Linux Privilege Escalation
Informacje o systemie
Informacje o systemie operacyjnym
Zacznijmy zdobywać pewną wiedzę na temat działającego systemu operacyjnego.
Ścieżka
Jeśli masz uprawnienia do zapisu w dowolnym folderze w zmiennej PATH
, możesz próbować przejąć kontrolę nad niektórymi bibliotekami lub plikami binarnymi:
Informacje o środowisku
Czy w zmiennych środowiskowych znajdują się interesujące informacje, hasła lub klucze API?
Wykorzystania jądra
Sprawdź wersję jądra i czy istnieje jakiś exploit, który może zostać wykorzystany do eskalacji uprawnień
Możesz znaleźć dobrą listę podatnych jąder oraz już skompilowane exploit'y tutaj: https://github.com/lucyoa/kernel-exploits oraz exploitdb sploits. Inne strony, gdzie można znaleźć skompilowane exploit'y: https://github.com/bwbwbwbw/linux-exploit-binaries, https://github.com/Kabot/Unix-Privilege-Escalation-Exploits-Pack
Aby wyodrębnić wszystkie podatne wersje jądra z tej strony, można użyć:
Narzędzia, które mogą pomóc w wyszukiwaniu exploitów jądra to:
linux-exploit-suggester.sh linux-exploit-suggester2.pl linuxprivchecker.py (wykonaj NA ofierze, sprawdza tylko exploity dla jądra 2.x)
Zawsze sprawdź wersję jądra w Google, być może Twoja wersja jądra jest wymieniona w jakimś exploicie jądra, wtedy będziesz pewien, że ten exploit jest ważny.
CVE-2016-5195 (DirtyCow)
Eskalacja uprawnień w systemie Linux - Jądro Linux <= 3.19.0-73.8
Wersja Sudo
Na podstawie podatnych wersji sudo, które występują w:
Możesz sprawdzić, czy wersja sudo jest podatna, używając tego polecenia grep.
sudo < v1.28
Od @sickrov
Weryfikacja podpisu Dmesg nie powiodła się
Sprawdź skrzynkę smasher2 HTB w celu uzyskania przykładu, jak ta podatność mogłaby zostać wykorzystana
Więcej wyliczeń systemowych
Wymień możliwe obrony
AppArmor
Grsecurity
PaX
Execshield
SElinux
ASLR
Ucieczka z Docker
Jeśli jesteś wewnątrz kontenera Dockera, możesz spróbować z niego uciec:
pageDocker SecurityDyski
Sprawdź, co jest zamontowane i odmontowane, gdzie i dlaczego. Jeśli coś jest odmontowane, możesz spróbować je zamontować i sprawdzić prywatne informacje.
Przydatne oprogramowanie
Wylicz użyteczne pliki binarne
Sprawdź również, czy zainstalowano jakikolwiek kompilator. Jest to przydatne, jeśli musisz użyć jakiegoś exploitu jądra, ponieważ zaleca się kompilowanie go na maszynie, na której zamierzasz go użyć (lub na podobnej).
Zainstalowane oprogramowanie podatne
Sprawdź wersję zainstalowanych pakietów i usług. Być może istnieje stara wersja Nagiosa (na przykład), która może być wykorzystana do eskalacji uprawnień... Zaleca się ręczne sprawdzenie wersji najbardziej podejrzanego zainstalowanego oprogramowania.
Jeśli masz dostęp SSH do maszyny, możesz również użyć openVAS do sprawdzenia, czy zainstalowane wewnątrz maszyny oprogramowanie jest przestarzałe i podatne na ataki.
Zauważ, że te polecenia pokażą wiele informacji, które będą w większości bezużyteczne, dlatego zaleca się użycie aplikacji takich jak OpenVAS lub podobnych, które sprawdzą, czy któraś z zainstalowanych wersji oprogramowania jest podatna na znane exploity
Procesy
Sprawdź, jakie procesy są uruchomione i sprawdź, czy którykolwiek proces ma więcej uprawnień niż powinien (być może tomcat uruchamiany przez root?)
Zawsze sprawdzaj, czy są uruchomione debuggery electron/cef/chromium, możesz je wykorzystać do eskalacji uprawnień. Linpeas wykrywa je, sprawdzając parametr --inspect
w wierszu poleceń procesu.
Sprawdź również swoje uprawnienia do binarnych procesów, być może możesz je nadpisać.
Monitorowanie procesów
Możesz użyć narzędzi takich jak pspy do monitorowania procesów. Może to być bardzo przydatne do identyfikacji podatnych procesów wykonywanych często lub gdy spełnione są określone wymagania.
Pamięć procesu
Niektóre usługi serwera przechowują poświadczenia w postaci tekstu jawnego w pamięci. Zazwyczaj będziesz potrzebować uprawnień roota do odczytania pamięci procesów należących do innych użytkowników, dlatego jest to zazwyczaj bardziej przydatne, gdy już jesteś rootem i chcesz odkryć więcej poświadczeń. Jednak pamiętaj, że jako zwykły użytkownik możesz odczytać pamięć procesów, które posiadasz.
Zauważ, że obecnie większość maszyn nie zezwala domyślnie na ptrace, co oznacza, że nie możesz dumpować innych procesów należących do twojego użytkownika bez uprawnień.
Plik /proc/sys/kernel/yama/ptrace_scope kontroluje dostępność ptrace:
kernel.yama.ptrace_scope = 0: wszystkie procesy mogą być debugowane, o ile mają takie same uid. To klasyczny sposób działania ptrace.
kernel.yama.ptrace_scope = 1: tylko proces nadrzędny może być debugowany.
kernel.yama.ptrace_scope = 2: Tylko administrator może używać ptrace, ponieważ wymaga to uprawnienia CAP_SYS_PTRACE.
kernel.yama.ptrace_scope = 3: Żaden proces nie może być śledzony za pomocą ptrace. Po ustawieniu wymagany jest restart, aby ponownie włączyć śledzenie ptrace.
GDB
Jeśli masz dostęp do pamięci usługi FTP (na przykład), możesz uzyskać dostęp do sterty i przeszukać jej poświadczenia.
Skrypt GDB
/proc/$pid/maps & /proc/$pid/mem
Dla określonego identyfikatora procesu mapy pokazują, jak pamięć jest odwzorowana w przestrzeni adresowej tego procesu; pokazują również uprawnienia każdego odwzorowanego obszaru. Plik pseudopamięci mem ujawnia samą pamięć procesów. Z pliku maps wiemy, które obszary pamięci są odczytywalne i ich przesunięcia. Wykorzystujemy tę informację, aby przeszukać plik mem i zrzucić wszystkie odczytywalne obszary do pliku.
/dev/mem
/dev/mem
zapewnia dostęp do fizycznej pamięci systemu, a nie do pamięci wirtualnej. Przestrzeń adresowa wirtualna jądra może być dostępna za pomocą /dev/kmem.
Zazwyczaj /dev/mem
jest tylko do odczytu przez użytkownika root i grupę kmem.
ProcDump dla systemu Linux
ProcDump to linuxowa reinterpretacja klasycznego narzędzia ProcDump z pakietu narzędzi Sysinternals dla systemu Windows. Pobierz go z https://github.com/Sysinternals/ProcDump-for-Linux
Narzędzia
Aby zrzucić pamięć procesu, możesz użyć:
https://github.com/hajzer/bash-memory-dump (root) - _Możesz ręcznie usunąć wymagania dotyczące uprawnień roota i zrzucić proces należący do Ciebie
Skrypt A.5 z https://www.delaat.net/rp/2016-2017/p97/report.pdf (wymagany jest root)
Dane uwierzytelniające z pamięci procesu
Przykład ręczny
Jeśli zauważysz, że proces autentykatora jest uruchomiony:
Możesz wyświetlić zawartość procesu (zobacz poprzednie sekcje, aby znaleźć różne sposoby na wyświetlenie pamięci procesu) i wyszukać poświadczenia w pamięci:
mimipenguin
Narzędzie https://github.com/huntergregal/mimipenguin ukradnie hasła w postaci tekstu jawnego z pamięci oraz z niektórych znanych plików. Do poprawnego działania wymaga uprawnień roota.
Funkcja | Nazwa procesu |
---|---|
Hasło GDM (Kali Desktop, Debian Desktop) | gdm-password |
Gnome Keyring (Ubuntu Desktop, ArchLinux Desktop) | gnome-keyring-daemon |
LightDM (Ubuntu Desktop) | lightdm |
VSFTPd (Aktywne połączenia FTP) | vsftpd |
Apache2 (Aktywne sesje HTTP Basic Auth) | apache2 |
OpenSSH (Aktywne sesje SSH - Użycie Sudo) | sshd: |
Search Regexes/truffleproc
Zaplanowane/Cron zadania
Sprawdź, czy jakiekolwiek zaplanowane zadanie jest podatne. Być może możesz skorzystać z skryptu wykonywanego przez użytkownika root (podatność na symbol wieloznaczny? czy można modyfikować pliki używane przez roota? użyć dowiązań symbolicznych? utworzyć określone pliki w katalogu używanym przez roota?).
Ścieżka Crona
Na przykład, wewnątrz /etc/crontab można znaleźć ścieżkę: PATH=/home/user:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
(Zauważ, że użytkownik "user" ma uprawnienia do zapisu w /home/user)
Jeśli w tej crontabie użytkownik root spróbuje wykonać pewne polecenie lub skrypt bez ustawiania ścieżki. Na przykład: * * * * root overwrite.sh W takim przypadku, można uzyskać powłokę roota używając:
Cron używający skryptu z symbolem wieloznacznym (Wstrzyknięcie Symboli)
Jeśli skrypt jest wykonywany przez roota i zawiera „*” wewnątrz polecenia, można to wykorzystać do wykonania nieoczekiwanych działań (np. eskalacji uprawnień). Przykład:
Jeśli symbol wieloznaczny poprzedza ścieżkę, na przykład /some/path/*, to nie jest podatne na atak (nawet ./* też nie jest).
Przeczytaj następną stronę, aby poznać więcej sztuczek związanych z wykorzystaniem symboli wieloznacznych:
pageWildcards Spare tricksNadpisywanie skryptu Cron i symlink
Jeśli możesz modyfikować skrypt Cron wykonywany przez użytkownika root, możesz bardzo łatwo uzyskać dostęp do powłoki:
Jeśli skrypt wykonany przez root używa katalogu, w którym masz pełny dostęp, być może przydatne będzie usunięcie tego folderu i utworzenie symlinku do innego katalogu, w którym znajduje się skrypt kontrolowany przez ciebie
Częste zadania cron
Możesz monitorować procesy, aby wyszukać te, które są wykonywane co 1, 2 lub 5 minut. Być może możesz to wykorzystać i uzyskać wyższe uprawnienia.
Na przykład, aby monitorować co 0,1s przez 1 minutę, sortować według mniej wykonywanych poleceń i usuwać polecenia, które zostały wykonane najczęściej, możesz wykonać:
Możesz również użyć pspy (to narzędzie monitoruje i wyświetla każdy proces, który się uruchamia).
Niewidoczne zadania cron
Możliwe jest utworzenie zadania cron, dodając znak powrotu karetki po komentarzu (bez znaku nowej linii), a zadanie cron będzie działać. Przykład (zauważ znak powrotu karetki):
Usługi
Pliki .service z możliwością zapisu
Sprawdź, czy możesz zapisać jakikolwiek plik .service
, jeśli tak, możesz go zmodyfikować, aby wykonywał twój tylny wejście po uruchomieniu, ponownym uruchomieniu lub zatrzymaniu usługi (być może będziesz musiał poczekać, aż maszyna zostanie ponownie uruchomiona).
Na przykład, stwórz swoje tylne wejście wewnątrz pliku .service za pomocą ExecStart=/tmp/script.sh
Binaria usług z możliwością zapisu
Pamiętaj, że jeśli masz uprawnienia do zapisu nad binariami wykonywanymi przez usługi, możesz je zmienić na tylne wejścia, więc gdy usługi zostaną ponownie uruchomione, tylne wejścia zostaną wykonane.
Ścieżki systemd - Ścieżki względne
Możesz zobaczyć używaną ścieżkę systemd za pomocą:
Jeśli odkryjesz, że możesz zapisywać w którymkolwiek z folderów ścieżki, możesz mieć możliwość eskalacji uprawnień. Musisz szukać plików konfiguracyjnych usług, w których używane są ścieżki względne.
Następnie utwórz wykonywalny plik o takiej samej nazwie jak względna ścieżka binarna w folderze ścieżki systemd, w którym możesz pisać, a gdy usługa zostanie poproszona o wykonanie podatnej akcji (Start, Stop, Reload), zostanie wykonane twoje tylne drzwi (zwykle nieuprawnieni użytkownicy nie mogą uruchamiać/zatrzymywać usług, ale sprawdź, czy możesz użyć sudo -l
).
Dowiedz się więcej o usługach za pomocą man systemd.service
.
Timery
Timery to pliki jednostek systemd, których nazwa kończy się na **.timer**
, kontrolujące pliki lub zdarzenia **.service**
. Timery mogą być używane jako alternatywa dla cron, ponieważ posiadają wbudowane wsparcie dla zdarzeń kalendarzowych i zdarzeń czasu monotonicznego oraz mogą być uruchamiane asynchronicznie.
Możesz wyświetlić wszystkie timery za pomocą:
Zapisywalne timery
Jeśli możesz zmodyfikować timer, możesz sprawić, że będzie wykonywał istniejące jednostki systemd (takie jak .service
lub .target
)
W dokumentacji można przeczytać, co to jest jednostka:
Jednostka do aktywacji po upływie tego timera. Argumentem jest nazwa jednostki, której przyrostek nie jest ".timer". Jeśli nie jest określone, ta wartość domyślnie ustawia się na usługę, która ma taką samą nazwę jak jednostka timera, z wyjątkiem przyrostka. (Patrz powyżej.) Zaleca się, aby nazwa jednostki aktywowanej i nazwa jednostki timera były nazwane identycznie, z wyjątkiem przyrostka.
W związku z tym, aby nadużyć tego uprawnienia, musiałbyś:
Znaleźć jakąś jednostkę systemd (np.
.service
), która wykonuje zapisywalny plik binarnyZnaleźć jakąś jednostkę systemd, która wykonuje ścieżkę względną i masz uprawnienia do zapisu w ścieżce systemd (aby podszyć się pod ten plik wykonywalny)
Dowiedz się więcej o timerach za pomocą man systemd.timer
.
Włączanie timera
Aby włączyć timer, potrzebujesz uprawnień roota i wykonaj:
Zauważ, że timer jest aktywowany poprzez utworzenie symlinku do niego w /etc/systemd/system/<WantedBy_section>.wants/<name>.timer
Gniazda
Unix Domain Sockets (UDS) umożliwiają komunikację procesów na tych samych lub różnych maszynach w ramach modeli klient-serwer. Wykorzystują standardowe pliki deskryptorów Unix do komunikacji międzykomputerowej i są konfigurowane za pomocą plików .socket
.
Gniazda można skonfigurować za pomocą plików .socket
.
Dowiedz się więcej o gniazdach za pomocą man systemd.socket
. Wewnątrz tego pliku można skonfigurować kilka interesujących parametrów:
ListenStream
,ListenDatagram
,ListenSequentialPacket
,ListenFIFO
,ListenSpecial
,ListenNetlink
,ListenMessageQueue
,ListenUSBFunction
: Te opcje są różne, ale podsumowanie jest używane do wskazania, gdzie będzie nasłuchiwać gniazdo (ścieżka pliku AF_UNIX socket, numer portu IPv4/6 itp.)Accept
: Przyjmuje argument logiczny. Jeśli jest true, instancja usługi jest uruchamiana dla każdego przychodzącego połączenia i tylko gniazdo połączenia jest do niej przekazywane. Jeśli jest false, wszystkie nasłuchujące gniazda same są przekazywane do uruchomionej jednostki usługi, i tylko jedna jednostka usługi jest uruchamiana dla wszystkich połączeń. Ta wartość jest ignorowana dla gniazd datagramowych i FIFO, gdzie pojedyncza jednostka usługi bezwarunkowo obsługuje cały ruch przychodzący. Domyślnie false. Ze względów wydajnościowych zaleca się pisanie nowych demonów tylko w sposób odpowiedni dlaAccept=no
.ExecStartPre
,ExecStartPost
: Przyjmuje jedną lub więcej linii poleceń, które są wykonywane przed lub po utworzeniu i powiązaniu nasłuchujących gniazd/FIFO. Pierwszy token linii poleceń musi być bezwzględną nazwą pliku, a następnie argumenty dla procesu.ExecStopPre
,ExecStopPost
: Dodatkowe polecenia, które są wykonywane przed lub po zamknięciu i usunięciu nasłuchujących gniazd/FIFO.Service
: Określa nazwę jednostki usługi do aktywacji na ruchu przychodzącym. To ustawienie jest dozwolone tylko dla gniazd z Accept=no. Domyślnie jest to usługa, która nosi tę samą nazwę co gniazdo (z zamienionym sufiksem). W większości przypadków nie powinno być konieczne korzystanie z tej opcji.
Zapisywalne pliki .socket
Jeśli znajdziesz zapisywalny plik .socket
, możesz dodać na początku sekcji [Socket]
coś w rodzaju: ExecStartPre=/home/kali/sys/backdoor
, a backdoor zostanie wykonany przed utworzeniem gniazda. W związku z tym prawdopodobnie będziesz musiał poczekać, aż maszyna zostanie ponownie uruchomiona.
Zauważ, że system musi korzystać z tej konfiguracji pliku gniazda, w przeciwnym razie backdoor nie zostanie wykonany
Zapisywalne gniazda
Jeśli zidentyfikujesz jakiekolwiek zapisywalne gniazdo (teraz mówimy o gniazdach Unix, a nie o plikach konfiguracyjnych .socket
), to możesz komunikować się z tym gniazdem i być może wykorzystać lukę w zabezpieczeniach.
Wylicz gniazda Unix
Surowe połączenie
Przykład eksploatacji:
pageSocket Command InjectionGniazda HTTP
Zauważ, że mogą istnieć gniazda nasłuchujące żądania HTTP (Nie mówię o plikach .socket, ale o plikach działających jako gniazda Unix). Możesz to sprawdzić za pomocą:
Jeśli gniazdo odpowiada żądaniem HTTP, możesz z nim komunikować się i być może wykorzystać jakieś podatności.
Zapisywalne gniazdo Docker
Gniazdo Docker, często znajdujące się pod ścieżką /var/run/docker.sock
, to krytyczny plik, który powinien być zabezpieczony. Domyślnie jest on zapisywalny przez użytkownika root
i członków grupy docker
. Posiadanie uprawnień do zapisu tego gniazda może prowadzić do eskalacji uprawnień. Oto analiza, jak to można zrobić, oraz alternatywne metody, jeśli interfejs wiersza poleceń Docker nie jest dostępny.
Eskalacja uprawnień za pomocą interfejsu wiersza poleceń Docker
Jeśli masz uprawnienia do zapisu gniazda Docker, możesz eskalować uprawnienia, korzystając z poniższych poleceń:
Korzystanie z interfejsu API Dockera bezpośrednio
W przypadkach, gdy interfejs wiersza poleceń Dockera nie jest dostępny, gniazdo Dockera nadal można manipulować za pomocą interfejsu API Dockera i poleceń curl
.
Wyświetlanie obrazów Dockera: Pobierz listę dostępnych obrazów.
Tworzenie kontenera: Wyślij żądanie utworzenia kontenera, który montuje katalog główny systemu hosta.
Uruchom nowo utworzony kontener:
Podłączanie do kontenera: Użyj
socat
do nawiązania połączenia z kontenerem, umożliwiając wykonanie poleceń wewnątrz niego.
Po skonfigurowaniu połączenia socat
można wykonywać polecenia bezpośrednio w kontenerze z dostępem na poziomie roota do systemu plików hosta.
Inne
Zauważ, że jeśli masz uprawnienia do zapisu w gnieździe Dockera, ponieważ jesteś wewnątrz grupy docker
, masz więcej sposobów na eskalację uprawnień. Jeśli interfejs API Dockera nasłuchuje na porcie możesz również go skompromitować.
Sprawdź więcej sposobów na wyjście z Dockera lub nadużycie go do eskalacji uprawnień w:
pageDocker SecurityEskalacja uprawnień Containerd (ctr)
Jeśli możesz użyć polecenia ctr
, przeczytaj następną stronę, ponieważ możesz go wykorzystać do eskalacji uprawnień:
Eskalacja uprawnień RunC
Jeśli możesz użyć polecenia runc
, przeczytaj następną stronę, ponieważ możesz go wykorzystać do eskalacji uprawnień:
D-Bus
D-Bus to zaawansowany system komunikacji międzyprocesowej (IPC), który umożliwia aplikacjom efektywną interakcję i udostępnianie danych. Zaprojektowany z myślą o nowoczesnym systemie Linux, oferuje solidny framework do różnych form komunikacji aplikacji.
System jest wszechstronny, obsługując podstawową komunikację międzyprocesową, ułatwiającą wymianę danych między procesami, przypominającą ulepszone gniazda domeny UNIX. Ponadto wspiera nadawanie zdarzeń lub sygnałów, sprzyjając bezproblemowej integracji między komponentami systemu. Na przykład sygnał od demona Bluetooth o nadchodzącym połączeniu może skłonić odtwarzacz muzyki do wyciszenia, poprawiając wrażenia użytkownika. Ponadto D-Bus obsługuje system zdalnych obiektów, upraszczając żądania usług i wywołania metod między aplikacjami, usprawniając procesy, które tradycyjnie były skomplikowane.
D-Bus działa w oparciu o model zezwól/odmów, zarządzając uprawnieniami wiadomości (wywołania metod, emisje sygnałów, itp.) na podstawie skumulowanego efektu zgodności z zasadami polityki. Te zasady określają interakcje z magistralą, potencjalnie umożliwiając eskalację uprawnień poprzez wykorzystanie tych uprawnień.
Przykład takiej polityki w /etc/dbus-1/system.d/wpa_supplicant.conf
jest podany, szczegółowo opisując uprawnienia dla użytkownika roota do posiadania, wysyłania i odbierania wiadomości od fi.w1.wpa_supplicant1
.
Polityki bez określonego użytkownika lub grupy mają zastosowanie uniwersalne, podczas gdy polityki kontekstu "domyślnego" mają zastosowanie do wszystkich, którzy nie są objęci innymi konkretnymi politykami.
Dowiedz się, jak wyliczyć i wykorzystać komunikację D-Bus tutaj:
pageD-Bus Enumeration & Command Injection Privilege EscalationSieć
Zawsze interesujące jest wyliczenie sieci i ustalenie pozycji maszyny.
Ogólne wyliczenie
Otwarte porty
Zawsze sprawdzaj usługi sieciowe działające na maszynie, z którymi wcześniej nie byłeś w stanie współdziałać przed uzyskaniem do niej dostępu:
Podsłuchiwanie
Sprawdź, czy możesz podsłuchiwać ruch sieciowy. Jeśli tak, możesz być w stanie przechwycić pewne dane uwierzytelniające.
Użytkownicy
Ogólna enumeracja
Sprawdź kto jesteś, jakie uprawnienia posiadasz, którzy użytkownicy są w systemach, którzy mogą się zalogować oraz którzy mają uprawnienia root:
Duże UID
Niektóre wersje Linuxa były dotknięte błędem, który pozwala użytkownikom z UID > INT_MAX na eskalację uprawnień. Więcej informacji: tutaj, tutaj i tutaj.
Wykorzystaj to używając: systemd-run -t /bin/bash
Grupy
Sprawdź, czy jesteś członkiem jakiejś grupy, która mogłaby przyznać Ci uprawnienia roota:
pageInteresting Groups - Linux PrivescSchowek
Sprawdź, czy w schowku znajduje się coś interesującego (jeśli to możliwe)
Polityka hasła
Znane hasła
Jeśli znasz jakiekolwiek hasło środowiska, spróbuj zalogować się jako każdy użytkownik, używając hasła.
Su Brute
Jeśli nie masz nic przeciwko generowaniu dużej ilości hałasu i binarne pliki su
i timeout
są obecne na komputerze, możesz spróbować przeprowadzić atak siłowy na użytkownika, korzystając z su-bruteforce.
Linpeas z parametrem -a
również próbuje przeprowadzić atak siłowy na użytkowników.
Nadużycia zapisywalnych ścieżek
$PATH
Jeśli odkryjesz, że możesz pisać wewnątrz pewnego folderu z $PATH, możesz próbować eskalować uprawnienia, tworząc tylną furtkę w zapisywalnym folderze o nazwie jakiejś komendy, która zostanie wykonana przez innego użytkownika (najlepiej roota) i która nie jest ładowana z foldera znajdującego się wcześniej w $PATH.
SUDO i SUID
Możesz mieć zezwolenie na wykonanie pewnej komendy za pomocą sudo lub mogą mieć ustawiony bit suid. Sprawdź to, używając:
Niektóre nieoczekiwane polecenia pozwalają na odczytanie i/lub zapisanie plików, a nawet wykonanie polecenia. Na przykład:
NOPASSWD
Konfiguracja Sudo może pozwolić użytkownikowi na wykonanie pewnej komendy z uprawnieniami innego użytkownika bez znajomości hasła.
W tym przykładzie użytkownik demo
może uruchomić vim
jako root
, teraz jest banalnie łatwo uzyskać powłokę, dodając klucz ssh do katalogu root lub wywołując sh
.
SETENV
Ta dyrektywa pozwala użytkownikowi ustawić zmienną środowiskową podczas wykonywania czegoś:
To przykład, oparty na maszynie HTB Admirer, był podatny na przechwycenie PYTHONPATH w celu załadowania dowolnej biblioteki pythona podczas wykonywania skryptu jako root:
Pomijanie ścieżek wykonania Sudo
Skok do odczytu innych plików lub użyj symlinków. Na przykład w pliku sudoers: hacker10 ALL= (root) /bin/less /var/log/*
Jeśli używany jest znak wieloznaczny (*), jest jeszcze łatwiej:
Przeciwdziałania: https://blog.compass-security.com/2012/10/dangerous-sudoers-entries-part-5-recapitulation/
Polecenie Sudo/binarny SUID bez ścieżki polecenia
Jeśli uprawnienia sudo są nadane dla pojedynczego polecenia bez określania ścieżki: hacker10 ALL= (root) less można je wykorzystać zmieniając zmienną PATH.
Ta technika może być również użyta, jeśli binarny plik suid wykonuje inne polecenie bez określania ścieżki do niego (zawsze sprawdzaj za pomocą strings zawartość podejrzanego binarnego pliku SUID).
Przykłady ładunków do wykonania.
SUID binary z ścieżką polecenia
Jeśli binarny plik suid wykonuje inne polecenie, określając ścieżkę, wtedy możesz spróbować wyeksportować funkcję o nazwie takiej jak polecenie, które wywołuje plik suid.
Na przykład, jeśli binarny plik suid wywołuje /usr/sbin/service apache2 start musisz spróbować utworzyć funkcję i ją wyeksportować:
LD_PRELOAD & LD_LIBRARY_PATH
Zmienna środowiskowa LD_PRELOAD jest używana do określenia jednej lub więcej bibliotek współdzielonych (.so), które mają być załadowane przez ładowacz przed wszystkimi innymi, włącznie z standardową biblioteką C (libc.so
). Ten proces jest znany jako wczytywanie biblioteki.
Jednakże, aby utrzymać bezpieczeństwo systemu i zapobiec wykorzystaniu tej funkcji, zwłaszcza w przypadku plików wykonywalnych suid/sgid, system narzuca pewne warunki:
Ładowacz ignoruje LD_PRELOAD dla plików wykonywalnych, w których rzeczywiste ID użytkownika (ruid) nie pasuje do efektywnego ID użytkownika (euid).
Dla plików wykonywalnych z ustawionymi bitami suid/sgid, wczytywane są tylko biblioteki znajdujące się w standardowych ścieżkach, które również mają ustawione bity suid/sgid.
Eskalacja uprawnień może wystąpić, jeśli masz możliwość wykonywania poleceń za pomocą sudo
, a wynik sudo -l
zawiera instrukcję env_keep+=LD_PRELOAD. Ta konfiguracja pozwala zmiennej środowiskowej LD_PRELOAD utrzymać się i być rozpoznaną nawet podczas uruchamiania poleceń za pomocą sudo
, co potencjalnie prowadzi do wykonania dowolnego kodu z podwyższonymi uprawnieniami.
Zapisz jako /tmp/pe.c
Następnie skompiluj to używając:
Wreszcie, zwiększ uprawnienia uruchamiając
Podobne eskalacje uprawnień mogą być wykorzystane, jeśli atakujący kontroluje zmienną środowiskową LD_LIBRARY_PATH, ponieważ kontroluje ścieżkę, w której będą wyszukiwane biblioteki.
Binarne SUID – wstrzykiwanie .so
Gdy napotkasz binarny plik z uprawnieniami SUID, które wydają się nietypowe, warto sprawdzić, czy poprawnie wczytuje pliki .so. Można to sprawdzić, wykonując poniższą komendę:
Na przykład napotkanie błędu jak "open(“/path/to/.config/libcalc.so”, O_RDONLY) = -1 ENOENT (No such file or directory)" sugeruje potencjał do wykorzystania.
Aby to wykorzystać, należy przejść do utworzenia pliku C, powiedzmy "/path/to/.config/libcalc.c", zawierającego następujący kod:
Ten kod, po skompilowaniu i wykonaniu, ma na celu podniesienie uprawnień poprzez manipulowanie uprawnieniami plików i uruchomienie powłoki z podwyższonymi uprawnieniami.
Skompiluj powyższy plik C do pliku obiektowego współdzielonego (.so) za pomocą polecenia:
Współdzielone przejęcie obiektu
Wreszcie, uruchomienie dotkniętego binarnego pliku SUID powinno wywołać eksploit, umożliwiając potencjalne skompromitowanie systemu.
Teraz, gdy znaleźliśmy binarny plik SUID ładujący bibliotekę z folderu, w którym możemy pisać, utwórzmy bibliotekę w tym folderze o wymaganej nazwie:
Jeśli otrzymasz błąd taki jak
To oznacza, że wygenerowana przez Ciebie biblioteka musi zawierać funkcję o nazwie a_function_name
.
GTFOBins
GTFOBins to kuratowana lista binarnych plików Unix, które mogą być wykorzystane przez atakującego do obejścia lokalnych ograniczeń bezpieczeństwa. GTFOArgs działa podobnie, ale w przypadkach, gdy można tylko wstrzyknąć argumenty do polecenia.
Projekt zbiera legalne funkcje binarnych plików Unix, które mogą być nadużyte do wyjścia z ograniczonych powłok, eskalacji lub utrzymania podwyższonych uprawnień, transferu plików, uruchamiania powłok bind i reverse oraz ułatwiania innych zadań związanych z eksploatacją po przejęciu.
gdb -nx -ex '!sh' -ex quit sudo mysql -e '! /bin/sh' strace -o /dev/null /bin/sh sudo awk 'BEGIN {system("/bin/sh")}'
FallOfSudo
Jeśli masz dostęp do sudo -l
, możesz skorzystać z narzędzia FallOfSudo, aby sprawdzić, czy znajduje sposób na wykorzystanie jakiejkolwiek reguły sudo.
Ponowne wykorzystanie Tokenów Sudo
W przypadkach, gdy masz dostęp do sudo, ale nie znasz hasła, możesz eskalować uprawnienia, czekając na wykonanie polecenia sudo, a następnie przejmując token sesji.
Wymagania do eskalacji uprawnień:
Masz już dostęp do powłoki jako użytkownik "sampleuser"
"sampleuser" użył
sudo
do wykonania czegoś w ostatnich 15 minutach (domyślnie jest to czas trwania tokenu sudo, który pozwala nam używaćsudo
bez konieczności podawania hasła)cat /proc/sys/kernel/yama/ptrace_scope
wynosi 0gdb
jest dostępny (możesz go przesłać)
(Możesz tymczasowo włączyć ptrace_scope
za pomocą echo 0 | sudo tee /proc/sys/kernel/yama/ptrace_scope
lub na stałe, modyfikując /etc/sysctl.d/10-ptrace.conf
i ustawiając kernel.yama.ptrace_scope = 0
)
Jeśli spełnione są wszystkie te wymagania, możesz eskalować uprawnienia za pomocą: https://github.com/nongiach/sudo_inject
Pierwsze wykorzystanie (
exploit.sh
) utworzy binarny plikactivate_sudo_token
w /tmp. Możesz go użyć do aktywacji tokenu sudo w swojej sesji (nie otrzymasz automatycznie powłoki roota, wykonajsudo su
):
Drugie wykorzystanie (
exploit_v2.sh
) utworzy powłokę sh w /tmp należącą do roota z ustawionym setuid
Trzeci exploit (
exploit_v3.sh
) utworzy plik sudoers, który sprawi, że tokeny sudo będą wieczne i umożliwi wszystkim użytkownikom korzystanie z sudo.
/var/run/sudo/ts/<NazwaUżytkownika>
Jeśli masz uprawnienia do zapisu w folderze lub do któregokolwiek z utworzonych plików wewnątrz folderu, możesz użyć binarnego pliku write_sudo_token, aby utworzyć token sudo dla użytkownika i PID. Na przykład, jeśli możesz nadpisać plik /var/run/sudo/ts/sampleuser i masz powłokę jako ten użytkownik z PID 1234, możesz uzyskać uprawnienia sudo bez konieczności znajomości hasła, wykonując:
/etc/sudoers, /etc/sudoers.d
Plik /etc/sudoers
oraz pliki wewnątrz /etc/sudoers.d
konfigurują, kto może używać sudo
oraz w jaki sposób. Te pliki domyślnie mogą być czytane tylko przez użytkownika root i grupę root.
Jeśli możesz odczytać ten plik, możesz uzyskać pewne interesujące informacje, a jeśli możesz zapisywać do jakiegokolwiek pliku, będziesz mógł eskalować uprawnienia.
Jeśli potrafisz pisać, możesz nadużyć tego uprawnienia.
Inny sposób nadużywania tych uprawnień:
DOAS
Istnieją pewne alternatywy dla binarnej aplikacji sudo
, takie jak doas
dla OpenBSD, pamiętaj, aby sprawdzić jego konfigurację w lokalizacji /etc/doas.conf
Przechwytywanie Sudo
Jeśli wiesz, że użytkownik zazwyczaj łączy się z maszyną i używa sudo
do eskalacji uprawnień, a ty masz dostęp do powłoki w kontekście tego użytkownika, możesz utworzyć nowy plik wykonywalny sudo, który będzie wykonywał twój kod jako root, a następnie polecenie użytkownika. Następnie zmodyfikuj $PATH kontekstu użytkownika (na przykład dodając nową ścieżkę w .bash_profile), aby po wykonaniu sudo przez użytkownika, został wykonany twój plik wykonywalny sudo.
Zauważ, że jeśli użytkownik używa innej powłoki (nie bash), będziesz musiał zmodyfikować inne pliki, aby dodać nową ścieżkę. Na przykład sudo-piggyback modyfikuje ~/.bashrc
, ~/.zshrc
, ~/.bash_profile
. Możesz znaleźć inny przykład w bashdoor.py
Albo uruchom coś w stylu:
Biblioteka współdzielona
ld.so
Plik /etc/ld.so.conf
wskazuje skąd pochodzą załadowane pliki konfiguracyjne. Zazwyczaj plik ten zawiera następującą ścieżkę: include /etc/ld.so.conf.d/*.conf
Oznacza to, że pliki konfiguracyjne z /etc/ld.so.conf.d/*.conf
zostaną odczytane. Te pliki konfiguracyjne wskazują na inne foldery, w których będą szukane biblioteki. Na przykład zawartość pliku /etc/ld.so.conf.d/libc.conf
to /usr/local/lib
. Oznacza to, że system będzie szukał bibliotek wewnątrz /usr/local/lib
.
Jeśli z jakiegoś powodu użytkownik ma uprawnienia do zapisu w którymkolwiek z wskazanych ścieżek: /etc/ld.so.conf
, /etc/ld.so.conf.d/
, jakikolwiek plik wewnątrz /etc/ld.so.conf.d/
lub jakikolwiek folder wewnątrz pliku konfiguracyjnego w /etc/ld.so.conf.d/*.conf
, może on próbować eskalować uprawnienia.
Zobacz, jak wykorzystać tę nieprawidłową konfigurację na następnej stronie:
RPATH
Poprzez skopiowanie biblioteki do /var/tmp/flag15/
zostanie ona użyta przez program w tym miejscu, jak określono w zmiennej RPATH
.
Następnie utwórz złośliwą bibliotekę w /var/tmp
za pomocą gcc -fPIC -shared -static-libgcc -Wl,--version-script=version,-Bstatic exploit.c -o libc.so.6
Uprawnienia
Zdolności systemu Linux zapewniają podzbiór dostępnych uprawnień roota dla procesu. W praktyce dzieli to uprawnienia roota na mniejsze i odrębne jednostki. Każda z tych jednostek może być niezależnie przyznana procesom. W ten sposób pełen zestaw uprawnień jest zmniejszony, co zmniejsza ryzyko eksploatacji. Przeczytaj następną stronę, aby dowiedzieć się więcej o zdolnościach i jak je nadużywać:
pageLinux CapabilitiesUprawnienia katalogów
W katalogu bit "execute" oznacza, że dotknięty użytkownik może wejść do folderu. Bit "read" oznacza, że użytkownik może wyświetlić pliki, a bit "write" oznacza, że użytkownik może usunąć i tworzyć nowe pliki.
ACL
Listy kontroli dostępu (ACL) stanowią drugorzędny poziom dyskrecyjnych uprawnień, zdolny do nadpisywania tradycyjnych uprawnień ugo/rwx. Te uprawnienia zwiększają kontrolę nad dostępem do pliku lub katalogu, pozwalając na przyznawanie lub odmawianie praw określonym użytkownikom, którzy nie są właścicielami ani członkami grupy. Ten poziom dokładności zapewnia bardziej precyzyjne zarządzanie dostępem. Więcej szczegółów można znaleźć tutaj.
Daj użytkownikowi "kali" uprawnienia do odczytu i zapisu pliku:
Pobierz pliki z określonymi ACL-ami z systemu:
Otwórz sesje powłoki
W starych wersjach możesz przejąć kontrolę nad sesją powłoki innego użytkownika (root). W najnowszych wersjach będziesz mógł połączyć się tylko z sesjami ekranowymi twojego własnego użytkownika. Niemniej jednak, możesz znaleźć interesujące informacje wewnątrz sesji.
przejmowanie sesji ekranowych
Wyświetl sesje ekranowe
Dołącz do sesji
przejmowanie sesji tmux
To było problemem z starymi wersjami tmux. Nie mogłem przejąć sesji tmux (v2.1) utworzonej przez roota jako użytkownik nieuprzywilejowany.
Lista sesji tmux
Dołącz do sesji
Sprawdź Valentine box z HTB jako przykład.
SSH
Debian OpenSSL Przewidywalny PRNG - CVE-2008-0166
Wszystkie klucze SSL i SSH wygenerowane na systemach opartych na Debianie (Ubuntu, Kubuntu, itp.) między wrześniem 2006 a 13 maja 2008 mogą być dotknięte tym błędem. Ten błąd występuje podczas tworzenia nowego klucza ssh w tych systemach operacyjnych, ponieważ było możliwych tylko 32 768 wariantów. Oznacza to, że wszystkie możliwości można obliczyć i posiadając klucz publiczny ssh, można wyszukać odpowiadający mu klucz prywatny. Możesz znaleźć obliczone możliwości tutaj: https://github.com/g0tmi1k/debian-ssh
Interesujące wartości konfiguracji SSH
PasswordAuthentication: Określa, czy uwierzytelnianie hasłem jest dozwolone. Wartość domyślna to
no
.PubkeyAuthentication: Określa, czy uwierzytelnianie za pomocą klucza publicznego jest dozwolone. Wartość domyślna to
yes
.PermitEmptyPasswords: Gdy uwierzytelnianie hasłem jest dozwolone, określa, czy serwer zezwala na logowanie do kont z pustymi ciągami hasła. Wartość domyślna to
no
.
PermitRootLogin
Określa, czy root może zalogować się za pomocą ssh, domyślnie jest no
. Możliwe wartości:
yes
: root może zalogować się za pomocą hasła i klucza prywatnegowithout-password
lubprohibit-password
: root może zalogować się tylko za pomocą klucza prywatnegoforced-commands-only
: Root może zalogować się tylko za pomocą klucza prywatnego i jeśli są określone opcje poleceńno
: nie
AuthorizedKeysFile
Określa pliki zawierające klucze publiczne, które mogą być używane do uwierzytelniania użytkownika. Może zawierać tokeny takie jak %h
, które zostaną zastąpione katalogiem domowym. Możesz wskazać ścieżki bezwzględne (zaczynające się od /
) lub ścieżki względne od katalogu domowego użytkownika. Na przykład:
Ta konfiguracja wskaże, że jeśli spróbujesz zalogować się za pomocą klucza prywatnego użytkownika "testusername", ssh porówna klucz publiczny Twojego klucza z tymi znajdującymi się w /home/testusername/.ssh/authorized_keys
i /home/testusername/access
ForwardAgent/AllowAgentForwarding
Przekazywanie agenta SSH pozwala Ci używać lokalnych kluczy SSH zamiast pozostawiać klucze (bez hasła!) na serwerze. Dzięki temu będziesz mógł przeskoczyć za pomocą ssh do hosta i stamtąd przeskoczyć do innego hosta korzystając z klucza znajdującego się na Twoim początkowym hoście.
Musisz ustawić tę opcję w pliku $HOME/.ssh.config
w ten sposób:
Zauważ, że jeśli Host
to *
, za każdym razem gdy użytkownik przełącza się na inną maszynę, ta maszyna będzie miała dostęp do kluczy (co stanowi problem związany z bezpieczeństwem).
Plik /etc/ssh_config
może nadpisać te opcje i zezwolić lub zabronić tej konfiguracji.
Plik /etc/sshd_config
może zezwolić lub zabronić przekazywanie ssh-agenta za pomocą słowa kluczowego AllowAgentForwarding
(domyślnie jest zezwolone).
Jeśli odkryjesz, że Forward Agent jest skonfigurowany w środowisku, przeczytaj następującą stronę, ponieważ możesz go wykorzystać do eskalacji uprawnień:
pageSSH Forward Agent exploitationInteresujące Pliki
Pliki profili
Plik /etc/profile
oraz pliki w /etc/profile.d/
to skrypty wykonywane, gdy użytkownik uruchamia nową powłokę. Dlatego jeśli możesz zapisać lub zmodyfikować którykolwiek z nich, możesz eskalować uprawnienia.
Jeśli zostanie znaleziony jakiś dziwny skrypt profilu, należy sprawdzić go pod kątem wrażliwych danych.
Pliki Passwd/Shadow
W zależności od systemu operacyjnego pliki /etc/passwd
i /etc/shadow
mogą mieć inną nazwę lub istnieć kopie zapasowe. Dlatego zaleca się znalezienie wszystkich i sprawdzenie, czy można je odczytać, aby zobaczyć, czy zawierają hashe wewnątrz plików:
W niektórych sytuacjach można znaleźć skróty haseł wewnątrz pliku /etc/passwd
(lub równoważnego)
Zapisywalny /etc/passwd
Najpierw wygeneruj hasło za pomocą jednej z poniższych poleceń.
Następnie dodaj użytkownika hacker
i wprowadź wygenerowane hasło.
Na przykład: hacker:$1$hacker$TzyKlv0/R/c28R.GAeLw.1:0:0:Hacker:/root:/bin/bash
Możesz teraz użyć polecenia su
z hacker:hacker
Alternatywnie, możesz użyć poniższych linii, aby dodać użytkownika z pustym hasłem. OSTRZEŻENIE: możesz obniżyć obecną ochronę maszyny.
UWAGA: Na platformach BSD plik /etc/passwd
znajduje się pod ścieżką /etc/pwd.db
i /etc/master.passwd
, a plik /etc/shadow
został przemianowany na /etc/spwd.db
.
Powinieneś sprawdzić, czy możesz zapisywać w pewnych wrażliwych plikach. Na przykład, czy możesz zapisać w jakimś pliku konfiguracji usługi?
Na przykład, jeśli maszyna uruchamia serwer tomcat i możesz zmodyfikować plik konfiguracyjny usługi Tomcat wewnątrz /etc/systemd/, to możesz zmodyfikować linie:
Twoja tylna furtka zostanie uruchomiona następnym razem, gdy zostanie uruchomiony tomcat.
Sprawdź Foldery
Następujące foldery mogą zawierać kopie zapasowe lub interesujące informacje: /tmp, /var/tmp, /var/backups, /var/mail, /var/spool/mail, /etc/exports, /root (Prawdopodobnie nie będziesz w stanie odczytać ostatniego, ale spróbuj)
Dziwne lokalizacje/Pliki własności użytkownika
Zmodyfikowane pliki w ciągu ostatnich minut
Pliki bazy danych Sqlite
Pliki *_history, .sudo_as_admin_successful, profile, bashrc, httpd.conf, .plan, .htpasswd, .git-credentials, .rhosts, hosts.equiv, Dockerfile, docker-compose.yml
Ukryte pliki
Skrypty/Binaries w ścieżce PATH
Pliki internetowe
Kopie zapasowe
Znane pliki zawierające hasła
Przeczytaj kod linPEAS, który wyszukuje kilka możliwych plików, które mogą zawierać hasła. Innym interesującym narzędziem, które możesz użyć do tego celu, jest: LaZagne, które jest aplikacją open source służącą do odzyskiwania wielu haseł przechowywanych na komputerze lokalnym w systemach Windows, Linux i Mac.
Dzienniki
Jeśli potrafisz czytać dzienniki, możesz znaleźć w nich interesujące/poufne informacje. Im dziwniejszy jest dziennik, tym bardziej interesujący będzie (prawdopodobnie). Ponadto, niektóre "źle" skonfigurowane (z backdoorem?) dzienniki audytowe mogą pozwolić Ci zapisywać hasła w dziennikach audytowych, jak wyjaśniono w tym poście: https://www.redsiege.com/blog/2019/05/logging-passwords-on-linux/.
Aby czytać dzienniki grupy, adm będą naprawdę pomocne.
Pliki powłoki
Ogólne wyszukiwanie danych uwierzytelniających/Regex
Należy również sprawdzić pliki zawierające słowo "password" w nazwie lub w treści, a także sprawdzić adresy IP i e-maile w logach, lub wyrażenia regularne dla hashy. Nie zamierzam tutaj wymieniać, jak to zrobić, ale jeśli jesteś zainteresowany, możesz sprawdzić ostatnie sprawdzenia, które wykonuje linpeas.
Pliki z możliwością zapisu
Przechwytywanie biblioteki Pythona
Jeśli wiesz skąd będzie wykonywany skrypt w języku Python i możesz pisać wewnątrz tego folderu lub modyfikować biblioteki Pythona, możesz zmodyfikować bibliotekę systemową i umieścić w niej tylną furtkę (jeśli możesz pisać tam, gdzie będzie wykonywany skrypt Pythona, skopiuj i wklej bibliotekę os.py).
Aby umieścić tylną furtkę w bibliotece, wystarczy dodać na końcu biblioteki os.py następującą linię (zmień IP i PORT):
Wykorzystanie logrotate
Podatność w logrotate
pozwala użytkownikom z uprawnieniami do zapisu do pliku dziennika lub jego katalogów nadrzędnych potencjalnie uzyskać podwyższone uprawnienia. Dzieje się tak, ponieważ logrotate
, często uruchamiany jako root, może być manipulowany w celu wykonania dowolnych plików, zwłaszcza w katalogach takich jak /etc/bash_completion.d/. Ważne jest sprawdzenie uprawnień nie tylko w /var/log, ale także w dowolnym katalogu, w którym stosowane jest obracanie logów.
Ta podatność dotyczy wersji logrotate
3.18.0
i starszych
Szczegółowe informacje na temat podatności można znaleźć na tej stronie: https://tech.feedyourhead.at/content/details-of-a-logrotate-race-condition.
Możesz wykorzystać tę podatność za pomocą logrotten.
Ta podatność jest bardzo podobna do CVE-2016-1247 (dzienniki nginx), więc gdy tylko zauważysz, że możesz zmieniać dzienniki, sprawdź, kto nimi zarządza, i sprawdź, czy możesz uzyskać podwyższone uprawnienia, podmieniając dzienniki za pomocą symlinków.
/etc/sysconfig/network-scripts/ (Centos/Redhat)
Odwołanie do podatności: https://vulmon.com/exploitdetails?qidtp=maillist_fulldisclosure&qid=e026a0c5f83df4fd532442e1324ffa4f
Jeśli z jakiegoś powodu użytkownik jest w stanie zapisać skrypt ifcf-<cokolwiek>
do /etc/sysconfig/network-scripts lub może dostosować istniejący, to twój system jest skompromitowany.
Skrypty sieciowe, np. ifcg-eth0, są używane do połączeń sieciowych. Wyglądają dokładnie jak pliki .INI. Jednak są one ~załączane~ na Linuxie przez Menedżera Sieci (dispatcher.d).
W moim przypadku atrybut NAME=
w tych skryptach sieciowych nie jest obsługiwany poprawnie. Jeśli masz białą/przerwę w nazwie, system próbuje wykonać część po białej/przerwie. Oznacza to, że wszystko po pierwszej białej/przerwie jest wykonywane jako root.
Na przykład: /etc/sysconfig/network-scripts/ifcfg-1337
init, init.d, systemd oraz rc.d
Katalog /etc/init.d
jest domem dla skryptów Systemu V init (SysVinit), klasycznego systemu zarządzania usługami w systemie Linux. Zawiera skrypty do startowania
, zatrzymywania
, restartowania
oraz czasami przeładowywania
usług. Mogą być one wykonywane bezpośrednio lub poprzez linki symboliczne znajdujące się w /etc/rc?.d/
. Alternatywną ścieżką w systemach Redhat jest /etc/rc.d/init.d
.
Z kolei /etc/init
jest związane z Upstart, nowszym systemem zarządzania usługami wprowadzonym przez Ubuntu, wykorzystującym pliki konfiguracyjne do zadań zarządzania usługami. Pomimo przejścia na Upstart, skrypty SysVinit są wciąż wykorzystywane obok konfiguracji Upstart ze względu na warstwę kompatybilności w Upstart.
systemd pojawia się jako nowoczesny inicjalizator i menedżer usług, oferujący zaawansowane funkcje takie jak uruchamianie demona na żądanie, zarządzanie automatycznym montowaniem oraz tworzenie migawek stanu systemu. Organizuje pliki w /usr/lib/systemd/
dla pakietów dystrybucyjnych oraz /etc/systemd/system/
dla modyfikacji administratora, usprawniając proces administracji systemem.
Inne Triki
Eskalacja uprawnień NFS
pageNFS no_root_squash/no_all_squash misconfiguration PEUcieczka z ograniczonych powłok
pageEscaping from JailsCisco - vmanage
pageCisco - vmanageZabezpieczenia jądra Linuxa
Więcej pomocy
Narzędzia do eskalacji uprawnień w Linuxie/Unixie
Najlepsze narzędzie do szukania wektorów eskalacji uprawnień lokalnych w Linuxie: LinPEAS
LinEnum: https://github.com/rebootuser/LinEnum(-t option) Enumy: https://github.com/luke-goddard/enumy Unix Privesc Check: http://pentestmonkey.net/tools/audit/unix-privesc-check Linux Priv Checker: www.securitysift.com/download/linuxprivchecker.py BeeRoot: https://github.com/AlessandroZ/BeRoot/tree/master/Linux Kernelpop: Wyliczanie podatności jądra w systemach Linux i MAC https://github.com/spencerdodd/kernelpop Mestaploit: multi/recon/local_exploit_suggester Linux Exploit Suggester: https://github.com/mzet-/linux-exploit-suggester EvilAbigail (dostęp fizyczny): https://github.com/GDSSecurity/EvilAbigail Kompilacja więcej skryptów: https://github.com/1N3/PrivEsc
Referencje
Last updated