Linux Capabilities
RootedCON é o evento de cibersegurança mais relevante na Espanha e um dos mais importantes na Europa. Com a missão de promover o conhecimento técnico, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.\
Linux Capabilities
As capacidades do Linux dividem os privilégios de root em unidades menores e distintas, permitindo que processos tenham um subconjunto de privilégios. Isso minimiza os riscos ao não conceder privilégios de root completos desnecessariamente.
O Problema:
Usuários normais têm permissões limitadas, afetando tarefas como abrir um soquete de rede que requer acesso de root.
Conjuntos de Capacidades:
Herdado (CapInh):
Propósito: Determina as capacidades transmitidas pelo processo pai.
Funcionalidade: Quando um novo processo é criado, ele herda as capacidades de seu pai neste conjunto. Útil para manter certos privilégios em spawns de processos.
Restrições: Um processo não pode adquirir capacidades que seu pai não possuía.
Efetivo (CapEff):
Propósito: Representa as capacidades reais que um processo está utilizando a qualquer momento.
Funcionalidade: É o conjunto de capacidades verificado pelo kernel para conceder permissão para várias operações. Para arquivos, este conjunto pode ser uma flag indicando se as capacidades permitidas do arquivo devem ser consideradas efetivas.
Significado: O conjunto efetivo é crucial para verificações imediatas de privilégio, atuando como o conjunto ativo de capacidades que um processo pode usar.
Permitido (CapPrm):
Propósito: Define o conjunto máximo de capacidades que um processo pode possuir.
Funcionalidade: Um processo pode elevar uma capacidade do conjunto permitido para seu conjunto efetivo, dando-lhe a capacidade de usar essa capacidade. Também pode descartar capacidades de seu conjunto permitido.
Limite: Age como um limite superior para as capacidades que um processo pode ter, garantindo que um processo não exceda seu escopo de privilégio predefinido.
Limitação (CapBnd):
Propósito: Coloca um teto nas capacidades que um processo pode adquirir durante seu ciclo de vida.
Funcionalidade: Mesmo que um processo tenha uma determinada capacidade em seu conjunto herdado ou permitido, ele não pode adquirir essa capacidade a menos que também esteja no conjunto de limitação.
Caso de uso: Este conjunto é particularmente útil para restringir o potencial de escalonamento de privilégios de um processo, adicionando uma camada extra de segurança.
Ambiente (CapAmb):
Propósito: Permite que certas capacidades sejam mantidas através de uma chamada de sistema
execve
, que normalmente resultaria em uma reinicialização completa das capacidades do processo.Funcionalidade: Garante que programas não-SUID que não têm capacidades de arquivo associadas possam reter certos privilégios.
Restrições: As capacidades neste conjunto estão sujeitas às restrições dos conjuntos herdado e permitido, garantindo que não excedam os privilégios permitidos do processo.
Para mais informações, consulte:
Capacidades de Processos e Binários
Capacidades de Processos
Para ver as capacidades de um processo específico, use o arquivo status no diretório /proc. Como ele fornece mais detalhes, vamos limitá-lo apenas às informações relacionadas às capacidades do Linux. Observe que para todos os processos em execução, as informações de capacidade são mantidas por thread e, para binários no sistema de arquivos, são armazenadas em atributos estendidos.
Você pode encontrar as capacidades definidas em /usr/include/linux/capability.h
Você pode encontrar as capacidades do processo atual em cat /proc/self/status
ou usando capsh --print
e de outros usuários em /proc/<pid>/status
Este comando deve retornar 5 linhas na maioria dos sistemas.
CapInh = Capacidades herdadas
CapPrm = Capacidades permitidas
CapEff = Capacidades efetivas
CapBnd = Conjunto delimitador
CapAmb = Conjunto de capacidades ambientes
Estes números hexadecimais não fazem sentido. Usando a utilidade capsh podemos decodificá-los para o nome das capacidades.
Vamos verificar agora as capacidades usadas pelo ping
:
Embora isso funcione, há outra maneira mais fácil. Para ver as capacidades de um processo em execução, basta usar a ferramenta getpcaps seguida pelo seu ID de processo (PID). Você também pode fornecer uma lista de IDs de processo.
Vamos verificar aqui as capacidades do tcpdump
depois de ter dado ao binário capacidades suficientes (cap_net_admin
e cap_net_raw
) para capturar o tráfego de rede (tcpdump está sendo executado no processo 9562):
Como você pode ver, as capacidades fornecidas correspondem aos resultados das 2 maneiras de obter as capacidades de um binário. A ferramenta getpcaps utiliza a chamada de sistema capget() para consultar as capacidades disponíveis para uma thread específica. Esta chamada de sistema só precisa fornecer o PID para obter mais informações.
Capacidades de Binários
Os binários podem ter capacidades que podem ser usadas durante a execução. Por exemplo, é muito comum encontrar o binário ping
com a capacidade cap_net_raw
:
Você pode pesquisar binários com capacidades usando:
Descartando capacidades com capsh
Se descartarmos as capacidades CAP_NET_RAW para o ping, então o utilitário ping não deverá mais funcionar.
Além da saída do capsh em si, o comando tcpdump também deve gerar um erro.
/bin/bash: /usr/sbin/tcpdump: Operação não permitida
O erro claramente mostra que o comando ping não está autorizado a abrir um soquete ICMP. Agora sabemos com certeza que isso funciona conforme o esperado.
Remover Capacidades
Você pode remover as capacidades de um binário com
Capacidades do Usuário
Aparentemente é possível atribuir capacidades também aos usuários. Isso provavelmente significa que todo processo executado pelo usuário poderá usar as capacidades do usuário.
Com base nisto, istoe isto alguns arquivos novos precisam ser configurados para dar a um usuário determinadas capacidades, mas aquele que atribui as capacidades a cada usuário será /etc/security/capability.conf
.
Exemplo de arquivo:
Capacidades do Ambiente
Compilando o seguinte programa, é possível iniciar um shell bash dentro de um ambiente que fornece capacidades.
Dentro do bash executado pelo binário de ambiente compilado é possível observar as novas capacidades (um usuário comum não terá nenhuma capacidade na seção "current").
Você só pode adicionar capacidades que estão presentes nos conjuntos permitidos e herdados.
Binários Conscientes de Capacidades / Binários Ignorantes de Capacidades
Os binários conscientes de capacidades não usarão as novas capacidades fornecidas pelo ambiente, no entanto, os binários ignorantes de capacidades as usarão, pois não as rejeitarão. Isso torna os binários ignorantes de capacidades vulneráveis dentro de um ambiente especial que concede capacidades aos binários.
Capacidades de Serviço
Por padrão, um serviço em execução como root terá atribuídas todas as capacidades, e em algumas ocasiões isso pode ser perigoso. Portanto, um arquivo de configuração de serviço permite especificar as capacidades que você deseja que ele tenha, e o usuário que deve executar o serviço para evitar executar um serviço com privilégios desnecessários:
Capacidades em Contêineres Docker
Por padrão, o Docker atribui algumas capacidades aos contêineres. É muito fácil verificar quais são essas capacidades executando:
RootedCON é o evento de cibersegurança mais relevante na Espanha e um dos mais importantes na Europa. Com a missão de promover o conhecimento técnico, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
Privesc/Container Escape
As capacidades são úteis quando você deseja restringir seus próprios processos após realizar operações privilegiadas (por exemplo, após configurar chroot e vincular a um soquete). No entanto, elas podem ser exploradas passando comandos ou argumentos maliciosos que são então executados como root.
Você pode forçar capacidades em programas usando setcap
e consultar essas capacidades usando getcap
:
O +ep
significa que você está adicionando a capacidade ("-" a removeria) como Eficaz e Permitida.
Para identificar programas em um sistema ou pasta com capacidades:
Exemplo de exploração
No exemplo a seguir, o binário /usr/bin/python2.6
é encontrado vulnerável à escalada de privilégios:
Capacidades necessárias pelo tcpdump
para permitir que qualquer usuário capture pacotes:
O caso especial das capacidades "vazias"
Da documentação: Note que é possível atribuir conjuntos de capacidades vazios a um arquivo de programa, tornando possível criar um programa com set-user-ID-root que altera o set-user-ID efetivo e salvo do processo que executa o programa para 0, mas não confere nenhuma capacidade a esse processo. Ou, em outras palavras, se você tiver um binário que:
não é de propriedade do root
não possui bits
SUID
/SGID
definidospossui um conjunto de capacidades vazio (por exemplo:
getcap myelf
retornamyelf =ep
)
então esse binário será executado como root.
CAP_SYS_ADMIN
CAP_SYS_ADMIN
é uma capacidade Linux altamente potente, frequentemente equiparada a um nível quase root devido aos seus extensos privilégios administrativos, como montar dispositivos ou manipular recursos do kernel. Embora essencial para contêineres que simulam sistemas inteiros, CAP_SYS_ADMIN
apresenta desafios significativos de segurança, especialmente em ambientes contêinerizados, devido ao seu potencial de escalonamento de privilégios e comprometimento do sistema. Portanto, seu uso requer avaliações rigorosas de segurança e gerenciamento cauteloso, com uma forte preferência por descartar essa capacidade em contêineres específicos de aplicativos para aderir ao princípio do menor privilégio e minimizar a superfície de ataque.
Exemplo com binário
Usando python, você pode montar um arquivo passwd modificado em cima do arquivo passwd real:
E finalmente monte o arquivo passwd
modificado em /etc/passwd
:
E você será capaz de su
como root usando a senha "password".
Exemplo com ambiente (Docker breakout)
Você pode verificar as capacidades habilitadas dentro do contêiner Docker usando:
Dentro da saída anterior, você pode ver que a capacidade SYS_ADMIN está habilitada.
Montagem
Isso permite que o contêiner docker monte o disco do host e acesse-o livremente:
Acesso total
No método anterior, conseguimos acessar o disco do host do docker. Caso você descubra que o host está executando um servidor ssh, você poderia criar um usuário dentro do disco do host do docker e acessá-lo via SSH:
CAP_SYS_PTRACE
Isso significa que você pode escapar do contêiner injetando um shellcode dentro de algum processo em execução dentro do host. Para acessar processos em execução dentro do host, o contêiner precisa ser executado pelo menos com --pid=host
.
CAP_SYS_PTRACE
concede a capacidade de usar funcionalidades de rastreamento de chamadas de sistema e depuração fornecidas por ptrace(2)
e chamadas de anexo de memória cruzada como process_vm_readv(2)
e process_vm_writev(2)
. Embora seja poderoso para fins de diagnóstico e monitoramento, se CAP_SYS_PTRACE
estiver habilitado sem medidas restritivas como um filtro seccomp em ptrace(2)
, ele pode minar significativamente a segurança do sistema. Especificamente, pode ser explorado para contornar outras restrições de segurança, especialmente aquelas impostas pelo seccomp, como demonstrado por provas de conceito (PoC) como esta.
Exemplo com binário (python)
Exemplo com binário (gdb)
gdb
com a capacidade ptrace
:
Crie um shellcode com msfvenom para injetar na memória via gdb
Depurar um processo raiz com gdb e copiar e colar as linhas do gdb geradas anteriormente:
Exemplo com ambiente (Docker breakout) - Outro Abuso do gdb
Se o GDB estiver instalado (ou você pode instalá-lo com apk add gdb
ou apt install gdb
, por exemplo), você pode depurar um processo do host e fazê-lo chamar a função system
. (Essa técnica também requer a capacidade SYS_ADMIN
).
Não será possível ver a saída do comando executado, mas ele será executado por esse processo (então obtenha um shell reverso).
Se você receber o erro "No symbol "system" in current context.", verifique o exemplo anterior carregando um shellcode em um programa via gdb.
Exemplo com ambiente (Docker breakout) - Injeção de Shellcode
Você pode verificar as capacidades habilitadas dentro do contêiner Docker usando:
Listar processos em execução no host ps -eaf
Obter a arquitetura
uname -m
Encontrar um shellcode para a arquitetura (https://www.exploit-db.com/exploits/41128)
Encontrar um programa para injetar o shellcode na memória de um processo (https://github.com/0x00pf/0x00sec_code/blob/master/mem_inject/infect.c)
Modificar o shellcode dentro do programa e compilá-lo
gcc inject.c -o inject
Injetá-lo e obter seu shell:
./inject 299; nc 172.17.0.1 5600
CAP_SYS_MODULE
CAP_SYS_MODULE
capacita um processo a carregar e descarregar módulos do kernel (chamadas de sistema init_module(2)
, finit_module(2)
e delete_module(2)
), oferecendo acesso direto às operações centrais do kernel. Essa capacidade apresenta riscos críticos de segurança, pois permite escalonamento de privilégios e comprometimento total do sistema ao permitir modificações no kernel, contornando todos os mecanismos de segurança do Linux, incluindo Módulos de Segurança do Linux e isolamento de contêineres. Isso significa que você pode inserir/remover módulos do kernel no da máquina host.
Exemplo com binário
No exemplo a seguir, o binário python
possui essa capacidade.
Por padrão, o comando modprobe
verifica a lista de dependências e arquivos de mapeamento no diretório /lib/modules/$(uname -r)
.
Para abusar disso, vamos criar uma pasta falsa lib/modules:
Em seguida, compile o módulo do kernel que você pode encontrar 2 exemplos abaixo e copie para esta pasta:
Por fim, execute o código Python necessário para carregar este módulo de kernel:
Exemplo 2 com binário
No exemplo a seguir, o binário kmod
possui essa capacidade.
Isso significa que é possível usar o comando insmod
para inserir um módulo de kernel. Siga o exemplo abaixo para obter um shell reverso abusando desse privilégio.
Exemplo com ambiente (Docker breakout)
Você pode verificar as capacidades habilitadas dentro do contêiner Docker usando:
Dentro da saída anterior, você pode ver que a capacidade SYS_MODULE está habilitada.
Crie o módulo do kernel que irá executar um shell reverso e o Makefile para compilá-lo:
O caractere em branco antes de cada palavra make no arquivo Makefile deve ser um tab, não espaços!
Execute make
para compilá-lo.
Finalmente, inicie nc
dentro de um shell e carregue o módulo a partir de outro e você capturará o shell no processo nc:
O código desta técnica foi copiado do laboratório de "Abusing SYS_MODULE Capability" de https://www.pentesteracademy.com/
Outro exemplo desta técnica pode ser encontrado em https://www.cyberark.com/resources/threat-research-blog/how-i-hacked-play-with-docker-and-remotely-ran-code-on-the-host
CAP_DAC_READ_SEARCH
CAP_DAC_READ_SEARCH permite a um processo burlar permissões para ler arquivos e para ler e executar diretórios. Seu uso principal é para busca ou leitura de arquivos. No entanto, também permite que um processo utilize a função open_by_handle_at(2)
, que pode acessar qualquer arquivo, incluindo aqueles fora do namespace de montagem do processo. O identificador usado em open_by_handle_at(2)
deve ser um identificador não transparente obtido por meio de name_to_handle_at(2)
, mas pode incluir informações sensíveis como números de inode que são vulneráveis a manipulação. O potencial de exploração dessa capacidade, especialmente no contexto de contêineres Docker, foi demonstrado por Sebastian Krahmer com o exploit shocker, conforme analisado aqui. Isso significa que você pode burlar verificações de permissão de leitura de arquivos e verificações de permissão de leitura/execução de diretórios.
Exemplo com binário
O binário será capaz de ler qualquer arquivo. Portanto, se um arquivo como tar tiver essa capacidade, ele será capaz de ler o arquivo shadow:
Exemplo com binary2
Neste caso, vamos supor que o binário python
possui essa capacidade. Para listar arquivos raiz, você poderia fazer:
E para ler um arquivo você poderia fazer:
Exemplo no Ambiente (Fuga do Docker)
Você pode verificar as capacidades habilitadas dentro do contêiner do Docker usando:
Dentro da saída anterior, você pode ver que a capacidade DAC_READ_SEARCH está habilitada. Como resultado, o contêiner pode depurar processos.
Você pode aprender como a seguinte exploração funciona em https://medium.com/@fun_cuddles/docker-breakout-exploit-analysis-a274fff0e6b3 mas em resumo CAP_DAC_READ_SEARCH não apenas nos permite percorrer o sistema de arquivos sem verificações de permissão, mas também remove explicitamente quaisquer verificações para open_by_handle_at(2) e pode permitir que nosso processo acesse arquivos sensíveis abertos por outros processos.
O exploit original que abusa dessas permissões para ler arquivos do host pode ser encontrado aqui: http://stealth.openwall.net/xSports/shocker.c, o seguinte é uma versão modificada que permite indicar o arquivo que deseja ler como primeiro argumento e despejá-lo em um arquivo.
O exploit precisa encontrar um ponteiro para algo montado no host. O exploit original usava o arquivo /.dockerinit e esta versão modificada usa /etc/hostname. Se o exploit não estiver funcionando, talvez você precise definir um arquivo diferente. Para encontrar um arquivo montado no host, basta executar o comando mount:
O código desta técnica foi copiado do laboratório de "Abusing DAC_READ_SEARCH Capability" de https://www.pentesteracademy.com/
RootedCON é o evento de cibersegurança mais relevante na Espanha e um dos mais importantes na Europa. Com a missão de promover conhecimento técnico, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
CAP_DAC_OVERRIDE
Isso significa que você pode ignorar verificações de permissão de escrita em qualquer arquivo, podendo escrever em qualquer arquivo.
Existem muitos arquivos que você pode sobrescrever para escalar privilégios, você pode obter ideias daqui.
Exemplo com binário
Neste exemplo, o vim possui essa capacidade, então você pode modificar qualquer arquivo como passwd, sudoers ou shadow:
Exemplo com binário 2
Neste exemplo, o binário python
terá essa capacidade. Você poderia usar o python para substituir qualquer arquivo:
Exemplo com ambiente + CAP_DAC_READ_SEARCH (Docker breakout)
Você pode verificar as capacidades habilitadas dentro do contêiner Docker usando:
Primeiramente, leia a seção anterior que abusa da capacidade DAC_READ_SEARCH para ler arquivos arbitrários do host e compile o exploit. Em seguida, compile a seguinte versão do exploit shocker que permitirá que você escreva arquivos arbitrários no sistema de arquivos do host:
Para escapar do contêiner do docker, você poderia baixar os arquivos /etc/shadow
e /etc/passwd
do host, adicionar a eles um novo usuário, e usar shocker_write
para sobrescrevê-los. Em seguida, acessar via ssh.
O código desta técnica foi copiado do laboratório de "Abusing DAC_OVERRIDE Capability" de https://www.pentesteracademy.com
CAP_CHOWN
Isso significa que é possível alterar a propriedade de qualquer arquivo.
Exemplo com binário
Vamos supor que o binário python
tenha essa capacidade, você pode alterar o proprietário do arquivo shadow, alterar a senha de root e escalar privilégios:
Ou com o binário ruby
tendo essa capacidade:
CAP_FOWNER
Isso significa que é possível alterar a permissão de qualquer arquivo.
Exemplo com binário
Se o python tiver essa capacidade, você pode modificar as permissões do arquivo shadow, alterar a senha de root e elevar os privilégios:
CAP_SETUID
Isso significa que é possível definir o ID de usuário efetivo do processo criado.
Exemplo com binário
Se o python tiver essa capacidade, você pode facilmente abusar dela para escalar privilégios para root:
Outra maneira:
CAP_SETGID
Isso significa que é possível definir o id do grupo efetivo do processo criado.
Há muitos arquivos que você pode sobrescrever para escalar privilégios, você pode obter ideias daqui.
Exemplo com binário
Neste caso, você deve procurar por arquivos interessantes que um grupo pode ler, pois você pode se passar por qualquer grupo:
Uma vez que você encontrar um arquivo que pode ser abusado (através de leitura ou escrita) para escalar privilégios, você pode obter um shell se passando pelo grupo interessante com:
Neste caso, o grupo shadow foi impersonado para que você possa ler o arquivo /etc/shadow
:
Se o docker estiver instalado, você poderia se passar pelo grupo docker e abusá-lo para se comunicar com o socket do docker e escalar privilégios.
CAP_SETFCAP
Isso significa que é possível definir capacidades em arquivos e processos
Exemplo com binário
Se o python tiver essa capacidade, você pode facilmente abusá-la para escalar privilégios para root:
Note que se você definir uma nova capacidade para o binário com CAP_SETFCAP, você perderá essa capacidade.
Uma vez que você tenha a capacidade SETUID, você pode ir para a sua seção para ver como escalar privilégios.
Exemplo com ambiente (fuga do Docker)
Por padrão, a capacidade CAP_SETFCAP é dada ao processo dentro do contêiner no Docker. Você pode verificar isso fazendo algo como:
Esta capacidade permite dar qualquer outra capacidade a binários, então poderíamos pensar em escapar do contêiner abusando de qualquer uma das outras quebras de capacidade mencionadas nesta página. No entanto, se você tentar dar, por exemplo, as capacidades CAP_SYS_ADMIN e CAP_SYS_PTRACE ao binário gdb, você verá que pode dá-las, mas o binário não será capaz de executar depois disso:
Da documentação: Permitido: Este é um subconjunto limitante para as capacidades efetivas que a thread pode assumir. Também é um subconjunto limitante para as capacidades que podem ser adicionadas ao conjunto herdável por uma thread que não possui a capacidade CAP_SETPCAP em seu conjunto efetivo. Parece que as capacidades Permitidas limitam aquelas que podem ser usadas. No entanto, o Docker também concede o CAP_SETPCAP por padrão, então você pode ser capaz de definir novas capacidades dentro das herdáveis. No entanto, na documentação deste cap: CAP_SETPCAP: [...] adicionar qualquer capacidade do conjunto de limites da thread chamadora ao seu conjunto herdável. Parece que só podemos adicionar ao conjunto herdável capacidades do conjunto de limites. O que significa que não podemos adicionar novas capacidades como CAP_SYS_ADMIN ou CAP_SYS_PTRACE no conjunto herdável para escalar privilégios.
CAP_SYS_RAWIO
CAP_SYS_RAWIO fornece uma série de operações sensíveis, incluindo acesso a /dev/mem
, /dev/kmem
ou /proc/kcore
, modificar mmap_min_addr
, acessar chamadas de sistema ioperm(2)
e iopl(2)
, e vários comandos de disco. O ioctl(2) FIBMAP
também é habilitado por meio dessa capacidade, o que causou problemas no passado. Conforme a página do manual, isso também permite ao detentor realizar descritivamente uma série de operações específicas do dispositivo em outros dispositivos
.
Isso pode ser útil para escalada de privilégios e fuga do Docker.
CAP_KILL
Isso significa que é possível matar qualquer processo.
Exemplo com binário
Vamos supor que o binário python
tenha essa capacidade. Se você pudesse também modificar alguma configuração de serviço ou soquete (ou qualquer arquivo de configuração relacionado a um serviço), você poderia colocar uma porta dos fundos nele e, em seguida, matar o processo relacionado a esse serviço e aguardar a execução do novo arquivo de configuração com sua porta dos fundos.
Privesc com kill
Se você tiver capacidades de kill e houver um programa node em execução como root (ou como um usuário diferente), você provavelmente poderá enviar a ele o sinal SIGUSR1 e fazer com que ele abra o depurador node para que você possa se conectar.
RootedCON é o evento de cibersegurança mais relevante na Espanha e um dos mais importantes na Europa. Com a missão de promover o conhecimento técnico, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
CAP_NET_BIND_SERVICE
Isso significa que é possível escutar em qualquer porta (mesmo em portas privilegiadas). Você não pode escalar privilégios diretamente com essa capacidade.
Exemplo com binário
Se o python
tiver essa capacidade, ele poderá escutar em qualquer porta e até mesmo se conectar a partir dela para qualquer outra porta (alguns serviços exigem conexões de portas específicas de privilégio)
CAP_NET_RAW
A capacidade CAP_NET_RAW permite que os processos criem soquetes RAW e PACKET, permitindo que eles gerem e enviem pacotes de rede arbitrários. Isso pode levar a riscos de segurança em ambientes containerizados, como falsificação de pacotes, injeção de tráfego e contornando controles de acesso à rede. Atacantes maliciosos poderiam explorar isso para interferir no roteamento de contêineres ou comprometer a segurança da rede do host, especialmente sem proteções adequadas de firewall. Além disso, CAP_NET_RAW é crucial para contêineres privilegiados para suportar operações como ping via solicitações ICMP RAW.
Isso significa que é possível interceptar o tráfego. Você não pode escalar privilégios diretamente com essa capacidade.
Exemplo com binário
Se o binário tcpdump
tiver essa capacidade, você poderá usá-lo para capturar informações de rede.
Observe que se o ambiente estiver fornecendo essa capacidade, você também pode usar o tcpdump
para capturar o tráfego.
Exemplo com binário 2
O exemplo a seguir é um código em python2
que pode ser útil para interceptar o tráfego da interface "lo" (localhost). O código é do laboratório "The Basics: CAP-NET_BIND + NET_RAW" de https://attackdefense.pentesteracademy.com/
CAP_NET_ADMIN + CAP_NET_RAW
A capacidade CAP_NET_ADMIN concede ao detentor o poder de alterar configurações de rede, incluindo configurações de firewall, tabelas de roteamento, permissões de soquete e configurações de interface de rede dentro dos namespaces de rede expostos. Também permite ativar o modo promíscuo em interfaces de rede, permitindo a captura de pacotes em todos os namespaces.
Exemplo com binário
Vamos supor que o binário python tenha essas capacidades.
CAP_LINUX_IMMUTABLE
Isso significa que é possível modificar os atributos do inode. Você não pode escalar privilégios diretamente com essa capacidade.
Exemplo com binário
Se você descobrir que um arquivo é imutável e o python tem essa capacidade, você pode remover o atributo imutável e tornar o arquivo modificável:
Note que geralmente esse atributo imutável é definido e removido usando:
CAP_SYS_CHROOT
CAP_SYS_CHROOT permite a execução da chamada de sistema chroot(2)
, o que potencialmente pode permitir a fuga de ambientes chroot(2)
por meio de vulnerabilidades conhecidas:
CAP_SYS_BOOT
CAP_SYS_BOOT não apenas permite a execução da chamada de sistema reboot(2)
para reinicializações do sistema, incluindo comandos específicos como LINUX_REBOOT_CMD_RESTART2
adaptados para certas plataformas de hardware, mas também permite o uso de kexec_load(2)
e, a partir do Linux 3.17, kexec_file_load(2)
para carregar novos kernels de falha ou assinados, respectivamente.
CAP_SYSLOG
CAP_SYSLOG foi separado do mais amplo CAP_SYS_ADMIN no Linux 2.6.37, concedendo especificamente a capacidade de usar a chamada syslog(2)
. Essa capacidade permite a visualização de endereços de kernel via /proc
e interfaces similares quando a configuração kptr_restrict
está em 1, que controla a exposição de endereços de kernel. Desde o Linux 2.6.39, o padrão para kptr_restrict
é 0, o que significa que os endereços de kernel são expostos, embora muitas distribuições configurem isso para 1 (ocultar endereços exceto do uid 0) ou 2 (sempre ocultar endereços) por motivos de segurança.
Além disso, CAP_SYSLOG permite acessar a saída do dmesg
quando dmesg_restrict
está configurado como 1. Apesar dessas mudanças, CAP_SYS_ADMIN mantém a capacidade de realizar operações de syslog
devido a precedentes históricos.
CAP_MKNOD
CAP_MKNOD estende a funcionalidade da chamada de sistema mknod
além de criar arquivos regulares, FIFOs (named pipes) ou sockets de domínio UNIX. Especificamente permite a criação de arquivos especiais, que incluem:
S_IFCHR: Arquivos especiais de caractere, que são dispositivos como terminais.
S_IFBLK: Arquivos especiais de bloco, que são dispositivos como discos.
Essa capacidade é essencial para processos que requerem a capacidade de criar arquivos de dispositivo, facilitando a interação direta com hardware por meio de dispositivos de caractere ou bloco.
É uma capacidade padrão do Docker (https://github.com/moby/moby/blob/master/oci/caps/defaults.go#L6-L19).
Essa capacidade permite escalonamento de privilégios (através de leitura total do disco) no host, sob as seguintes condições:
Ter acesso inicial ao host (não privilegiado).
Ter acesso inicial ao contêiner (privilegiado (EUID 0) e
CAP_MKNOD
efetivo).Host e contêiner devem compartilhar o mesmo espaço de nomes de usuário.
Passos para Criar e Acessar um Dispositivo de Bloco em um Contêiner:
No Host como um Usuário Padrão:
Determine seu ID de usuário atual com
id
, por exemplo,uid=1000(standarduser)
.Identifique o dispositivo alvo, por exemplo,
/dev/sdb
.
Dentro do Contêiner como
root
:
De Volta ao Host:
CAP_SETPCAP
CAP_SETPCAP permite a um processo alterar os conjuntos de capacidades de outro processo, permitindo a adição ou remoção de capacidades dos conjuntos efetivo, herdável e permitido. No entanto, um processo só pode modificar as capacidades que possui em seu próprio conjunto permitido, garantindo que não pode elevar os privilégios de outro processo além dos seus próprios. Atualizações recentes do kernel restringiram essas regras, limitando o CAP_SETPCAP
a apenas diminuir as capacidades dentro de seu próprio conjunto permitido ou dos conjuntos permitidos de seus descendentes, visando mitigar riscos de segurança. O uso requer ter CAP_SETPCAP
no conjunto efetivo e as capacidades-alvo no conjunto permitido, utilizando capset()
para modificações. Isso resume a função principal e as limitações do CAP_SETPCAP
, destacando seu papel na gestão de privilégios e no aprimoramento da segurança.
Last updated