Bypass FS protections: read-only / no-exec / Distroless
If you are interested in hacking career and hack the unhackable - we are hiring! (fluent polish written and spoken required).
Videos
In the following videos you can find the techniques mentioned in this page explained more in depth:
read-only / no-exec scenario
Все частіше можна зустріти linux-машини, змонтовані з захистом файлової системи тільки для читання (ro), особливо в контейнерах. Це пов'язано з тим, що запустити контейнер з файловою системою ro так само просто, як встановити readOnlyRootFilesystem: true
в securitycontext
:
Однак, навіть якщо файлова система змонтована як ro, /dev/shm
все ще буде записуваним, тому це неправда, що ми не можемо нічого записати на диск. Однак, ця папка буде змонтована з захистом no-exec, тому якщо ви завантажите бінарний файл сюди, ви не зможете його виконати.
З точки зору червоної команди, це ускладнює завантаження та виконання бінарних файлів, які вже не знаходяться в системі (як бекдори або енумератори, такі як kubectl
).
Easiest bypass: Scripts
Зверніть увагу, що я згадував бінарні файли, ви можете виконувати будь-який скрипт, якщо інтерпретатор знаходиться всередині машини, наприклад, shell-скрипт, якщо sh
присутній, або python скрипт, якщо python
встановлений.
Однак цього недостатньо, щоб виконати ваш бінарний бекдор або інші бінарні інструменти, які вам можуть знадобитися.
Memory Bypasses
Якщо ви хочете виконати бінарний файл, але файлова система цього не дозволяє, найкращий спосіб зробити це - виконати його з пам'яті, оскільки захисти не застосовуються там.
FD + exec syscall bypass
Якщо у вас є потужні скриптові движки всередині машини, такі як Python, Perl або Ruby, ви можете завантажити бінарний файл для виконання з пам'яті, зберегти його в дескрипторі пам'яті (create_memfd
syscall), який не буде захищений цими захистами, а потім викликати exec
syscall, вказуючи fd як файл для виконання.
Для цього ви можете легко використовувати проект fileless-elf-exec. Ви можете передати йому бінарний файл, і він згенерує скрипт у вказаній мові з бінарним файлом, стиснутим і закодованим в b64 з інструкціями для декодування та розпакування його в fd, створеному за допомогою виклику create_memfd
syscall, і викликом exec syscall для його виконання.
Це не працює в інших скриптових мовах, таких як PHP або Node, оскільки у них немає жодного за замовчуванням способу викликати сирі системні виклики з скрипту, тому неможливо викликати create_memfd
, щоб створити дескриптор пам'яті для зберігання бінарного файлу.
Більше того, створення звичайного дескриптора з файлом у /dev/shm
не спрацює, оскільки вам не дозволять його виконати через те, що захист no-exec буде застосований.
DDexec / EverythingExec
DDexec / EverythingExec - це техніка, яка дозволяє вам модифікувати пам'ять вашого власного процесу шляхом перезапису його /proc/self/mem
.
Отже, контролюючи асемблерний код, який виконується процесом, ви можете написати shellcode і "мутувати" процес, щоб виконати будь-який довільний код.
DDexec / EverythingExec дозволить вам завантажити та виконати ваш власний shellcode або будь-який бінарний файл з пам'яті.
Для отримання додаткової інформації про цю техніку перевірте Github або:
DDexec / EverythingExecMemExec
Memexec є природним наступним кроком DDexec. Це DDexec shellcode demonised, тому що щоразу, коли ви хочете запустити інший бінарний файл, вам не потрібно перезапускати DDexec, ви можете просто запустити shellcode memexec за допомогою техніки DDexec, а потім спілкуватися з цим демоном, щоб передати нові бінарні файли для завантаження та виконання.
Ви можете знайти приклад того, як використовувати memexec для виконання бінарних файлів з PHP реверс-шелу за адресою https://github.com/arget13/memexec/blob/main/a.php.
Memdlopen
З подібною метою до DDexec, техніка memdlopen дозволяє легше завантажувати бінарні файли в пам'ять для подальшого виконання. Це може навіть дозволити завантажувати бінарні файли з залежностями.
Distroless Bypass
Що таке distroless
Контейнери distroless містять лише найнеобхідні компоненти для запуску конкретного застосунку або служби, такі як бібліотеки та залежності часу виконання, але виключають більші компоненти, такі як менеджер пакетів, оболонка або системні утиліти.
Мета контейнерів distroless полягає в тому, щоб зменшити поверхню атаки контейнерів, усунувши непотрібні компоненти та мінімізуючи кількість вразливостей, які можуть бути використані.
Реверс-шел
У контейнері distroless ви, можливо, навіть не знайдете sh
або bash
, щоб отримати звичайну оболонку. Ви також не знайдете бінарні файли, такі як ls
, whoami
, id
... все, що ви зазвичай запускаєте в системі.
Отже, ви не зможете отримати реверс-шел або перерахувати систему, як зазвичай.
Однак, якщо скомпрометований контейнер, наприклад, запускає flask web, тоді python встановлений, і тому ви можете отримати Python реверс-шел. Якщо він запускає node, ви можете отримати Node rev shell, і те ж саме з більшістю будь-якої скриптової мови.
Використовуючи скриптову мову, ви могли б перерахувати систему, використовуючи можливості мови.
Якщо немає захистів read-only/no-exec
, ви могли б зловживати своїм реверс-шелом, щоб записати у файлову систему свої бінарні файли та виконати їх.
Однак у таких контейнерах ці захисти зазвичай існують, але ви могли б використовувати попередні техніки виконання в пам'яті, щоб обійти їх.
Ви можете знайти приклади того, як експлуатувати деякі вразливості RCE, щоб отримати реверс-шели скриптових мов та виконати бінарні файли з пам'яті за адресою https://github.com/carlospolop/DistrolessRCE.
Якщо вас цікавить кар'єра в хакерстві і ви хочете зламати незламне - ми наймаємо! (вимагається вільне володіння польською мовою в письмовій та усній формі).
Last updated