NFS no_root_squash/no_all_squash misconfiguration PE
Leia o arquivo _ /etc/exports _, se encontrar algum diretório configurado como no_root_squash, então você pode acessá-lo como cliente e escrever dentro desse diretório como se fosse o root local da máquina.
no_root_squash: Essa opção basicamente dá autoridade ao usuário root no cliente para acessar arquivos no servidor NFS como root. E isso pode levar a sérias implicações de segurança.
no_all_squash: Isso é semelhante à opção no_root_squash mas se aplica a usuários não-root. Imagine, você tem um shell como usuário nobody; verificou o arquivo /etc/exports; a opção no_all_squash está presente; verifique o arquivo /etc/passwd; emule um usuário não-root; crie um arquivo suid como esse usuário (montando usando nfs). Execute o suid como usuário nobody e torne-se um usuário diferente.
Escalação de Privilégios
Exploração Remota
Se você encontrou essa vulnerabilidade, você pode explorá-la:
Montando esse diretório em uma máquina cliente, e como root copiando dentro da pasta montada o binário /bin/bash e dando a ele direitos SUID, e executando a partir da máquina vítima esse binário bash.
Montando esse diretório em uma máquina cliente e copiando como root para dentro da pasta montada nosso payload compilado que irá abusar da permissão SUID, dar a ele direitos SUID, e executar a partir da máquina da vítima esse binário (você pode encontrar aqui alguns payloads C SUID).
Exploração Local
Note que se você puder criar um túnel da sua máquina para a máquina da vítima, ainda poderá usar a versão Remota para explorar essa escalada de privilégio tunelando as portas necessárias.
O truque a seguir é no caso de o arquivo /etc/exports
indicar um IP. Nesse caso, você não poderá usar em nenhum caso o exploit remoto e precisará abusar desse truque.
Outro requisito necessário para o exploit funcionar é que a exportação dentro de /etc/export
deve estar usando a flag insecure
.
--Não tenho certeza se, se /etc/export
estiver indicando um endereço IP, esse truque funcionará--
Informações Básicas
O cenário envolve explorar um compartilhamento NFS montado em uma máquina local, aproveitando uma falha na especificação NFSv3 que permite ao cliente especificar seu uid/gid, potencialmente permitindo acesso não autorizado. A exploração envolve o uso do libnfs, uma biblioteca que permite a falsificação de chamadas RPC NFS.
Compilando a Biblioteca
As etapas de compilação da biblioteca podem exigir ajustes com base na versão do kernel. Neste caso específico, as chamadas de sistema fallocate foram comentadas. O processo de compilação envolve os seguintes comandos:
Realizando a Exploração
A exploração envolve a criação de um programa C simples (pwn.c
) que eleva os privilégios para root e em seguida executa um shell. O programa é compilado e o binário resultante (a.out
) é colocado no compartilhamento com suid root, usando ld_nfs.so
para falsificar o uid nas chamadas RPC:
Compilar o código da exploração:
Colocar a exploração no compartilhamento e modificar suas permissões falsificando o uid:
Executar a exploração para obter privilégios de root:
Bônus: NFShell para Acesso Furtivo a Arquivos
Uma vez obtido o acesso root, para interagir com o compartilhamento NFS sem alterar a propriedade (para evitar deixar rastros), um script Python (nfsh.py) é utilizado. Este script ajusta o uid para corresponder ao do arquivo sendo acessado, permitindo a interação com arquivos no compartilhamento sem problemas de permissão:
Execute como:
Referências
Last updated