NFS no_root_squash/no_all_squash misconfiguration PE
Leggi il file _ /etc/exports _, se trovi una directory configurata come no_root_squash, allora puoi accedervi come client e scrivere al suo interno come se fossi l'utente root locale della macchina.
no_root_squash: Questa opzione dà essenzialmente l'autorità all'utente root del client di accedere ai file sul server NFS come root. E ciò può comportare gravi implicazioni per la sicurezza.
no_all_squash: Questa opzione è simile all'opzione no_root_squash ma si applica agli utenti non root. Immagina di avere una shell come utente nobody; controlla il file /etc/exports; l'opzione no_all_squash è presente; controlla il file /etc/passwd; emula un utente non root; crea un file suid come quell'utente (montando tramite nfs). Esegui il suid come utente nobody e diventa un utente diverso.
Escalation dei Privilegi
Exploit Remoto
Se hai trovato questa vulnerabilità, puoi sfruttarla:
Montando quella directory in una macchina client e copiando come root all'interno della cartella montata il binario /bin/bash e conferendogli i diritti SUID, e eseguendo dalla macchina vittima quel binario bash.
Montare quella directory in una macchina client e copiare come root all'interno della cartella montata il nostro payload compilato che sfrutterà il permesso SUID, gli darà i diritti SUID e lo eseguirà dalla macchina vittima (puoi trovare qui alcuni payload C SUID).
Exploit Locale
Nota che se puoi creare un tunnel dalla tua macchina alla macchina vittima, puoi comunque utilizzare la versione remota per sfruttare questa escalation di privilegi tunnelizzando le porte richieste.
Il seguente trucco è nel caso in cui il file /etc/exports
indichi un indirizzo IP. In questo caso non sarai in grado di utilizzare in nessun caso l'exploit remoto e avrai bisogno di abusare di questo trucco.
Un altro requisito necessario affinché l'exploit funzioni è che l'esportazione all'interno di /etc/export
deve utilizzare il flag insecure
.
--Non sono sicuro che se /etc/export
indica un indirizzo IP questo trucco funzionerà--
Informazioni di base
Lo scenario prevede lo sfruttamento di una condivisione NFS montata su una macchina locale, sfruttando una falla nella specifica NFSv3 che consente al client di specificare il suo uid/gid, consentendo potenzialmente l'accesso non autorizzato. Lo sfruttamento coinvolge l'utilizzo di libnfs, una libreria che consente la falsificazione delle chiamate RPC NFS.
Compilazione della libreria
I passaggi di compilazione della libreria potrebbero richiedere modifiche in base alla versione del kernel. In questo caso specifico, le chiamate di sistema fallocate sono state commentate. Il processo di compilazione prevede i seguenti comandi:
Esecuzione dell'exploit
L'exploit prevede la creazione di un semplice programma in C (pwn.c
) che eleva i privilegi a root e quindi esegue una shell. Il programma viene compilato e il binario risultante (a.out
) viene posizionato sulla condivisione con suid root, utilizzando ld_nfs.so
per falsificare l'uid nelle chiamate RPC:
Compilare il codice dell'exploit:
Posizionare l'exploit sulla condivisione e modificare i suoi permessi falsificando l'uid:
Eseguire l'exploit per ottenere i privilegi di root:
Bonus: NFShell per l'accesso stealth ai file
Una volta ottenuto l'accesso root, per interagire con la condivisione NFS senza modificare la proprietà (per evitare di lasciare tracce), viene utilizzato uno script Python (nfsh.py). Questo script regola l'uid in modo da corrispondere a quello del file che viene accesso, consentendo l'interazione con i file sulla condivisione senza problemi di autorizzazioni:
Esegui come:
Riferimenti
Last updated