Linux Privilege Escalation
Вивчайте та практикуйте хакінг AWS: Навчання HackTricks AWS Red Team Expert (ARTE) Вивчайте та практикуйте хакінг GCP: Навчання HackTricks GCP Red Team Expert (GRTE)
Інформація про систему
Інформація про ОС
Давайте почнемо здобувати деякі знання про ОС, яка працює.
Шлях
Якщо у вас є права на запис у будь-якій папці всередині змінної PATH
, ви можете захопити деякі бібліотеки або виконуючі файли:
Інформація про середовище
Цікава інформація, паролі або ключі API в змінних середовища?
Вразливості ядра
Перевірте версію ядра та наявність вразливостей, які можна використати для підвищення привілеїв
Можна знайти хороший список вразливих ядер та деякі вже скомпільовані експлойти тут: https://github.com/lucyoa/kernel-exploits та exploitdb sploits. Інші сайти, де можна знайти деякі скомпільовані експлойти: https://github.com/bwbwbwbw/linux-exploit-binaries, https://github.com/Kabot/Unix-Privilege-Escalation-Exploits-Pack
Для вилучення всіх вразливих версій ядра з цього веб-сайту можна виконати:
Інструменти, які можуть допомогти у пошуку експлойтів ядра:
linux-exploit-suggester.sh linux-exploit-suggester2.pl linuxprivchecker.py (виконується на жертві, перевіряє експлойти лише для ядра 2.x)
Завжди шукайте версію ядра в Google, можливо, ваша версія ядра написана в якомусь експлойті, тоді ви будете впевнені, що цей експлойт є дійсним.
CVE-2016-5195 (DirtyCow)
Підвищення привілеїв в Linux - Ядро Linux <= 3.19.0-73.8
Версія Sudo
На основі вразливих версій sudo, які зустрічаються в:
Ви можете перевірити, чи є версія sudo вразливою за допомогою цієї команди grep.
sudo < v1.28
Від @sickrov
Перевірка підпису Dmesg не вдалася
Перевірте smasher2 box of HTB для прикладу, як цю уразу можна використати
Додаткова системна енумерація
Вибір можливих захистів
AppArmor
Grsecurity
Grsecurity
PaX
Execshield
Execshield
SElinux
SElinux
ASLR
ASLR
Втеча з Docker
Якщо ви знаходитесь всередині контейнера Docker, ви можете спробувати втекти з нього:
Docker SecurityДиски
Перевірте що змонтовано і незмонтовано, де і чому. Якщо щось незмонтовано, ви можете спробувати змонтувати його і перевірити приватну інформацію.
Корисне програмне забезпечення
Перерахуйте корисні виконувані файли
Також перевірте, чи встановлено будь-який компілятор. Це корисно, якщо вам потрібно використовувати який-небудь експлойт ядра, оскільки рекомендується компілювати його на машині, де ви збираєтеся використовувати його (або на подібній).
Вразливе програмне забезпечення, встановлене
Перевірте версію встановлених пакетів та служб. Можливо, є якась стара версія Nagios (наприклад), яку можна використати для підвищення привілеїв... Рекомендується перевірити вручну версію найбільш підозрілого встановленого програмного забезпечення.
Якщо у вас є доступ до машини через SSH, ви також можете використовувати openVAS для перевірки застарілих та вразливих програм, встановлених усередині машини.
Зверніть увагу, що ці команди покажуть багато інформації, яка в основному буде некорисною, тому рекомендується використовувати додатки, такі як OpenVAS або подібні, які перевірять, чи є яка-небудь встановлена версія програмного забезпечення вразливою до відомих експлойтів
Процеси
Подивіться, які процеси виконуються та перевірте, чи який-небудь процес має більше привілеїв, ніж повинен (можливо, tomcat виконується від імені root?)
Завжди перевіряйте можливість запущених відладчиків electron/cef/chromium, ви можете використати це для підвищення привілеїв. Linpeas виявляє їх, перевіряючи параметр --inspect
у командному рядку процесу.
Також перевірте свої привілеї над бінарними файлами процесів, можливо, ви зможете перезаписати когось.
Моніторинг процесів
Ви можете використовувати інструменти, такі як pspy для моніторингу процесів. Це може бути дуже корисно для ідентифікації вразливих процесів, які виконуються часто або коли виконані певні вимоги.
Пам'ять процесів
Деякі служби сервера зберігають паролі у відкритому вигляді у пам'яті. Зазвичай вам знадобиться root-привілеї, щоб прочитати пам'ять процесів, які належать іншим користувачам, тому це зазвичай корисно, коли ви вже маєте root-права і хочете дізнатися більше паролів. Однак пам'ятайте, що як звичайний користувач ви можете читати пам'ять процесів, які вам належать.
Зауважте, що в наш час більшість машин не дозволяють ptrace за замовчуванням, що означає, що ви не можете витягти інші процеси, які належать вашому непривілейованому користувачеві.
Файл /proc/sys/kernel/yama/ptrace_scope контролює доступність ptrace:
kernel.yama.ptrace_scope = 0: всі процеси можуть бути налагоджені, якщо вони мають той самий uid. Це класичний спосіб роботи ptrace.
kernel.yama.ptrace_scope = 1: можна налагоджувати лише батьківський процес.
kernel.yama.ptrace_scope = 2: Тільки адміністратор може використовувати ptrace, оскільки це потребує CAP_SYS_PTRACE.
kernel.yama.ptrace_scope = 3: Ніякі процеси не можуть бути відстежені за допомогою ptrace. Після встановлення потрібно перезавантаження для повторного ввімкнення відстеження.
GDB
Якщо у вас є доступ до пам'яті служби FTP (наприклад), ви можете отримати Heap та шукати в ньому паролі.
Сценарій GDB
/proc/$pid/maps & /proc/$pid/mem
Для заданого ідентифікатора процесу maps показують, як пам'ять відображена в межах віртуального адресного простору цього процесу; вони також показують права доступу до кожного відображеного регіону. Псевдофайл mem викриває саму пам'ять процесів. З файлу maps ми знаємо, які області пам'яті доступні для читання та їх зміщення. Ми використовуємо цю інформацію, щоб перейти до файлу mem та вивантажити всі доступні для читання області у файл.
/dev/mem
/dev/mem
надає доступ до фізичної пам'яті системи, а не віртуальної пам'яті. Віртуальний простір адрес ядра можна отримати, використовуючи /dev/kmem.
Зазвичай, /dev/mem
може бути прочитаний тільки користувачем root та групою kmem.
ProcDump для Linux
ProcDump - це переосмислення класичного інструменту ProcDump з набору інструментів Sysinternals для Windows. Отримайте його за посиланням https://github.com/Sysinternals/ProcDump-for-Linux
Інструменти
Для виведення пам'яті процесу ви можете використовувати:
https://github.com/hajzer/bash-memory-dump (root) - _Ви можете вручну видалити вимоги root та вивести процес, який вам належить
Скрипт A.5 з https://www.delaat.net/rp/2016-2017/p97/report.pdf (потрібен root)
Облікові дані з пам'яті процесу
Приклад вручну
Якщо ви виявите, що процес аутентифікатора працює:
Ви можете витягти процес (див. попередні розділи, щоб знайти різні способи вилучення пам'яті процесу) та шукати облікові дані всередині пам'яті:
mimipenguin
Інструмент https://github.com/huntergregal/mimipenguin буде викрадати облікові дані у вигляді чіткого тексту з пам'яті та з деяких відомих файлів. Для правильної роботи він потребує привілеїв root.
Особливість | Назва процесу |
---|---|
Пароль GDM (Kali Desktop, Debian Desktop) | gdm-password |
Gnome Keyring (Ubuntu Desktop, ArchLinux Desktop) | gnome-keyring-daemon |
LightDM (Ubuntu Desktop) | lightdm |
VSFTPd (Активні FTP-з'єднання) | vsftpd |
Apache2 (Активні HTTP Basic Auth сесії) | apache2 |
OpenSSH (Активні SSH-сесії - Використання Sudo) | sshd: |
Пошук Regexes/truffleproc
Заплановані/Cron завдання
Перевірте, чи є які-небудь заплановані завдання вразливими. Можливо, ви зможете скористатися скриптом, який виконується від імені root (вразливість у шаблонах? можна змінювати файли, які використовує root? використовувати символьні посилання? створювати конкретні файли в каталозі, який використовує root?).
Шлях Cron
Наприклад, всередині /etc/crontab ви можете знайти ШЛЯХ: PATH=/home/user:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
(Зверніть увагу, що користувач "user" має права на запис у /home/user)
Якщо всередині цього crontab користувач root намагається виконати якусь команду або скрипт без встановлення шляху. Наприклад: * * * * root overwrite.sh Тоді ви можете отримати оболонку root, використовуючи:
Cron використання скрипта з метасимволом (Внедрення метасимволів)
Якщо скрипт виконується користувачем root і містить "*" всередині команди, ви можете скористатися цим для виконання неочікуваних дій (наприклад, підвищення привілеїв). Приклад:
Якщо метасимвол передує шляху, наприклад /some/path/*, то вразливість відсутня (навіть ./* не є вразливим).
Для отримання додаткових прийомів експлуатації метасимволів перегляньте наступну сторінку:
Wildcards Spare tricksПерезапис сценарію Cron та символічне посилання
Якщо можна змінити сценарій Cron, який виконується від імені root, можна дуже легко отримати оболонку:
Якщо сценарій, виконаний користувачем root, використовує каталог, до якого у вас є повний доступ, можливо, буде корисно видалити цей каталог і створити символічний посилання на інший каталог, в якому знаходиться сценарій, котрим ви керуєте
Часті cron-завдання
Ви можете моніторити процеси, щоб шукати процеси, які виконуються кожну 1, 2 або 5 хвилин. Можливо, ви зможете скористатися цим і підвищити привілеї.
Наприклад, для моніторингу кожні 0,1 секунди протягом 1 хвилини, сортування за менш виконуваними командами та видалення команд, які були виконані найбільше, ви можете виконати:
Ви також можете використовувати pspy (це буде відстежувати та перераховувати кожен процес, який починається).
Невидимі cron-завдання
Можливо створити cron-завдання, додавши символ повернення каретки після коментаря (без символу нового рядка), і це cron-завдання буде працювати. Приклад (зверніть увагу на символ повернення каретки):
Сервіси
Файли .service, до яких можна записувати
Перевірте, чи можете ви записувати будь-який файл .service
, якщо можете, ви можете змінити його, щоб він виконував вашу задню дверку при запуску, перезапуску або зупинці сервісу (можливо, вам доведеться зачекати, поки машина перезавантажиться).
Наприклад, створіть свою задню дверку всередині файлу .service з ExecStart=/tmp/script.sh
Виконувані сервісні бінарні файли
Пам'ятайте, що якщо у вас є права на запис для бінарних файлів, які виконуються сервісами, ви можете змінити їх на задні дверки, тому коли сервіси будуть перевиконані, задні дверки будуть виконані.
systemd PATH - Відносні шляхи
Ви можете побачити шлях, який використовує systemd, за допомогою:
Якщо ви виявите, що можете записувати в будь-якій з папок шляху, ви, можливо, зможете підвищити привілеї. Вам потрібно шукати файли конфігурації служб, де використовуються відносні шляхи.
Потім створіть виконуваний файл з такою ж назвою, як і відносний шлях бінарного файлу всередині папки шляху systemd, де ви можете писати, і коли запитують сервіс виконати уразливу дію (Start, Stop, Reload), ваш задній прохід буде виконаний (непривілейовані користувачі зазвичай не можуть запускати/зупиняти сервіси, але перевірте, чи можете використовувати sudo -l
).
Дізнайтеся більше про сервіси за допомогою man systemd.service
.
Таймери
Таймери - це файлы одиниць systemd, ім'я яких закінчується на **.timer**
, які керують файлами або подіями **.service**
. Таймери можуть бути використані як альтернатива cron, оскільки вони мають вбудовану підтримку подій календарного часу та монотонних подій та можуть бути запущені асинхронно.
Ви можете перелічити всі таймери за допомогою:
Записувані таймери
Якщо ви можете змінити таймер, ви можете зробити його виконати деякі існуючі одиниці systemd (наприклад, .service
або .target
)
У документації ви можете прочитати, що таке Unit:
Unit, який активується, коли таймер завершується. Аргумент - це ім'я unit, суфікс якого не є ".timer". Якщо не вказано, це значення за замовчуванням встановлюється на службу, яка має те саме ім'я, що й unit таймера, за винятком суфікса. (Див. вище.) Рекомендується, щоб ім'я unit, який активується, та ім'я unit таймера були ідентичними, за винятком суфікса.
Отже, для зловживання цим дозволом вам потрібно:
Знайти деякий systemd unit (наприклад,
.service
), який виконує записний бінарний файлЗнайти деякий systemd unit, який виконується за допомогою відносного шляху, і у вас є права на запис до шляху systemd (щоб видаляти цей виконавчий файл)
Дізнайтеся більше про таймери за допомогою man systemd.timer
.
Увімкнення таймера
Для увімкнення таймера вам потрібні права root і виконати:
Зауважте, що таймер активується, створивши символічне посилання на нього у /etc/systemd/system/<WantedBy_section>.wants/<name>.timer
Сокети
Сокети Unix Domain (UDS) дозволяють комунікацію процесів на одній або різних машинах у моделях клієнт-сервер. Вони використовують стандартні файлові дескриптори Unix для міжкомп'ютерної комунікації і налаштовуються через файли .socket
.
Сокети можна налаштувати за допомогою файлів .socket
.
Дізнайтеся більше про сокети за допомогою man systemd.socket
. У цьому файлі можна налаштувати кілька цікавих параметрів:
ListenStream
,ListenDatagram
,ListenSequentialPacket
,ListenFIFO
,ListenSpecial
,ListenNetlink
,ListenMessageQueue
,ListenUSBFunction
: Ці параметри різняться, але узагальнення використовується для вказівки, де буде прослуховуватися сокет (шлях до файлу сокета AF_UNIX, IPv4/6 та/або номер порту для прослуховування і т. д.)Accept
: Приймає булеве значення. Якщо true, для кожного вхідного підключення створюється екземпляр служби, і лише сокет підключення передається йому. Якщо false, всі прослуховуючі сокети самі передаються запущеній службі, і лише один екземпляр служби створюється для всіх підключень. Це значення ігнорується для датаграмних сокетів та FIFO, де один службовий блок однозначно обробляє весь вхідний трафік. За замовчуванням false. З міркувань продуктивності рекомендується писати нові демони тільки так, щоб вони підходили дляAccept=no
.ExecStartPre
,ExecStartPost
: Приймає один або кілька рядків команд, які виконуються перед тим, як прослуховуючі сокети/FIFO створюються та зв'язуються відповідно. Перший токен рядка команди повинен бути абсолютним іменем файлу, за яким слідують аргументи для процесу.ExecStopPre
,ExecStopPost
: Додаткові команди, які виконуються перед тим, як прослуховуючі сокети/FIFO закриваються та видаляються відповідно.Service
: Вказує ім'я служби, яку активувати при вхідному трафіку. Це налаштування дозволено лише для сокетів з Accept=no. За замовчуванням воно встановлюється на службу, яка має те саме ім'я, що й сокет (замінено суфіксом). У більшості випадків не повинно бути необхідності використовувати цей параметр.
Записувані файли .socket
Якщо ви знайдете записуваний файл .socket
, ви можете додати на початку розділу [Socket]
щось на зразок: ExecStartPre=/home/kali/sys/backdoor
, і backdoor буде виконано перед створенням сокета. Тому, ймовірно, вам доведеться зачекати, поки машина перезавантажиться.
Зауважте, що система повинна використовувати цю конфігурацію файлу сокета, інакше backdoor не буде виконано
Записувані сокети
Якщо ви визначите будь-який записуваний сокет (зараз ми говоримо про Unix сокети, а не про файли конфігурації .socket
), то ви можете спілкуватися з цим сокетом і, можливо, використовувати уразливість.
Перелік Unix сокетів
Сировинне з'єднання
Приклад експлуатації:
Socket Command InjectionHTTP сокети
Зверніть увагу, що можуть існувати деякі сокети, які слухають HTTP запити (Я не говорю про файли .socket, а про файли, які діють як unix сокети). Ви можете перевірити це за допомогою:
Якщо сокет відповідає на запит HTTP, то ви можете взаємодіяти з ним і, можливо, експлуатувати деякі вразливості.
Записний Docker Socket
Сокет Docker, який часто знаходиться за шляхом /var/run/docker.sock
, є критичним файлом, який повинен бути захищений. За замовчуванням він доступний для запису користувачем root
та членами групи docker
. Володіння правами на запис до цього сокету може призвести до підвищення привілеїв. Ось розбір того, як це можна зробити, та альтернативні методи, якщо CLI Docker недоступний.
Підвищення привілеїв за допомогою Docker CLI
Якщо у вас є права на запис до сокету Docker, ви можете підвищити привілеї за допомогою наступних команд:
Використання Docker API безпосередньо
У випадках, коли Docker CLI недоступний, сокет Docker все ще можна маніпулювати за допомогою Docker API та команд curl
.
Перелік образів Docker: Отримати список доступних образів.
Створення контейнера: Надіслати запит на створення контейнера, який монтує кореневий каталог системи хоста.
Запустіть новостворений контейнер:
Приєднання до контейнера: Використовуйте
socat
, щоб встановити з'єднання з контейнером, що дозволяє виконувати команди всередині нього.
Після налаштування з'єднання socat
ви можете виконувати команди безпосередньо в контейнері з рівнем доступу root до файлової системи хоста.
Інші
Зверніть увагу, що якщо у вас є права на запис до сокету Docker через належність до групи docker
, у вас є більше способів підвищення привілеїв. Якщо API Docker прослуховує порт ви також можете скомпрометувати його.
Перевірте інші способи виходу з Docker або зловживання ним для підвищення привілеїв в:
Docker SecurityПідвищення привілеїв Containerd (ctr)
Якщо ви виявите, що можете використовувати команду ctr
, прочитайте наступну сторінку, оскільки ви можете зловживати нею для підвищення привілеїв:
Підвищення привілеїв RunC
Якщо ви виявите, що можете використовувати команду runc
, прочитайте наступну сторінку, оскільки ви можете зловживати нею для підвищення привілеїв:
D-Bus
D-Bus - це складна система міжпроцесного зв'язку (IPC), яка дозволяє програмам ефективно взаємодіяти та обмінюватися даними. Розроблена з урахуванням сучасної системи Linux, вона пропонує надійний фреймворк для різних форм взаємодії програм.
Система є універсальною, підтримуючи базовий IPC, який полегшує обмін даними між процесами, нагадуючи про покращені UNIX-сокети. Крім того, вона допомагає в трансляції подій або сигналів, сприяючи безшовній інтеграції між компонентами системи. Наприклад, сигнал від демона Bluetooth про вхідний дзвінок може викликати приглушення музичного програвача, покращуючи взаємодію з користувачем. Крім того, D-Bus підтримує віддалену систему об'єктів, спрощуючи запити служб та виклики методів між додатками, спрощуючи процеси, які традиційно були складними.
D-Bus працює за моделлю дозволити/заборонити, керуючи дозволами повідомлень (виклики методів, емісії сигналів і т. д.) на основі кумулятивного ефекту відповідності політичним правилам. Ці політики вказують взаємодії з автобусом, що потенційно дозволяє підвищення привілеїв через експлуатацію цих дозволів.
Наведено приклад такої політики в /etc/dbus-1/system.d/wpa_supplicant.conf
, де детально описані дозволи для користувача root на володіння, відправлення та отримання повідомлень від fi.w1.wpa_supplicant1
.
Політики без вказаного користувача або групи застосовуються універсально, тоді як політики контексту "default" застосовуються до всіх, кого не охоплюють інші конкретні політики.
Дізнайтеся, як перелічити та використовувати комунікацію D-Bus тут:
D-Bus Enumeration & Command Injection Privilege EscalationМережа
Завжди цікаво перелічити мережу та визначити положення машини.
Загальне перелічення
Відкриті порти
Завжди перевіряйте мережеві служби, які працюють на машині, з якою ви не могли взаємодіяти до доступу до неї:
Прослуховування
Перевірте, чи можете ви перехоплювати трафік. Якщо можете, ви можете отримати деякі облікові дані.