Interesting Groups - Linux Privesc
Ομάδες Sudo/Admin
Ανύψωση Δικαιωμάτων - Μέθοδος 1
Μερικές φορές, από προεπιλογή (ή επειδή κάποιο λογισμικό το απαιτεί) μέσα στο αρχείο /etc/sudoers μπορείτε να βρείτε μερικές από αυτές τις γραμμές:
Αυτό σημαίνει ότι οποιοσδήποτε χρήστης που ανήκει στην ομάδα sudo ή admin μπορεί να εκτελέσει οτιδήποτε ως sudo.
Αν αυτό ισχύει, για να γίνετε ροοτ μπορείτε απλά να εκτελέσετε:
Μέθοδος 2
Βρείτε όλα τα suid δυαδικά αρχεία και ελέγξτε αν υπάρχει το δυαδικό αρχείο Pkexec:
Αν ανακαλύψετε ότι το δυαδικό pkexec είναι ένα SUID δυαδικό και ανήκετε στα sudo ή admin, μπορείτε πιθανότατα να εκτελέσετε δυαδικά ως sudo χρησιμοποιώντας το pkexec
.
Αυτό συμβαίνει επειδή συνήθως αυτές είναι οι ομάδες μέσα στην πολιτική polkit. Αυτή η πολιτική αναγνωρίζει βασικά ποιες ομάδες μπορούν να χρησιμοποιήσουν το pkexec
. Ελέγξτε το με:
Εκεί θα βρείτε ποιες ομάδες έχουν το δικαίωμα να εκτελέσουν το pkexec και από προεπιλογή σε μερικές διανομές Linux εμφανίζονται οι ομάδες sudo και admin.
Για να γίνετε ροοτ μπορείτε να εκτελέσετε:
Εάν προσπαθήσετε να εκτελέσετε το pkexec και λάβετε αυτό το σφάλμα:
Δεν είναι επειδή δεν έχετε δικαιώματα αλλά επειδή δεν είστε συνδεδεμένοι χωρίς γραφικό περιβάλλον. Και υπάρχει μια λύση για αυτό το πρόβλημα εδώ: https://github.com/NixOS/nixpkgs/issues/18012#issuecomment-335350903. Χρειάζεστε 2 διαφορετικές συνεδρίες ssh:
Ομάδα Wheel
Μερικές φορές, από προεπιλογή μέσα στο αρχείο /etc/sudoers μπορείτε να βρείτε αυτήν τη γραμμή:
Αυτό σημαίνει ότι οποιοσδήποτε χρήστης που ανήκει στην ομάδα wheel μπορεί να εκτελέσει οτιδήποτε ως sudo.
Αν αυτό ισχύει, για να γίνετε root μπορείτε απλά να εκτελέσετε:
Ομάδα Shadow
Οι χρήστες από την ομάδα shadow μπορούν να διαβάσουν το αρχείο /etc/shadow:
Λοιπόν, διαβάστε το αρχείο και προσπαθήστε να αποκρυπτογραφήσετε μερικά hashes.
Ομάδα Προσωπικού
staff: Επιτρέπει στους χρήστες να προσθέτουν τοπικές τροποποιήσεις στο σύστημα (/usr/local
) χωρίς την ανάγκη ριζικών δικαιωμάτων (σημειώστε ότι τα εκτελέσιμα στο /usr/local/bin
βρίσκονται στη μεταβλητή PATH οποιουδήποτε χρήστη, και μπορεί να "αντικαταστήσουν" τα εκτελέσιμα στο /bin
και /usr/bin
με το ίδιο όνομα). Συγκρίνετε με την ομάδα "adm", η οποία σχετίζεται περισσότερο με την παρακολούθηση/ασφάλεια. [πηγή]
Στις διανομές debian, η μεταβλητή $PATH
δείχνει ότι το /usr/local/
θα εκτελεστεί με την υψηλότερη προτεραιότητα, είτε είστε προνομιούχος χρήστης είτε όχι.
Ενδιαφέρουσες Ομάδες στο Linux Προνομιακής Επέκτασης
Εάν μπορούμε να αρπάξουμε ορισμένα προγράμματα στο /usr/local
, μπορούμε εύκολα να αποκτήσουμε ριζικά δικαιώματα.
Η αρπαγή του προγράμματος run-parts
είναι ένας τρόπος εύκολος για να αποκτήσουμε ριζικά δικαιώματα, επειδή τα περισσότερα προγράμματα θα εκτελέσουν ένα run-parts
όπως (crontab, όταν συνδέεται κάποιος μέσω ssh).
ή Όταν γίνεται νέα σύνδεση στη συνεδρία ssh.
Εκμετάλλευση
Ομάδα Δίσκου
Αυτό το προνόμιο είναι σχεδόν ισοδύναμο με τη ριζική πρόσβαση καθώς μπορείτε να έχετε πρόσβαση σε Ͽλα τα δεδομένα μέσα στη μηχανή.
Αρχεία: /dev/sd[a-z][1-9]
Σημειώστε ότι χρησιμοποιώντας το debugfs μπορείτε επίσης να εγγράψετε αρχεία. Για παράδειγμα, για να αντιγράψετε το /tmp/asd1.txt
στο /tmp/asd2.txt
μπορείτε να κάνετε:
Ωστόσο, αν προσπαθήσετε να εγγράψετε αρχεία που ανήκουν στο χρήστη root (όπως /etc/shadow
ή /etc/passwd
) θα λάβετε ένα σφάλμα "Άρνηση πρόσβασης".
Ομάδα Βίντεο
Χρησιμοποιώντας την εντολή w
μπορείτε να βρείτε ποιος είναι συνδεδεμένος στο σύστημα και θα εμφανίσει ένα αποτέλεσμα όπως το παρακάτω:
Το tty1 σημαίνει ότι ο χρήστης yossi είναι συνδεδεμένος φυσικά σε ένα τερματικό στη συσκευή.
Η ομάδα video έχει πρόσβαση για να δει την οθόνη εξόδου. Βασικά μπορείτε να παρατηρήσετε τις οθόνες. Για να το κάνετε αυτό, χρειάζεται να αποκτήσετε την τρέχουσα εικόνα στην οθόνη σε ωμά δεδομένα και να πάρετε την ανάλυση που χρησιμοποιεί η οθόνη. Τα δεδομένα της οθόνης μπορούν να αποθηκευτούν στο /dev/fb0
και μπορείτε να βρείτε την ανάλυση αυτής της οθόνης στο /sys/class/graphics/fb0/virtual_size
Για να ανοίξετε την ακατέργαστη εικόνα μπορείτε να χρησιμοποιήσετε το GIMP, επιλέξτε το αρχείο **screen.raw
** και επιλέξτε ως τύπο αρχείου Raw image data:
Στη συνέχεια τροποποιήστε το Πλάτος και το Ύψος στις τιμές που χρησιμοποιούνται στην οθόνη και ελέγξτε διαφορετικούς Τύπους Εικόνας (και επιλέξτε αυτόν που εμφανίζει καλύτερα την οθόνη):
Ομάδα Root
Φαίνεται ότι από προεπιλογή τα μέλη της ομάδας root μπορεί να έχουν πρόσβαση για τροποποίηση ορισμένων αρχείων ρυθμίσεων υπηρεσιών ή ορισμένων αρχείων βιβλιοθηκών ή άλλων ενδιαφερουσών πραγμάτων που θα μπορούσαν να χρησιμοποιηθούν για την ανάδειξη προνομίων...
Ελέγξτε ποια αρχεία μπορούν να τροποποιήσουν τα μέλη της ομάδας root:
Ομάδα Docker
Μπορείτε να προσαρτήσετε το σύστημα αρχείων ρίζας του κεντρικού υπολογιστή σε έναν όγκο μιας εικόνας, έτσι ώστε όταν ξεκινά η εικόνα, φορτώνει αμέσως ένα chroot
σε αυτόν τον όγκο. Αυτό σας δίνει αποτελεσματικά root στον υπολογιστή.
Ομάδα lxc/lxd
Interesting Groups - Linux PrivescΟμάδα Adm
Συνήθως τα μέλη της ομάδας adm
έχουν δικαιώματα να διαβάζουν αρχεία καταγραφής που βρίσκονται μέσα στο /var/log/.
Επομένως, αν έχετε μολυνθεί έναν χρήστη μέσα σε αυτή την ομάδα, οπωσδήποτε θα πρέπει να ρίξετε μια ματιά στα logs.
Ομάδα Auth
Στο OpenBSD η ομάδα auth συνήθως μπορεί να γράψει στους φακέλους /etc/skey και /var/db/yubikey αν χρησιμοποιούνται. Αυτά τα δικαιώματα μπορούν να καταχραστούν με το ακόλουθο exploit για εξώθηση προνομίων σε root: https://raw.githubusercontent.com/bcoles/local-exploits/master/CVE-2019-19520/openbsd-authroot
Last updated