπου πρόκειται να τη χρησιμοποιήσετε (ή σε ένα παρόμοιο).
Εγκατεστημένο Ευάλωτο Λογισμικό
Ελέγξτε τη έκδοση των εγκατεστημένων πακέτων και υπηρεσιών. Ίσως υπάρχει κάποια παλιά έκδοση του Nagios (για παράδειγμα) που θα μπορούσε να εκμεταλλευτεί για την ανάδειξη προνομίων... Συνιστάται να ελέγξετε χειροκίνητα την έκδοση του πιο ύποπτου εγκατεστημένου λογισμικού.
Αν έχετε πρόσβαση SSH στη μηχανή, μπορείτε επίσης να χρησιμοποιήσετε το openVAS για να ελέγξετε αν έχει εγκατασταθεί στη μηχανή ξεπερασμένο και ευάλωτο λογισμικό.
Σημειώστε ότι αυτές οι εντολές θα εμφανίσουν πολλές πληροφορίες που θα είναι κυρίως άχρηστες, επομένως συνιστάται η χρήση κάποιων εφαρμογών όπως το OpenVAS ή κάτι παρόμοιο που θα ελέγξει αν κάποια έκδοση εγκατεστημένου λογισμικού είναι ευάλωτη σε γνωστές εκμεταλλεύσεις
Διεργασίες
Ρίξτε μια ματιά σε ποιες διεργασίες εκτελούνται και ελέγξτε αν κάποια διεργασία έχει περισσότερα προνόμια από ό,τι θα έπρεπε (ίσως ένα tomcat να εκτελείται από τον χρήστη root;)
Πάντα ελέγχετε για πιθανούς αποσφαλματωτές electron/cef/chromium που εκτελούνται, μπορείτε να τους εκμεταλλευτείτε για εξέλιξη προνομίων. Το Linpeas τους ανιχνεύει ελέγχοντας την παράμετρο --inspect
μέσα στη γραμμή εντολών της διαδικασίας.
Επίσης ελέγξτε τα προνόμιά σας πάνω στα δυαδικά των διεργασιών, ίσως μπορείτε να αντικαταστήσετε κάποιον.
Παρακολούθηση διεργασιών
Μπορείτε να χρησιμοποιήσετε εργαλεία όπως το pspy για την παρακολούθηση διεργασιών. Αυτό μπορεί να είναι πολύ χρήσιμο για την αναγνώριση ευάλωτων διεργασιών που εκτελούνται συχνά ή όταν πληρούνται ένα σύνολο απαιτήσεων.
Μνήμη διεργασιών
Κάποιες υπηρεσίες ενός διακομιστή αποθηκεύουν διαπιστευτήρια σε καθαρό κείμενο μέσα στη μνήμη. Συνήθως θα χρειαστείτε δικαιώματα ρίζας για να διαβάσετε τη μνήμη των διεργασιών που ανήκουν σε άλλους χρήστες, επομένως αυτό είναι συνήθως πιο χρήσιμο όταν είστε ήδη ρίζα και θέλετε να ανακαλύψετε περισσότερα διαπιστευτήρια. Ωστόσο, θυμηθείτε ότι ως κανονικός χρήστης μπορείτε να διαβάσετε τη μνήμη των διεργασιών που σας ανήκουν.
Σημειώστε ότι σήμερα τα περισσότερα μηχανήματα δεν επιτρέπουν το ptrace από προεπιλογή που σημαίνει ότι δεν μπορείτε να αντλήσετε άλλες διεργασίες που ανήκουν στον μη εξουσιοδοτημένο χρήστη.
Το αρχείο /proc/sys/kernel/yama/ptrace_scope ελέγχει την προσβασιμότητα του ptrace:
kernel.yama.ptrace_scope = 0: όλες οι διεργασίες μπορούν να ελεγχθούν, όσο έχουν τον ίδιο uid. Αυτό είναι ο κλασικός τρόπος λειτουργίας του ptrace.
kernel.yama.ptrace_scope = 1: μόνο μια γονική διεργασία μπορεί να ελεγχθεί.
kernel.yama.ptrace_scope = 2: Μόνο ο διαχειριστής μπορεί να χρησιμοποιήσει το ptrace, καθώς απαιτείται η δυνατότητα CAP_SYS_PTRACE.
kernel.yama.ptrace_scope = 3: Δεν μπορεί να ελεγχθεί καμία διεργασία με το ptrace. Μόλις οριστεί, απαιτείται επανεκκίνηση για να ενεργοποιηθεί ξανά η δυνατότητα ελέγχου με το ptrace.
GDB
Αν έχετε πρόσβαση στη μνήμη μιας υπηρεσίας FTP (για παράδειγμα) μπορείτε να ανακτήσετε το Heap και να αναζητήσετε μέσα σε αυτό τα διαπιστευτήριά της.
Σενάριο GDB
/proc/$pid/maps & /proc/$pid/mem
Για ένα δεδομένο αναγνωριστικό διεργασίας, το maps δείχνει πώς η μνήμη είναι αντιστοιχισμένη μέσα στον χώρο διεύθυνσης εκείνης της διεργασίας· επίσης δείχνει τις άδειες κάθε αντιστοιχισμένης περιοχής. Το ψευδές αρχείο mem αποκαλύπτει την ίδια τη μνήμη των διεργασιών. Από το αρχείο **maps γνωρίζουμε ποιες περιοχές μνήμης είναι αναγνώσιμες και τις μετατοπίσεις τους. Χρησιμοποιούμε αυτές τις πληροφορίες για να ψάξουμε στο αρχείο mem και να αντλήσουμε όλες τις αναγνώσιμες περιοχές σε ένα αρχείο.
/dev/mem
/dev/mem
παρέχει πρόσβαση στη φυσική μνήμη του συστήματος, όχι στην εικονική μνήμη. Ο εικονικός χώρος διευθύνσεων του πυρήνα μπορεί να προσπελαστεί χρησιμοποιώντας το /dev/kmem.
Συνήθως, το /dev/mem
είναι μόνο αναγνώσιμο από τον root και την ομάδα kmem.
ProcDump για Linux
Το ProcDump είναι μια επανεκδοχή για Linux του κλασικού εργαλείου ProcDump από τη σουίτα εργαλείων Sysinternals για τα Windows. Βρείτε το στο https://github.com/Sysinternals/ProcDump-for-Linux
Εργαλεία
Για την απορρόφηση μνήμης ενός διεργασίας μπορείτε να χρησιμοποιήσετε:
https://github.com/hajzer/bash-memory-dump (root) - _Μπορείτε να αφαιρέσετε χειροκίνητα τις απαιτήσεις ρίζας και να απορροφήσετε τη διεργασία που σας ανήκει
Σενάριο A.5 από https://www.delaat.net/rp/2016-2017/p97/report.pdf (απαιτείται ρίζα)
Διαπιστευτήρια από τη Μνήμη της Διεργασίας
Χειροκίνητο παράδειγμα
Αν διαπιστώσετε ότι η διεργασία ελέγχου ταυτότητας εκτελείται:
Μπορείτε να αδειάσετε τη διαδικασία (δείτε τις προηγούμενες ενότητες για να βρείτε διαφορετικούς τρόπους για να αδειάσετε τη μνήμη μιας διαδικασίας) και να αναζητήσετε διαπιστευτήρια μέσα στη μνήμη:
mimipenguin
Το εργαλείο https://github.com/huntergregal/mimipenguin θα κλέψει διαπιστευτήρια κειμένου από τη μνήμη και από μερικά γνωστά αρχεία. Απαιτεί δικαιώματα ρίζας για να λειτουργήσει σωστά.
Χαρακτηριστικό | Όνομα Διεργασίας |
---|---|
Κωδικός GDM (Kali Desktop, Debian Desktop) | gdm-password |
Gnome Keyring (Ubuntu Desktop, ArchLinux Desktop) | gnome-keyring-daemon |
LightDM (Ubuntu Desktop) | lightdm |
VSFTPd (Ενεργές Συνδέσεις FTP) | vsftpd |
Apache2 (Ενεργές Συνεδρίες HTTP Basic Auth) | apache2 |
OpenSSH (Ενεργές Συνεδρίες SSH - Χρήση Sudo) | sshd: |
Search Regexes/truffleproc
Προγραμματισμένες/Cron εργασίες
Ελέγξτε εάν κάποια προγραμματισμένη εργασία είναι ευάλωτη. Ίσως μπορείτε να εκμεταλλευτείτε ένα σενάριο που εκτελείται από το ριζικό χρήστη (ευπάθεια με χρήση μπαλαντέρ; μπορείτε να τροποποιήσετε αρχεία που χρησιμοποιεί ο ριζικός χρήστης; χρησιμοποιήστε συμβολικούς συνδέσμους; δημιουργήστε συγκεκριμένα αρχεία στον κατάλογο που χρησιμοποιεί ο ριζικός χρήστης;).
Διαδρομή Cron
Για παράδειγμα, μέσα στο /etc/crontab μπορείτε να βρείτε τη ΔΙΑΔΡΟΜΗ: PATH=/home/user:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
(Σημειώστε πως ο χρήστης "user" έχει δικαιώματα εγγραφής στο /home/user)
Αν μέσα σε αυτό το crontab ο χρήστης root προσπαθήσει να εκτελέσει κάποια εντολή ή script χωρίς να ορίσει τη διαδρομή. Για παράδειγμα: * * * * root overwrite.sh Τότε, μπορείτε να αποκτήσετε ένα root shell χρησιμοποιώντας:
Χρήση του Cron με ένα script που περιέχει μεταβλητή (Εισχώρηση με Wildcard)
Εάν ένα script εκτελείται από τον χρήστη root και περιέχει ένα "*" μέσα σε ένα command, μπορείτε να εκμεταλλευτείτε αυτό για να προκαλέσετε απρόσμενα πράγματα (όπως ανέλιξη προνομίων). Παράδειγμα:
Αν το μπαλαντέρ προηγείται ενός διαδρόμου όπως /some/path/* , δεν είναι ευάλωτο (ακόμη και το ./* δεν είναι).
Διαβάστε την παρακάτω σελίδα για περισσότερα κόλπα εκμετάλλευσης μπαλαντέρ:
Wildcards Spare tricksΑντικατάσταση σεναρίου Cron και σύμβολο συμβολικού συνδέσμου
Αν μπορείτε να τροποποιήσετε ένα σενάριο Cron που εκτελείται από το ριζικό χρήστη, μπορείτε να αποκτήσετε πολύ εύκολα ένα κέλυφος:
Αν το script που εκτελείται από το root χρησιμοποιεί ένα κατάλογο στον οποίο έχετε πλήρη πρόσβαση, ίσως είναι χρήσιμο να διαγράψετε αυτόν τον φάκελο και να δημιουργήσετε ένα σύνδεσμο σε έναν άλλο φάκελο που εξυπηρετεί ένα script που ελέγχετε εσείς
Συχνές εργασίες cron
Μπορείτε να παρακολουθείτε τις διεργασίες για να αναζητήσετε διεργασίες που εκτελούνται κάθε 1, 2 ή 5 λεπτά. Ίσως μπορείτε να το εκμεταλλευτείτε και να αναβαθμίσετε τα προνόμια.
Για παράδειγμα, για παρακολούθηση κάθε 0,1 δευτερολέπτου για 1 λεπτό, ταξινόμηση με λιγότερες εκτελούμενες εντολές και διαγραφή των εντολών που έχουν εκτελεστεί τις περισσότερες φορές, μπορείτε να κάνετε:
Μπορείτε επίσης να χρησιμοποιήσετε pspy (αυτό θα παρακολουθεί και θα καταχωρίζει κάθε διεργασία που ξεκινά).
Αόρατες εργασίες cron
Είναι δυνατόν να δημιουργήσετε μια εργασία cron βάζοντας ένα χαρακτήρα αλλαγής γραμμής μετά από ένα σχόλιο (χωρίς χαρακτήρα νέας γραμμής), και η εργασία cron θα λειτουργεί. Παράδειγμα (σημειώστε τον χαρακτήρα αλλαγής γραμμής):
Υπηρεσίες
Εγγράψιμα αρχεία .service
Ελέγξτε αν μπορείτε να γράψετε οποιοδήποτε αρχείο .service
, αν μπορείτε, μπορείτε να το τροποποιήσετε ώστε να εκτελεί το backdoor σας όταν η υπηρεσία ξεκινάει, επανεκκινείται ή σταματάει (ίσως χρειαστεί να περιμένετε μέχρι να γίνει επανεκκίνηση του υπολογιστή).
Για παράδειγμα δημιουργήστε το backdoor σας μέσα στο αρχείο .service με ExecStart=/tmp/script.sh
Εγγράψιμα δυαδικά αρχεία υπηρεσιών
Να έχετε υπόψη ότι αν έχετε δικαιώματα εγγραφής σε δυαδικά αρχεία που εκτελούνται από υπηρεσίες, μπορείτε να τα αλλάξετε για backdoors, έτσι ώστε όταν οι υπηρεσίες επανεκτελούνται, τα backdoors θα εκτελούνται.
systemd PATH - Σχετικά μονοπάτια
Μπορείτε να δείτε το PATH που χρησιμοποιείται από το systemd με:
Εάν ανακαλύψετε ότι μπορείτε να εγγράψετε σε οποιονδήποτε από τους φακέλους της διαδρομής, μπορεί να είστε σε θέση να εξελίξετε τα δικαιώματά σας. Πρέπει να αναζητήσετε σχετικές διαδρομές που χρησιμοποιούνται σε αρχεία ρυθμίσεων υπηρεσιών όπως:
Στη συνέχεια, δημιουργήστε ένα εκτελέσιμο αρχείο με το ίδιο όνομα με το δυαδικό αρχείο στη σχετική διαδρομή μέσα στον φάκελο PATH του systemd που μπορείτε να γράψετε, και όταν ζητηθεί από την υπηρεσία να εκτελέσει την ευάλωτη ενέργεια (Έναρξη, Διακοπή, Επαναφόρτωση), το backdoor σας θα εκτελεστεί (συνήθως οι μη προνομιούχοι χρήστες δεν μπορούν να ξεκινήσουν/σταματήσουν υπηρεσίες, αλλά ελέγξτε αν μπορείτε να χρησιμοποιήσετε sudo -l
).
Μάθετε περισσότερα για τις υπηρεσίες με την εντολή man systemd.service
.
Χρονοδιακόπτες
Οι Χρονοδιακόπτες (Timers) είναι αρχεία μονάδας του systemd των οποίων το όνομα τελειώνει σε **.timer**
που ελέγχουν αρχεία ή συμβάντα **.service**
. Οι Χρονοδιακόπτες μπορούν να χρησιμοποιηθούν ως εναλλακτική λύση στο cron καθώς έχουν ενσωματωμένη υποστήριξη για γεγονότα ημερολογίου και γεγονότα μονοτονικού χρόνου και μπορούν να εκτελούνται ασύγχρονα.
Μπορείτε να απαριθμήσετε όλους τους χρονοδιακόπτες με:
Εγγράψιμοι χρονοδιακόπτες
Εάν μπορείτε να τροποποιήσετε ένα χρονοδιακόπτη, μπορείτε να τον κάνετε να εκτελέσει ορισμένες υπάρχουσες μονάδες του systemd (όπως ένα αρχείο .service
ή ένα αρχείο .target
).
Στην τεκμηρίωση μπορείτε να διαβάσετε τι είναι η Μονάδα:
Η μονάδα που θα ενεργοποιηθεί όταν αυτός ο χρονοδιακόπτης λήξει. Το όρισμα είναι το όνομα μιας μονάδας, η οποία δεν έχει κατάληξη ".timer". Αν δεν καθοριστεί, αυτή η τιμή προεπιλέγεται σε μια υπηρεσία που έχει το ίδιο όνομα με τη μονάδα του χρονοδιακόπτη, εκτός από την κατάληξη. (Δείτε παραπάνω.) Συνιστάται το όνομα της μονάδας που ενεργοποιείται και το όνομα της μονάδας του χρονοδιακόπτη να είναι πανομοιότυπα, εκτός από την κατάληξη.
Συνεπώς, για να εκμεταλλευτείτε αυτήν την άδεια θα χρειαζόσασταν:
Να βρείτε μια μονάδα systemd (όπως ένα
.service
) που εκτελεί ένα εγγράψιμο δυαδικό αρχείοΝα βρείτε μια μονάδα systemd που εκτελεί ένα σχετικό μονοπάτι και να έχετε εγγράψιμα δικαιώματα πάνω στο σύστημα PATH του systemd (για να προσωποποιήσετε αυτό το εκτελέσιμο)
Μάθετε περισσότερα για τους χρονοδιακόπτες με την εντολή man systemd.timer
.
Ενεργοποίηση Χρονοδιακόπτη
Για να ενεργοποιήσετε ένα χρονοδιακόπτη χρειάζεστε δικαιώματα ριζού και να εκτελέσετε:
Σημειώστε ότι ο χρονοδιακόπτης ενεργοποιείται δημιουργώντας ένα σύμβολο σύνδεσης προς αυτό στο /etc/systemd/system/<WantedBy_section>.wants/<name>.timer
Sockets
Τα Unix Domain Sockets (UDS) επιτρέπουν τη επικοινωνία διεργασιών στον ίδιο ή διαφορετικό υπολογιστή μέσα σε μοντέλα πελάτη-εξυπηρετητή. Χρησιμοποιούν τυπικά αρχεία περιγραφέων Unix για τη διασύνδεση μεταξύ υπολογιστών και δημιουργούνται μέσω αρχείων .socket
.
Τα Sockets μπορούν να ρυθμιστούν χρησιμοποιώντας αρχεία .socket
.
Μάθετε περισσότερα για τα sockets με την εντολή man systemd.socket
. Μέσα σε αυτό το αρχείο, μπορούν να ρυθμιστούν αρκετές ενδιαφέρουσες παράμετροι:
ListenStream
,ListenDatagram
,ListenSequentialPacket
,ListenFIFO
,ListenSpecial
,ListenNetlink
,ListenMessageQueue
,ListenUSBFunction
: Αυτές οι επιλογές είναι διαφορετικές, αλλά μια περίληψη χρησιμοποιείται για να υποδείξει πού θα ακούει το socket (η διαδρομή του αρχείου AF_UNIX socket, ο αριθμός θύρας IPv4/6 για ακρόαση, κλπ.)Accept
: Παίρνει ένα όρισμα boolean. Αν είναι true, ένα παράδειγμα υπηρεσίας δημιουργείται για κάθε εισερχόμενη σύνδεση και μόνο το socket σύνδεσης περνιέται σε αυτό. Αν είναι false, όλα τα ακούσματα sockets περνιούνται στην ενεργοποιημένη μονάδα υπηρεσίας, και δημιουργείται μόνο μια μονάδα υπηρεσίας για όλες τις συνδέσεις. Αυτή η τιμή αγνοείται για sockets δεδομένων και FIFOs όπου μια μονάδα υπηρεσίας χειρίζεται απόλυτα όλη την εισερχόμενη κίνηση. Προεπιλογή σε false. Λόγω λόγων απόδοσης, συνιστάται να γράφετε νέους δαίμονες μόνο με τρόπο που είναι κατάλληλος γιαAccept=no
.ExecStartPre
,ExecStartPost
: Παίρνει μία ή περισσότερες γραμμές εντολών, οι οποίες εκτελούνται πριν ή μετά τη δημιουργία και δέσμευση των ακουστικών sockets/FIFOs αντίστοιχα. Το πρώτο τεκμήριο της γραμμής εντολής πρέπει να είναι ένα απόλυτο όνομα αρχείου, ακολουθούμενο από ορίσματα για τη διαδικασία.ExecStopPre
,ExecStopPost
: Επιπλέον εντολές που εκτελούνται πριν ή μετά το κλείσιμο και την αφαίρεση των ακουστικών sockets/FIFOs αντίστοιχα.Service
: Καθορίζει το όνομα της μονάδας υπηρεσίας που θα ενεργοποιηθεί στην εισερχόμενη κίνηση. Αυτή η ρύθμιση επιτρέπεται μόνο για sockets με Accept=no. Προεπιλέγεται η υπηρεσία που φέρει το ίδιο όνομα με το socket (με το επίθεμα αντικαταστάθηκε). Στις περισσότερες περιπτώσεις, δεν θα είναι απαραίτητο να χρησιμοποιήσετε αυτήν την επιλογή.
Αρχεία .socket εγγράψιμα
Αν βρείτε ένα εγγράψιμο αρχείο .socket
μπορείτε να προσθέσετε στην αρχή της ενότητας [Socket]
κάτι σαν: ExecStartPre=/home/kali/sys/backdoor
και το backdoor θα εκτελεστεί πριν δημιουργηθεί το socket. Συνεπώς, ίσως χρειαστεί να περιμένετε μέχρι να γίνει επανεκκίνηση η συσκευή.
Σημειώστε ότι το σύστημα πρέπει να χρησιμοποιεί αυτήν τη διαμόρφωση του αρχείου socket ή αλλιώς το backdoor δεν θα εκτελεστεί
Εγγράψιμα sockets
Αν εντοπίσετε οποιοδήποτε εγγράψιμο socket (τώρα μιλάμε για Unix Sockets και όχι για τα αρχεία διαμόρφωσης .socket
), τότε μπορείτε να επικοινωνήσετε με αυτό το socket και ίσως να εκμεταλλευτείτε μια ευπάθεια.
Απαρίθμηση Unix Sockets
Ακατέργαστη σύνδεση
Παράδειγμα εκμετάλλευσης:
Socket Command InjectionHTTP sockets
Σημειώστε ότι ενδέχεται να υπάρχουν sockets που ακούνε για HTTP αιτήσεις (δεν αναφέρομαι σε αρχεία .socket αλλά σε αρχεία που λειτουργούν ως unix sockets). Μπορείτε να το ελέγξετε με:
Εγγράψιμο Socket Docker
Το Docker socket, που συχνά βρίσκεται στη διαδρομή /var/run/docker.sock
, είναι ένα κρίσιμο αρχείο που πρέπει να προστατεύεται. Από προεπιλογή, είναι εγγράψιμο από τον χρήστη root
και τα μέλη της ομάδας docker
. Η κατοχή δικαιωμάτων εγγραφής σε αυτό το socket μπορεί να οδηγήσει σε ανάδειξη προνομίων. Εδώ υπάρχει μια ανάλυση του πώς μπορεί να γίνει αυτό και εναλλακτικές μέθοδοι εάν το Docker CLI δεν είναι διαθέσιμο.
Ανάδειξη Προνομίων με το Docker CLI
Εάν έχετε πρόσβαση εγγραφής στο Docker socket, μπορείτε να αναβαθμίσετε τα προνόμια χρησιμοποιώντας τις ακόλουθες εντολές:
Χρήση του Docker API Απευθείας
Σε περιπτώσεις όπου το Docker CLI δεν είναι διαθέσιμο, το Docker socket μπορεί ακόμα να χειριστεί χρησιμοποιώντας το Docker API και εντολές curl
.
Λίστα Εικόνων Docker: Ανάκτηση της λίστας των διαθέσιμων εικόνων.
Δημιουργία Ενός Εμπορεύματος: Αποστολή αιτήματος για τη δημιουργία ενός εμπορεύματος που συνδέει το ριζικό κατάλογο του συστήματος φιλοξενίας.
Εκκίνηση του νεοδημιουργημένου εμπορεύματος:
Σύνδεση στο Εμπόρευμα: Χρησιμοποιήστε το
socat
για να καθιερώσετε μια σύνδεση με το εμπόρευμα, ενεργοποιώντας την εκτέλεση εντολών μέσα σε αυτό.
Μετά την ρύθμιση της σύνδεσης socat
, μπορείτε να εκτελέσετε εντολές απευθείας στο εμπόρευμα με πρόσβαση σε root επίπεδο στο αρχείο συστήματος του φιλοξενητή.
Άλλα
Σημειώστε ότι αν έχετε δικαιώματα εγγραφής στο socket του docker επειδή βρίσκεστε μέσα στην ομάδα docker
έχετε περισσότερους τρόπους ανάδειξης δικαιωμάτων. Αν η διεπαφή του docker ακούει σε ένα θύρα μπορείτε επίσης να την εκμεταλλευτείτε.
Ελέγξτε περισσότερους τρόπους να διαφύγετε από το docker ή να το καταχραστείτε για ανάδειξη δικαιωμάτων σε:
Docker SecurityΑνάδειξη Δικαιωμάτων Containerd (ctr)
Αν βρείτε ότι μπορείτε να χρησιμοποιήσετε την εντολή ctr
διαβάστε την παρακάτω σελίδα καθώς μπορείτε να την καταχραστείτε για ανάδειξη δικαιωμάτων:
Ανάδειξη Δικαιωμάτων RunC
Αν βρείτε ότι μπορείτε να χρησιμοποιήσετε την εντολή runc
διαβάστε την παρακάτω σελίδα καθώς μπορείτε να την καταχραστείτε για ανάδειξη δικαιωμάτων:
D-Bus
Το D-Bus είναι ένα εξελιγμένο σύστημα Επικοινωνίας Διεργασιών (IPC) που επιτρέπει σε εφαρμογές να αλληλεπιδρούν και να μοιράζονται δεδομένα αποτελεσματικά. Σχεδιασμένο με το μοντέρνο σύστημα Linux στο μυαλό, προσφέρει ένα στιβαρό πλαίσιο για διάφορες μορφές επικοινωνίας εφαρμογών.
Το σύστημα είναι ευέλικτο, υποστηρίζοντας βασική IPC που βελτιώνει την ανταλλαγή δεδομένων μεταξύ διεργασιών, θυμίζοντας τις βελτιωμένες UNIX domain sockets. Επιπλέον, βοηθά στη μετάδοση συμβάντων ή σημάτων, προωθώντας την ομαλή ενσωμάτωση μεταξύ στοιχείων του συστήματος. Για παράδειγμα, ένα σήμα από ένα δαίμονα Bluetooth για μια εισερχόμενη κλήση μπορεί να προκαλέσει τον σίγαση του αναπαραγωγέα μουσικής, βελτιώνοντας την εμπειρία χρήστη. Επιπλέον, το D-Bus υποστηρίζει ένα απομακρυσμένο σύστημα αντικειμένων, απλοποιώντας τις αιτήσεις υπηρεσιών και τις κλήσεις μεθόδων μεταξύ εφαρμογών, διευκολύνοντας τις διαδικασίες που ήταν παραδοσιακά πολύπλοκες.
Το D-Bus λειτουργεί με βάση ένα μοντέλο επιτροπής/απαγόρευσης, διαχειρίζοντας τις άδειες μηνυμάτων (κλήσεις μεθόδων, εκπομπές σημάτων κλπ) με βάση το συνολικό αποτέλεσμα των αντιστοιχιών των κανόνων πολιτικής. Αυτοί οι κανόνες καθορίζουν τις αλληλεπιδράσεις με το λεωφορείο, ενδεχομένως επιτρέποντας την ανάδειξη δικαιωμάτων μέσω της εκμετάλλευσης αυτών των αδειών.
Παρέχεται ένα παράδειγμα τέτοιας πολιτικής στο /etc/dbus-1/system.d/wpa_supplicant.conf
, που περιγράφει τις άδειες για το ριζικό χρήστη να κατέχει, να στέλνει και να λαμβάνει μηνύματα από το fi.w1.wpa_supplicant1
.
Οι πολιτικές χωρίς καθορισμένο χρήστη ή ομάδα ισχύουν καθολικά, ενώ οι πολιτικές πλαισίου "προεπιλογή" ισχύουν για όλους όσοι δεν καλύπτονται από άλλες συγκεκριμένες πολιτικές.
Μάθετε πώς να απαριθμήσετε και να εκμεταλλευτείτε μια επικοινωνία D-Bus εδώ:
D-Bus Enumeration & Command Injection Privilege EscalationΔίκτυο
Είναι πάντα ενδιαφέρον να απαριθμήσετε το δίκτυο και να καταλάβετε τη θέση της μηχανής.
Γενική απαρίθμηση
Ανοιχτές θύρες
Πάντα ελέγχετε τις δικτυακές υπηρεσίες που εκτελούνται στο μηχάνημα και με τις οποίες δεν ήταν δυνατή η αλληλεπίδραση πριν την πρόσβαση σε αυτό:
Καταγραφή Κίνησης
Ελέγξτε εάν μπορείτε να καταγράψετε την κίνηση. Αν μπορείτε, θα μπορούσατε να αποκτήσετε πρόσβαση σε ορισμένα διαπιστευτήρια.
Χρήστες
Γενική Απαρίθμηση
Ελέγξτε ποιος είστε, ποια προνόμια έχετε, ποιοι χρήστες υπάρχουν στα συστήματα, ποιοι μπορούν να συνδεθούν και ποιοι έχουν δικαιώματα root: