Linux Capabilities
RootedCON je najrelevantniji sajber bezbednosni događaj u Španiji i jedan od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je ključno mesto susreta tehnoloških i sajber bezbednosnih profesionalaca u svakoj disciplini.\
Linux sposobnosti
Linux sposobnosti dele root privilegije na manje, različite jedinice, omogućavajući procesima da imaju podskup privilegija. Ovo smanjuje rizike tako što ne dodeljuje potpune root privilegije nepotrebno.
Problem:
Normalni korisnici imaju ograničena ovlašćenja, što utiče na zadatke poput otvaranja mrežnog priključka koji zahteva root pristup.
Skupovi sposobnosti:
Nasleđene (CapInh):
Svrha: Određuje sposobnosti koje se prenose od roditeljskog procesa.
Funkcionalnost: Kada se kreira novi proces, on nasleđuje sposobnosti od svog roditelja u ovom skupu. Korisno za održavanje određenih privilegija tokom stvaranja procesa.
Ograničenja: Proces ne može dobiti sposobnosti koje njegov roditelj nije posedovao.
Efektivne (CapEff):
Svrha: Predstavlja stvarne sposobnosti koje proces trenutno koristi.
Funkcionalnost: To je skup sposobnosti koje je jezgro provere kernela za dodelu dozvole za različite operacije. Za datoteke, ovaj skup može biti oznaka koja ukazuje da li se dozvoljene sposobnosti datoteke smatraju efektivnim.
Značaj: Efektivni skup je ključan za trenutne provere privilegija, delujući kao aktivni skup sposobnosti koje proces može koristiti.
Dozvoljene (CapPrm):
Svrha: Definiše maksimalni skup sposobnosti koje proces može posedovati.
Funkcionalnost: Proces može povećati sposobnost iz dozvoljenog skupa u svoj efektivni skup, dajući mu mogućnost korišćenja te sposobnosti. Takođe može odbaciti sposobnosti iz svog dozvoljenog skupa.
Granica: Deluje kao gornja granica sposobnosti koje proces može imati, obezbeđujući da proces ne premaši svoj unapred definisani opseg privilegija.
Ograničene (CapBnd):
Svrha: Stavlja ograničenje na sposobnosti koje proces može steći tokom svog životnog ciklusa.
Funkcionalnost: Čak i ako proces ima određenu sposobnost u svom nasleđenom ili dozvoljenom skupu, ne može steći tu sposobnost osim ako se takođe nalazi u ograničenom skupu.
Upotreba: Ovaj skup je posebno koristan za ograničavanje potencijala eskalacije privilegija procesa, dodajući dodatni sloj sigurnosti.
Ambijentalne (CapAmb):
Svrha: Omogućava održavanje određenih sposobnosti tokom
execve
sistemskog poziva, koji obično rezultira potpunim resetovanjem sposobnosti procesa.Funkcionalnost: Osigurava da programi koji nisu SUID i nemaju povezane sposobnosti datoteka zadrže određene privilegije.
Ograničenja: Sposobnosti u ovom skupu su podložne ograničenjima nasleđenog i dozvoljenog skupa, obezbeđujući da ne premašuju dozvoljene privilegije procesa.
Za dodatne informacije pogledajte:
Mogućnosti procesa i binarnih fajlova
Mogućnosti procesa
Da biste videli mogućnosti za određeni proces, koristite datoteku status u direktorijumu /proc. Kako pruža više detalja, ograničićemo se samo na informacije koje se odnose na Linux mogućnosti. Imajte na umu da se informacije o mogućnostima održavaju po niti za sve pokrenute procese, a za binarne fajlove u fajl sistemu čuvaju se u proširenim atributima.
Mogućnosti možete pronaći definisane u /usr/include/linux/capability.h
Mogućnosti trenutnog procesa možete pronaći u cat /proc/self/status
ili izvršavanjem capsh --print
, a mogućnosti drugih korisnika u /proc/<pid>/status
Ova komanda bi trebala vratiti 5 linija na većini sistema.
CapInh = Nasleđene sposobnosti
CapPrm = Dozvoljene sposobnosti
CapEff = Efektivne sposobnosti
CapBnd = Skup granica
CapAmb = Skup ambijentalnih sposobnosti
Ovi heksadecimalni brojevi nemaju smisla. Koristeći alat capsh, možemo ih dekodirati u nazive mogućnosti.
Sada ćemo proveriti mogućnosti koje koristi ping
:
Iako to funkcioniše, postoji još jedan i jednostavniji način. Da biste videli sposobnosti pokrenutog procesa, jednostavno koristite alatku getpcaps praćenu njenim identifikatorom procesa (PID). Takođe možete pružiti listu identifikatora procesa.
Hajde da proverimo ovde sposobnosti tcpdump
-a nakon što smo dali binarnom fajlu dovoljno sposobnosti (cap_net_admin
i cap_net_raw
) da presretne mrežu (tcpdump se izvršava u procesu 9562):
Kao što možete videti, dodeljene sposobnosti odgovaraju rezultatima 2 načina dobijanja sposobnosti binarnog fajla. Alat getpcaps koristi sistemski poziv capget() da bi dobio informacije o dostupnim sposobnostima za određenu nit. Ovaj sistemski poziv samo zahteva PID da bi dobio više informacija.
Sposobnosti Binarnih Fajlova
Binarni fajlovi mogu imati sposobnosti koje se mogu koristiti tokom izvršavanja. Na primer, vrlo je često pronaći binarni fajl ping
sa sposobnošću cap_net_raw
:
Možete pretraživati binarne datoteke sa sposobnostima koristeći:
Smanjivanje privilegija pomoću capsh
Ako smanjimo privilegije CAP_NET_RAW za ping, tada ping alatka više neće raditi.
Osim izlaza capsh samog, i sam tcpdump komanda treba da izazove grešku.
/bin/bash: /usr/sbin/tcpdump: Operacija nije dozvoljena
Greška jasno pokazuje da ping komanda nije dozvoljena da otvori ICMP socket. Sada znamo sigurno da ovo radi kako se očekuje.
Uklanjanje sposobnosti
Možete ukloniti sposobnosti binarnog fajla sa
Korisničke sposobnosti
Izgleda da je moguće dodeliti sposobnosti i korisnicima. Ovo verovatno znači da će svaki proces koji izvršava korisnik moći da koristi korisničke sposobnosti.
Na osnovu ovoga, ovoga i ovoga, nekoliko datoteka treba konfigurisati kako bi se korisniku dodelile određene sposobnosti, ali datoteka koja dodeljuje sposobnosti svakom korisniku će biti /etc/security/capability.conf
.
Primer datoteke:
Okruženje sposobnosti
Kompajliranjem sledećeg programa moguće je pokrenuti bash shell unutar okruženja koje pruža sposobnosti.
Unutar bash-a koji se izvršava pomoću kompajliranog ambijentalnog binarnog fajla, moguće je primetiti nove sposobnosti (običan korisnik neće imati nikakve sposobnosti u "trenutnom" odeljku).
Možete dodati samo sposobnosti koje su prisutne u dozvoljenom i nasleđenom skupu.
Binarni fajlovi koji su svesni sposobnosti / Binarni fajlovi koji nisu svesni sposobnosti
Binarni fajlovi koji su svesni sposobnosti neće koristiti nove sposobnosti koje su dodeljene od strane okruženja, dok će binarni fajlovi koji nisu svesni sposobnosti ih koristiti jer ih neće odbiti. Ovo čini binarne fajlove koji nisu svesni sposobnosti ranjivim unutar posebnog okruženja koje dodeljuje sposobnosti binarnim fajlovima.
Sposobnosti servisa
Podrazumevano, servis koji se pokreće kao root će imati dodeljene sve sposobnosti, a u nekim slučajevima to može biti opasno. Stoga, konfiguracioni fajl servisa omogućava da se specificira koje sposobnosti želite da ima, i koji korisnik treba da izvrši servis kako bi se izbeglo pokretanje servisa sa nepotrebnim privilegijama:
Mogućnosti u Docker kontejnerima
Po defaultu, Docker dodeljuje nekoliko mogućnosti kontejnerima. Veoma je jednostavno proveriti koje su to mogućnosti pokretanjem:
RootedCON je najrelevantniji događaj u oblasti kibernetičke bezbednosti u Španiji i jedan od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je vrelo mesto susreta tehnoloških i kibernetičkih stručnjaka u svakoj disciplini.
Privesc/Container Escape
Mogućnosti su korisne kada želite da ograničite sopstvene procese nakon izvođenja privilegovanih operacija (npr. nakon postavljanja chroot-a i vezivanja za socket). Međutim, mogu biti iskorišćene tako što se proslede zlonamerne komande ili argumenti koji se zatim izvršavaju kao root.
Možete nametnuti mogućnosti programima koristeći setcap
, a ove mogućnosti možete proveriti koristeći getcap
:
+ep
znači da dodajete sposobnost ("-" bi je uklonilo) kao Efektivnu i Dozvoljenu.
Da biste identifikovali programe u sistemu ili folderu sa sposobnostima:
Primer eksploatacije
U sledećem primeru je otkrivena ranjivost binarnog fajla /usr/bin/python2.6
koja omogućava eskalaciju privilegija:
Mogućnosti potrebne tcpdump
-u da omoguće svakom korisniku da presreće pakete:
After granting the necessary capabilities, any user will be able to run tcpdump
and sniff packets without requiring root privileges.
Poseban slučaj "praznih" sposobnosti
Iz dokumentacije: Napomena da je moguće dodeliti prazne skupove sposobnosti programskom fajlu, što omogućava kreiranje programa sa postavljenim korisničkim ID-om korena koji menja efektivni i sačuvani korisnički ID procesa koji izvršava program na 0, ali ne dodeljuje nikakve sposobnosti tom procesu. Drugim rečima, ako imate binarni fajl koji:
nije vlasništvo korisnika root
nema postavljene
SUID
/SGID
bitoveima prazan skup sposobnosti (npr.
getcap myelf
vraćamyelf =ep
)
taj binarni fajl će se izvršavati kao root.
CAP_SYS_ADMIN
CAP_SYS_ADMIN
je izuzetno moćna Linux sposobnost, često izjednačavana sa nivoom korisnika root zbog svojih obimnih administrativnih privilegija, kao što su montiranje uređaja ili manipulacija kernel funkcijama. Iako je neophodna za kontejnere koji simuliraju celokupne sisteme, CAP_SYS_ADMIN
predstavlja značajne bezbednosne izazove, posebno u kontejnerizovanim okruženjima, zbog potencijala za eskalaciju privilegija i kompromitovanje sistema. Stoga, njegova upotreba zahteva stroge bezbednosne procene i oprezno upravljanje, sa snažnim naglaskom na odbacivanje ove sposobnosti u kontejnerima specifičnim za aplikaciju, kako bi se poštovao princip najmanjih privilegija i smanjila površina napada.
Primer sa binarnim fajlom
Korišćenjem pythona možete montirati modifikovanu passwd datoteku preko prave passwd datoteke:
I na kraju montirajte izmenjeni passwd
fajl na /etc/passwd
:
I moći ćete su
kao root koristeći lozinku "password".
Primer sa okruženjem (Docker izlazak iz okvira)
Možete proveriti omogućene sposobnosti unutar Docker kontejnera koristeći:
Unutar prethodnog izlaza možete videti da je omogućena SYS_ADMIN sposobnost.
Montiranje
Ovo omogućava docker kontejneru da montira host disk i slobodno mu pristupa:
Puna pristupa
U prethodnoj metodi smo uspeli da pristupimo disku domaćina Docker-a. U slučaju da primetite da domaćin pokreće ssh server, možete kreirati korisnika unutar diska domaćina Docker-a i pristupiti mu putem SSH-a:
CAP_SYS_PTRACE
Ovo znači da možete izbeći kontejner ubacivanjem shell koda unutar nekog procesa koji se izvršava unutar hosta. Da biste pristupili procesima koji se izvršavaju unutar hosta, kontejner mora biti pokrenut barem sa --pid=host
.
CAP_SYS_PTRACE
omogućava korišćenje funkcionalnosti za debagovanje i praćenje sistemskih poziva koje pruža ptrace(2)
i pozive za povezivanje preko memorije kao što su process_vm_readv(2)
i process_vm_writev(2)
. Iako je moćan u dijagnostičke i nadzorne svrhe, ako je CAP_SYS_PTRACE
omogućen bez restriktivnih mera kao što je seccomp filter na ptrace(2)
, može značajno narušiti sigurnost sistema. Konkretno, može se iskoristiti za zaobilaženje drugih sigurnosnih ograničenja, posebno onih nametnutih od strane seccomp-a, kao što je prikazano u dokazima koncepta (PoC) kao što je ovaj.
Primer sa binarnim fajlom (python)
Primer sa binarnim fajlom (gdb)
gdb
sa mogućnošću ptrace
:
Kreirajte shellcode pomoću msfvenom alata za ubrizgavanje u memoriju putem gdb-a
Ovaj naredbeni redak koristi msfvenom alat za generiranje shellcode-a za Linux x86 arhitekturu. Shellcode će uspostaviti obrnutu TCP vezu s vašim IP adresom i odredišnim portom. Zamijenite <your_ip>
s vašom IP adresom i <your_port>
s odredišnim portom.
Opcija -f c
generira shellcode u formatu C koda, dok opcija -b "\x00"
izbjegava generiranje bajtova s vrijednošću 0, što može uzrokovati probleme prilikom ubrizgavanja u memoriju.
Rezultirajući shellcode bit će spremljen u datoteku shellcode.c
.
Debugirajte root proces sa gdb-om i kopirajte prethodno generisane gdb linije:
Primer sa okruženjem (Docker probijanje) - Još jedna zloupotreba gdb-a
Ako je GDB instaliran (ili ga možete instalirati sa apk add gdb
ili apt install gdb
na primer), možete debugirati proces sa hosta i naterati ga da pozove funkciju system
. (Ova tehnika takođe zahteva mogućnost SYS_ADMIN
).
Nećete moći videti izlaz izvršene komande, ali će se ona izvršiti od strane tog procesa (tako da dobijete reverznu ljusku).
Ako dobijete grešku "No symbol "system" in current context.", proverite prethodni primer učitavanja shell koda u program putem gdb-a.
Primer sa okruženjem (Docker izlazak) - Ubacivanje shell koda
Možete proveriti omogućene sposobnosti unutar Docker kontejnera koristeći:
Lista procesa koji se izvršavaju na hostu ps -eaf
Dobijanje arhitekture
uname -m
Pronalaženje shellcode-a za tu arhitekturu (https://www.exploit-db.com/exploits/41128)
Pronalaženje programa za ubacivanje shellcode-a u memoriju procesa (https://github.com/0x00pf/0x00sec_code/blob/master/mem_inject/infect.c)
Izmena shellcode-a unutar programa i kompajliranje
gcc inject.c -o inject
Ubacivanje i preuzimanje shell-a:
./inject 299; nc 172.17.0.1 5600
CAP_SYS_MODULE
CAP_SYS_MODULE
omogućava procesu da učitava i uklanja kernel module (init_module(2)
, finit_module(2)
i delete_module(2)
sistemski pozivi), pružajući direktni pristup osnovnim operacijama kernela. Ova sposobnost predstavlja ozbiljan sigurnosni rizik, jer omogućava eskalaciju privilegija i potpunu kompromitaciju sistema omogućavajući modifikacije kernela, čime se zaobilaze svi Linux mehanizmi bezbednosti, uključujući Linux Security Module i izolaciju kontejnera. Ovo znači da možete ubacivati/uklanjati kernel module u/iz kernela host mašine.
Primer sa binarnim fajlom
U sledećem primeru binarni fajl python
ima ovu sposobnost.
Podrazumevano, modprobe
komanda proverava listu zavisnosti i mapne fajlove u direktorijumu /lib/modules/$(uname -r)
.
Da bismo iskoristili ovo, kreirajmo lažni lib/modules folder:
Zatim kompajlirajte kernel modul koji možete pronaći u donjem primeru i kopirajte ga u ovaj folder:
Na kraju, izvršite potreban Python kod za učitavanje ovog jezgračkog modula:
Primer 2 sa binarnim fajlom
U sledećem primeru binarni fajl kmod
ima ovu sposobnost.
Što znači da je moguće koristiti komandu insmod
za umetanje jezgrovnog modula. Sledite primer ispod da biste dobili obrnuto ljusku zloupotrebljavajući ovu privilegiju.
Primer sa okruženjem (Docker izlazak iz okvira)
Možete proveriti omogućene sposobnosti unutar Docker kontejnera koristeći:
Unutar prethodnog izlaza možete videti da je omogućena sposobnost SYS_MODULE.
Napravite kernel modul koji će izvršiti obrnutu ljusku i Makefile za njegovo kompajliranje:
Prazan karakter ispred svake reči u Makefile mora biti tabulator, ne razmaci!
Izvršite make
da biste ga kompajlirali.
Na kraju, pokrenite nc
unutar jedne ljuske i učitajte modul iz druge ljuske kako biste uhvatili ljusku u procesu nc:
Kod ove tehnike je kopiran iz laboratorije "Zloupotreba SYS_MODULE sposobnosti" sa https://www.pentesteracademy.com/
Još jedan primer ove tehnike može se pronaći na https://www.cyberark.com/resources/threat-research-blog/how-i-hacked-play-with-docker-and-remotely-ran-code-on-the-host
CAP_DAC_READ_SEARCH
CAP_DAC_READ_SEARCH omogućava procesu da zaobiđe dozvole za čitanje fajlova i za čitanje i izvršavanje direktorijuma. Njegova osnovna namena je pretraga fajlova ili čitanje fajlova. Međutim, takođe omogućava procesu da koristi funkciju open_by_handle_at(2)
, koja može pristupiti bilo kom fajlu, uključujući one van mount namespace-a procesa. Handle koji se koristi u open_by_handle_at(2)
trebao bi biti netransparentni identifikator dobijen putem name_to_handle_at(2)
, ali može sadržati osetljive informacije poput brojeva inode-a koji su podložni manipulaciji. Potencijal za iskorišćavanje ove sposobnosti, posebno u kontekstu Docker kontejnera, demonstrirao je Sebastian Krahmer sa exploitom shocker, kako je analizirano ovde. Ovo znači da možete zaobići provere dozvola za čitanje fajlova i provere dozvola za čitanje/izvršavanje direktorijuma.
Primer sa binarnim fajlom
Binarni fajl će moći da čita bilo koji fajl. Dakle, ako fajl poput tar-a ima ovu sposobnost, biće u mogućnosti da čita shadow fajl:
Primer sa binary2
U ovom slučaju pretpostavimo da python
binarna datoteka ima ovu sposobnost. Da biste izlistali root fajlove, možete uraditi sledeće:
I da biste pročitali datoteku, možete uraditi sledeće:
Primer u okruženju (Docker probijanje)
Možete proveriti omogućene sposobnosti unutar Docker kontejnera koristeći:
Unutar prethodnog izlaza možete videti da je omogućena sposobnost DAC_READ_SEARCH. Kao rezultat toga, kontejner može debagovati procese.
Možete saznati kako funkcioniše sledeće iskorišćavanje na https://medium.com/@fun_cuddles/docker-breakout-exploit-analysis-a274fff0e6b3, ali ukratko, CAP_DAC_READ_SEARCH nam ne samo omogućava da prolazimo kroz fajl sistem bez provere dozvola, već takođe eksplicitno uklanja bilo kakve provere za open_by_handle_at(2) i može dozvoliti našem procesu da pristupi osetljivim fajlovima otvorenim od strane drugih procesa.
Originalni exploit koji zloupotrebljava ove dozvole kako bi čitao fajlove sa hosta može se pronaći ovde: http://stealth.openwall.net/xSports/shocker.c, sledeća je izmenjena verzija koja vam omogućava da naznačite fajl koji želite da pročitate kao prvi argument i da ga ispišete u fajl.
Eksploatacija mora pronaći pokazivač na nešto montirano na hostu. Originalna eksploatacija koristi datoteku /.dockerinit, a ova izmenjena verzija koristi /etc/hostname. Ako eksploatacija ne radi, možda trebate postaviti drugu datoteku. Da biste pronašli datoteku koja je montirana na hostu, jednostavno izvršite naredbu mount:
Kod ove tehnike je kopiran iz laboratorije "Zloupotreba mogućnosti DAC_READ_SEARCH" sa https://www.pentesteracademy.com/
RootedCON je najrelevantniji događaj u oblasti sajber bezbednosti u Španiji i jedan od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je ključno mesto susreta tehnoloških i sajber bezbednosnih stručnjaka u svakoj disciplini.
CAP_DAC_OVERRIDE
Ovo znači da možete zaobići provere dozvola za pisanje na bilo kojoj datoteci, tako da možete pisati bilo koju datoteku.
Postoji mnogo datoteka koje možete prepisati da biste povećali privilegije, možete dobiti ideje ovde.
Primer sa binarnom datotekom
U ovom primeru, vim ima ovu mogućnost, tako da možete izmeniti bilo koju datoteku poput passwd, sudoers ili shadow:
Primer sa binarnim brojem 2
U ovom primeru, binarni broj python
će imati ovu sposobnost. Možete koristiti python da prepišete bilo koji fajl:
Primer sa okruženjem + CAP_DAC_READ_SEARCH (Docker probijanje izolacije)
Možete proveriti omogućene sposobnosti unutar Docker kontejnera koristeći:
Prvo pročitajte prethodni odeljak koji zloupotrebljava mogućnost DAC_READ_SEARCH za čitanje proizvoljnih datoteka na hostu i kompajlirajte eksploit. Zatim, kompajlirajte sledeću verziju eksploita shocker koja će vam omogućiti da pišete proizvoljne datoteke unutar fajl sistema hosta:
Da biste pobegli iz Docker kontejnera, možete preuzeti fajlove /etc/shadow
i /etc/passwd
sa hosta, dodati im novog korisnika, i koristiti shocker_write
da ih prepišete. Zatim, pristupite putem ssh.
Kod ove tehnike je kopiran iz laboratorije "Zloupotreba DAC_OVERRIDE mogućnosti" sa https://www.pentesteracademy.com
CAP_CHOWN
Ovo znači da je moguće promeniti vlasništvo bilo kog fajla.
Primer sa binarnim fajlom
Pretpostavimo da python
binarni fajl ima ovu mogućnost, možete promeniti vlasnika fajla shadow, promeniti root lozinku, i eskalirati privilegije:
Ili sa ruby
binarnim fajlom koji ima ovu sposobnost:
CAP_FOWNER
Ovo znači da je moguće promeniti dozvole bilo koje datoteke.
Primer sa binarnim fajlom
Ako Python ima ovu sposobnost, možete promeniti dozvole fajla shadow, promeniti root lozinku, i povećati privilegije:
CAP_SETUID
Ovo znači da je moguće postaviti efektivni korisnički ID kreiranog procesa.
Primer sa binarnim fajlom
Ako python ima ovu mogućnost, vrlo lako je zloupotrebiti je kako bi se povećale privilegije do root korisnika:
Još jedan način:
CAP_SETGID
Ovo znači da je moguće postaviti efektivni grupni ID kreiranog procesa.
Postoji mnogo datoteka koje možete prepisati da biste povećali privilegije, možete dobiti ideje ovde.
Primer sa binarnom datotekom
U ovom slučaju trebali biste tražiti zanimljive datoteke koje grupa može čitati jer možete preuzeti identitet bilo koje grupe:
Jednom kada pronađete datoteku koju možete zloupotrebiti (čitanjem ili pisanjem) kako biste povećali privilegije, možete dobiti shell koji se predstavlja kao interesantna grupa pomoću:
U ovom slučaju grupa shadow je preuzeta kako biste mogli čitati datoteku /etc/shadow
:
Ako je instaliran docker, mogli biste preuzeti identitet docker grupe i zloupotrebiti je za komunikaciju sa docker socket-om i eskalaciju privilegija.
CAP_SETFCAP
Ovo znači da je moguće postaviti sposobnosti na datoteke i procese
Primer sa binarnom datotekom
Ako python ima ovu sposobnost, veoma lako je zloupotrebiti je za eskalaciju privilegija do root-a:
Imajte na umu da ako postavite novu sposobnost binarnom fajlu sa CAP_SETFCAP, izgubićete ovu sposobnost.
Kada imate SETUID sposobnost, možete pogledati njegovu sekciju da biste videli kako da povećate privilegije.
Primer sa okruženjem (Docker izlazak iz okvira)
Podrazumevano, sposobnost CAP_SETFCAP je dodeljena procesu unutar kontejnera u Docker-u. Možete proveriti to tako što ćete uraditi nešto kao:
Ova sposobnost omogućava davanje bilo koje druge sposobnosti binarnim datotekama, tako da možemo razmišljati o izlasku iz kontejnera zloupotrebom bilo kojeg od drugih probijanja sposobnosti navedenih na ovoj stranici. Međutim, ako pokušate dati, na primer, sposobnosti CAP_SYS_ADMIN i CAP_SYS_PTRACE binarnoj datoteci gdb, primetićete da možete da ih dodelite, ali binarna datoteka neće moći da se izvrši nakon toga:
Od dokumentacije: Dozvoljeno: Ovo je ograničavajući nadskup za efektivne sposobnosti koje nit može preuzeti. Takođe je ograničavajući nadskup za sposobnosti koje mogu biti dodate nasleđenom skupu od strane niti koja nema CAP_SETPCAP sposobnost u svom efektivnom skupu. Izgleda da dozvoljene sposobnosti ograničavaju one koje se mogu koristiti. Međutim, Docker takođe podrazumevano dodeljuje CAP_SETPCAP, pa biste možda mogli postaviti nove sposobnosti unutar nasleđenih. Međutim, u dokumentaciji ove sposobnosti: CAP_SETPCAP: […] dodaje bilo koju sposobnost iz ograničavajućeg skupa pozivajuće niti u njen nasleđeni skup. Izgleda da možemo dodati samo sposobnosti iz ograničavajućeg skupa u nasleđeni skup. Što znači da ne možemo dodati nove sposobnosti poput CAP_SYS_ADMIN ili CAP_SYS_PTRACE u nasleđeni skup kako bismo eskalirali privilegije.
CAP_SYS_RAWIO
CAP_SYS_RAWIO pruža nekoliko osetljivih operacija, uključujući pristup /dev/mem
, /dev/kmem
ili /proc/kcore
, izmenu mmap_min_addr
, pristup sistemskim pozivima ioperm(2)
i iopl(2)
, kao i različite disk komande. FIBMAP ioctl(2)
je takođe omogućen putem ove sposobnosti, što je izazvalo probleme u prošlosti. Prema stranici sa uputstvima, ovo takođe omogućava nosiocu da opisno izvršava niz uređaj-specifičnih operacija na drugim uređajima.
Ovo može biti korisno za eskalaciju privilegija i izlazak iz Docker kontejnera.
CAP_KILL
Ovo znači da je moguće ubiti bilo koji proces.
Primer sa binarnim fajlom
Pretpostavimo da python
binarni fajl ima ovu sposobnost. Ako biste mogli takođe izmeniti neku konfiguraciju servisa ili soketa (ili bilo koji konfiguracioni fajl koji se odnosi na servis), mogli biste ga napraviti sa zadnjim vratima, a zatim ubiti proces koji je povezan sa tim servisom i sačekati da se izvrši novi konfiguracioni fajl sa vašim zadnjim vratima.
Privesc sa kill
Ako imate kill mogućnosti i postoji node program koji se izvršava kao root (ili kao drugi korisnik), verovatno možete mu poslati signal SIGUSR1 i naterati ga da otvori node debager gde se možete povezati.
RootedCON je najrelevantniji događaj u oblasti kibernetičke bezbednosti u Španiji i jedan od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je ključno mesto susreta tehnoloških i kibernetičkih stručnjaka iz svih disciplina.
CAP_NET_BIND_SERVICE
Ovo znači da je moguće osluškivati na bilo kojem portu (čak i na privilegovanim). Ne možete direktno povećati privilegije sa ovom sposobnošću.
Primer sa binarnim fajlom
Ako python
ima ovu sposobnost, biće u mogućnosti da osluškuje na bilo kojem portu i čak se poveže sa bilo kojim drugim portom (neki servisi zahtevaju konekcije sa određenih privilegovanih portova)
CAP_NET_RAW
CAP_NET_RAW sposobnost omogućava procesima da kreiraju RAW i PACKET sokete, omogućavajući im da generišu i šalju proizvoljne mrežne pakete. Ovo može dovesti do sigurnosnih rizika u kontejnerizovanim okruženjima, kao što su lažiranje paketa, ubacivanje saobraćaja i zaobilaženje kontrola pristupa mreži. Zlonamerni akteri mogu iskoristiti ovo da ometaju rutiranje kontejnera ili kompromituju sigurnost mreže domaćina, posebno bez adekvatne zaštite od požara. Dodatno, CAP_NET_RAW je ključan za privilegovane kontejnere kako bi podržali operacije poput ping-a putem RAW ICMP zahteva.
Ovo znači da je moguće prisluškivati saobraćaj. Ne možete direktno eskalirati privilegije sa ovom sposobnošću.
Primer sa binarnim fajlom
Ako binarni fajl tcpdump
ima ovu sposobnost, moći ćete ga koristiti za snimanje mrežnih informacija.
Napomena da ako okruženje pruža ovu sposobnost, takođe možete koristiti tcpdump
za presretanje saobraćaja.
Primer sa binarnim 2
Sledeći primer je python2
kod koji može biti koristan za presretanje saobraćaja na "lo" (localhost) interfejsu. Kod je iz laboratorije "The Basics: CAP-NET_BIND + NET_RAW" sa https://attackdefense.pentesteracademy.com/
CAP_NET_ADMIN + CAP_NET_RAW
CAP_NET_ADMIN sposobnost dodeljuje nosiocu moć da menja mrežne konfiguracije, uključujući postavke firewall-a, tabele rutiranja, dozvole za sokete i postavke mrežnih interfejsa unutar izloženih mrežnih imenskih prostora. Takođe omogućava uključivanje promiskuitetnog režima na mrežnim interfejsima, što omogućava presretanje paketa preko imenskih prostora.
Primer sa binarnim fajlom
Pretpostavimo da python binarni fajl ima ove sposobnosti.
CAP_LINUX_IMMUTABLE
Ovo znači da je moguće izmeniti atribute inode-a. Ne možete direktno povećati privilegije sa ovom sposobnošću.
Primer sa binarnim fajlom
Ako otkrijete da je fajl nepromenjiv i da python ima ovu sposobnost, možete ukloniti nepromenjivi atribut i omogućiti izmenu fajla:
Imajte na umu da se obično ova nepromenljiva osobina postavlja i uklanja korišćenjem:
CAP_SYS_CHROOT
CAP_SYS_CHROOT omogućava izvršavanje chroot(2)
sistemskog poziva, koji potencijalno može omogućiti izlazak iz chroot(2)
okruženja kroz poznate ranjivosti:
CAP_SYS_BOOT
CAP_SYS_BOOT ne samo da omogućava izvršavanje reboot(2)
sistemskog poziva za restartovanje sistema, uključujući specifične komande poput LINUX_REBOOT_CMD_RESTART2
prilagođene određenim hardverskim platformama, već omogućava i korišćenje kexec_load(2)
i, od Linux verzije 3.17 nadalje, kexec_file_load(2)
za učitavanje novih ili potpisanih kernela za rušenje.
CAP_SYSLOG
CAP_SYSLOG je odvojen od šireg CAP_SYS_ADMIN u Linuxu 2.6.37, posebno dodeljujući mogućnost korišćenja syslog(2)
poziva. Ova sposobnost omogućava pregledavanje adresa jezgra putem /proc
i sličnih interfejsa kada je postavka kptr_restrict
na 1, što kontroliše izlaganje adresa jezgra. Od Linux verzije 2.6.39, podrazumevana vrednost za kptr_restrict
je 0, što znači da su adrese jezgra izložene, iako mnoge distribucije postavljaju ovo na 1 (sakrivaju adrese osim od uid 0) ili 2 (uvek sakrivaju adrese) iz sigurnosnih razloga.
Dodatno, CAP_SYSLOG omogućava pristupanje dmesg
izlazu kada je dmesg_restrict
postavljen na 1. Uprkos ovim promenama, CAP_SYS_ADMIN zadržava sposobnost izvršavanja syslog
operacija zbog istorijskih presedana.
CAP_MKNOD
CAP_MKNOD proširuje funkcionalnost mknod
sistemskog poziva izvan kreiranja običnih fajlova, FIFO (imenovanih cevi) ili UNIX domenskih soketa. Konkretno, omogućava kreiranje specijalnih fajlova, koji uključuju:
S_IFCHR: Karakteristični specijalni fajlovi, koji su uređaji poput terminala.
S_IFBLK: Blokovski specijalni fajlovi, koji su uređaji poput diskova.
Ova sposobnost je bitna za procese koji zahtevaju mogućnost kreiranja uređajskih fajlova, olakšavajući direktnu interakciju sa hardverom putem karakterističnih ili blokovskih uređaja.
Ovo je podrazumevana sposobnost za Docker (https://github.com/moby/moby/blob/master/oci/caps/defaults.go#L6-L19).
Ova sposobnost omogućava eskalaciju privilegija (putem čitanja celog diska) na hostu, uz sledeće uslove:
Imati početni pristup hostu (bez privilegija).
Imati početni pristup kontejneru (Privilegovan (EUID 0), i efektivna
CAP_MKNOD
).Host i kontejner trebaju deliti isti korisnički prostor.
Koraci za kreiranje i pristupanje blokovskom uređaju u kontejneru:
Na hostu kao standardni korisnik:
Odredite svoj trenutni korisnički ID pomoću
id
, na primer,uid=1000(standardnikorisnik)
.Identifikujte ciljni uređaj, na primer,
/dev/sdb
.
Unutar kontejnera kao
root
:
Nazad na hostu:
Ovaj pristup omogućava standardnom korisniku pristup i potencijalno čitanje podataka sa /dev/sdb
preko kontejnera, iskorišćavajući deljene korisničke namespace-ove i dozvole postavljene na uređaju.
CAP_SETPCAP
CAP_SETPCAP omogućava procesu da izmeni skupove sposobnosti drugog procesa, omogućavajući dodavanje ili uklanjanje sposobnosti iz efektivnih, nasleđenih i dozvoljenih skupova. Međutim, proces može samo izmeniti sposobnosti koje poseduje u svom dozvoljenom skupu, čime se osigurava da ne može povećati privilegije drugog procesa iznad svojih sopstvenih. Nedavna ažuriranja kernela su pooštrila ove pravila, ograničavajući CAP_SETPCAP
samo na smanjenje sposobnosti u svom ili dozvoljenom skupu svojih potomaka, s ciljem smanjenja rizika po bezbednost. Za korišćenje je potrebno imati CAP_SETPCAP
u efektivnom skupu i ciljane sposobnosti u dozvoljenom skupu, koristeći capset()
za izmene. Ovo sažima osnovnu funkciju i ograničenja CAP_SETPCAP
, ističući njegovu ulogu u upravljanju privilegijama i poboljšanju bezbednosti.
CAP_SETPCAP
je Linux sposobnost koja omogućava procesu da izmeni skupove sposobnosti drugog procesa. Dodeljuje mogućnost dodavanja ili uklanjanja sposobnosti iz efektivnih, nasleđenih i dozvoljenih skupova sposobnosti drugih procesa. Međutim, postoje određena ograničenja u vezi sa korišćenjem ove sposobnosti.
Proces sa CAP_SETPCAP
može samo dodeliti ili ukloniti sposobnosti koje se nalaze u njegovom sopstvenom dozvoljenom skupu sposobnosti. Drugim rečima, proces ne može dodeliti sposobnost drugom procesu ako sam nema tu sposobnost. Ovo ograničenje sprečava proces da poveća privilegije drugog procesa iznad svog nivoa privilegija.
Osim toga, u nedavnim verzijama kernela, sposobnost CAP_SETPCAP
je dodatno ograničena. Više ne dozvoljava procesu da proizvoljno menja skupove sposobnosti drugih procesa. Umesto toga, samo omogućava procesu da smanji sposobnosti u svom sopstvenom dozvoljenom skupu sposobnosti ili dozvoljenom skupu sposobnosti svojih potomaka. Ova promena je uvedena radi smanjenja potencijalnih bezbednosnih rizika povezanih sa sposobnošću.
Da biste efikasno koristili CAP_SETPCAP
, morate imati tu sposobnost u svom efektivnom skupu sposobnosti i ciljane sposobnosti u svom dozvoljenom skupu sposobnosti. Zatim možete koristiti sistemski poziv capset()
za izmenu skupova sposobnosti drugih procesa.
Ukratko, CAP_SETPCAP
omogućava procesu da izmeni skupove sposobnosti drugih procesa, ali ne može dodeliti sposobnosti koje sam nema. Dodatno, zbog bezbednosnih razloga, njegova funkcionalnost je u nedavnim verzijama kernela ograničena samo na smanjenje sposobnosti u svom sopstvenom dozvoljenom skupu sposobnosti ili dozvoljenom skupu sposobnosti svojih potomaka.
Reference
Većina ovih primera je preuzeta iz nekih laboratorija sa https://attackdefense.pentesteracademy.com/, pa ako želite da vežbate ove tehnike za povećanje privilegija, preporučujem ove laboratorije.
Ostale reference:
RootedCON je najrelevantniji kibernetički događaj u Španiji i jedan od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je vrelo susretište za profesionalce iz oblasti tehnologije i kibernetičke bezbednosti u svakoj disciplini.
Last updated