Bypass FS protections: read-only / no-exec / Distroless
Eğer hacking kariyeri ile ilgileniyorsanız ve hacklenemez olanı hacklemek istiyorsanız - işe alıyoruz! (akıcı Lehçe yazılı ve sözlü gereklidir).
Videolar
Aşağıdaki videolarda bu sayfada bahsedilen teknikleri daha derinlemesine bulabilirsiniz:
yalnızca okunabilir / çalıştırılamaz senaryo
Linux makinelerinin yalnızca okunabilir (ro) dosya sistemi koruması ile monte edilmesi giderek daha yaygın hale geliyor, özellikle konteynerlerde. Bunun nedeni, ro dosya sistemi ile bir konteyner çalıştırmanın readOnlyRootFilesystem: true
ayarını securitycontext
içinde ayarlamak kadar kolay olmasıdır:
Ancak, dosya sistemi ro olarak monte edilse bile, /dev/shm
hala yazılabilir olacak, bu nedenle diske hiçbir şey yazamayacağımız yalan. Ancak, bu klasör çalıştırılamaz koruma ile monte edilecektir, bu nedenle burada bir ikili dosya indirirseniz onu çalıştıramayacaksınız.
Kırmızı takım perspektifinden, bu, sistemde zaten bulunmayan ikili dosyaları indirmek ve çalıştırmak için karmaşık hale getiriyor (örneğin arka kapılar veya kubectl
gibi sayıcılar).
En Kolay Aşma: Scriptler
İkili dosyalardan bahsettiğimi unutmayın, eğer yorumlayıcı makine içinde mevcutsa, bir shell script veya python script gibi herhangi bir scripti çalıştırabilirsiniz.
Ancak, bu yalnızca ikili arka kapınızı veya çalıştırmanız gereken diğer ikili araçları çalıştırmak için yeterli değildir.
Bellek Aşmaları
Bir ikili dosyayı çalıştırmak istiyorsanız ancak dosya sistemi buna izin vermiyorsa, bunu bellekten çalıştırarak yapmak en iyi yoldur, çünkü korumalar burada geçerli değildir.
FD + exec syscall aşması
Makine içinde bazı güçlü script motorlarına sahipseniz, örneğin Python, Perl veya Ruby, ikili dosyayı belleğe indirmek, bir bellek dosya tanımlayıcısında (create_memfd
syscall) saklamak, bu korumalardan etkilenmeyecek ve ardından exec
syscall çağrısı yaparak çalıştırılacak dosya olarak fd'yi belirtmek mümkündür.
Bunun için fileless-elf-exec projesini kolayca kullanabilirsiniz. Bir ikili dosya geçirebilir ve bu, ikili dosyayı sıkıştırılmış ve b64 kodlanmış olarak içeren belirtilen dilde bir script oluşturacaktır; ayrıca bunu çözmek ve açmak için create_memfd
syscall'ını çağırarak oluşturulan bir fd içinde ve çalıştırmak için exec syscall'ına bir çağrı ile yapılacaktır.
Bu, PHP veya Node gibi diğer script dillerinde çalışmaz çünkü bunların scriptten ham syscall'ları çağırmak için herhangi bir varsayılan yolu yoktur, bu nedenle ikili dosyayı saklamak için bellek fd oluşturmak için create_memfd
çağrısı yapmak mümkün değildir.
Ayrıca, /dev/shm
içinde bir dosya ile normal bir fd oluşturmak işe yaramaz, çünkü çalıştırılamaz koruma uygulanacağı için bunu çalıştırmanıza izin verilmeyecektir.
DDexec / EverythingExec
DDexec / EverythingExec tekniği, kendi sürecinizin belleğini /proc/self/mem
üzerinden yazma ile değiştirmenizi sağlar.
Bu nedenle, sürecin yürüttüğü montaj kodunu kontrol ederek, bir shellcode yazabilir ve süreci herhangi bir keyfi kodu çalıştıracak şekilde "mutasyona uğratabilirsiniz".
DDexec / EverythingExec, kendi shellcode veya herhangi bir ikili dosyayı bellekten yükleyip çalıştırmanıza olanak tanır.
For more information about this technique check the Github or:
DDexec / EverythingExecMemExec
Memexec DDexec'in doğal bir sonraki adımıdır. Farklı bir ikili dosya çalıştırmak istediğinizde DDexec'i yeniden başlatmanıza gerek yoktur, sadece memexec shellcode'u DDexec tekniği aracılığıyla çalıştırabilir ve ardından yeni ikili dosyaları yüklemek ve çalıştırmak için bu demon ile iletişim kurabilirsiniz.
Memexec'i bir PHP ters shell'den ikili dosyaları çalıştırmak için nasıl kullanacağınızla ilgili bir örneği https://github.com/arget13/memexec/blob/main/a.php adresinde bulabilirsiniz.
Memdlopen
DDexec ile benzer bir amaca sahip olan memdlopen tekniği, ikili dosyaları hafızaya yüklemenin daha kolay bir yolunu sağlar ve daha sonra bunları çalıştırmanıza olanak tanır. Hatta bağımlılıkları olan ikili dosyaları yüklemeye bile izin verebilir.
Distroless Bypass
Distroless nedir
Distroless konteynerler, belirli bir uygulama veya hizmeti çalıştırmak için gerekli olan en az düzeyde bileşenleri içerir, örneğin kütüphaneler ve çalışma zamanı bağımlılıkları, ancak paket yöneticisi, shell veya sistem yardımcı programları gibi daha büyük bileşenleri hariç tutar.
Distroless konteynerlerin amacı, gereksiz bileşenleri ortadan kaldırarak konteynerlerin saldırı yüzeyini azaltmak ve istismar edilebilecek zafiyet sayısını en aza indirmektir.
Ters Shell
Bir distroless konteynerde normal bir shell almak için sh
veya bash
bile bulamayabilirsiniz. Ayrıca ls
, whoami
, id
gibi ikili dosyaları da bulamayacaksınız... genellikle bir sistemde çalıştırdığınız her şey.
Bu nedenle, ters shell almanız veya sistemi listelemeniz mümkün olmayacak.
Ancak, eğer ele geçirilmiş konteyner örneğin bir flask web çalıştırıyorsa, o zaman python yüklüdür ve dolayısıyla bir Python ters shell alabilirsiniz. Eğer node çalıştırıyorsa, bir Node rev shell alabilirsiniz ve çoğu betik dili için aynı durum geçerlidir.
Betik dilini kullanarak, dilin yeteneklerini kullanarak sistemi listeleyebilirsiniz.
Eğer read-only/no-exec
korumaları yoksa, ters shell'inizi kullanarak dosya sistemine ikili dosyalarınızı yazabilir ve çalıştırabilirsiniz.
Ancak, bu tür konteynerlerde bu korumalar genellikle mevcut olacaktır, ancak önceki bellek yürütme tekniklerini kullanarak bunları aşabilirsiniz.
**Bazı RCE zafiyetlerini istismar ederek betik dillerinden ters shell'ler almak ve hafızadan ikili dosyaları çalıştırmak için örnekleri https://github.com/carlospolop/DistrolessRCE adresinde bulabilirsiniz.
Eğer hack kariyeri ile ilgileniyorsanız ve hacklenemez olanı hacklemek istiyorsanız - işe alıyoruz! (akıcı lehçe yazılı ve sözlü gereklidir).
Last updated