私はルートです。 Linux OS の権限昇格について

私は 2020 年の第 XNUMX 四半期を OSCP 試験の準備に費やしました。 Google で情報を検索したり、多くの「盲目的な」試みに自由時間がすべて奪われました。 特権を昇格させるメカニズムを理解するのが特に難しいことが判明しました。 PWK コースではこのトピックに細心の注意を払っていますが、方法論的な教材だけでは常に十分ではありません。 インターネット上には便利なコマンドを記載したマニュアルがたくさんありますが、最終的な結果を理解せずに推奨事項に盲目的に従うことは私は支持しません。

試験の準備と合格に成功するまでに（Hack The Box への定期的なレイドを含む）なんとか学んだことを皆さんと共有したいと思います。 Try Harder の道をより意識的に歩むのに役立ってくれたあらゆる情報に深い感謝の気持ちを感じました。今こそコミュニティに恩返しをするときです。

ここでは、OS Linux での特権昇格のガイドを提供したいと思います。これには、最も一般的なベクターと必ず必要になる関連機能の分析が含まれます。 多くの場合、権限昇格メカニズム自体は非常に単純ですが、情報を構造化して分析するときに問題が発生します。 そこで「観光ツアー」からスタートして、それぞれのベクトルを別記事で考察することにしました。 このトピックを勉強する時間を節約できることを願っています。

では、その手法が非常に長い間よく知られていたのに、なぜ権限昇格が 2020 年になっても可能なのでしょうか? 実際、ユーザーがシステムを正しく扱えば、そのシステムの特権を増やすことは実際には不可能です。 そのような機会を生み出す主な世界的問題は、 安全でない構成。 システム内に脆弱性を含む古いソフトウェア バージョンが存在することも、安全でない構成の特殊なケースです。

安全でない構成による権限昇格

まず最初に、安全でない構成に対処しましょう。 まずは始めましょう IT プロフェッショナルは、スタックオーバーフローなどのマニュアルやリソースをよく使用します。、その多くには安全でないコマンドや設定が含まれています。 顕著な例は、 ニュース stackoverflow から最もコピーされたコードにエラーが含まれていたことがわかりました。 経験豊富な管理者には側枠が表示されますが、これは理想的な世界です。 有能な専門家であっても 仕事量の増加 間違いを犯すことができる。 管理者が次の入札に向けて文書を準備および承認し、同時に次の四半期に導入される新しいテクノロジを詳しく調べながら、ユーザー サポートのタスクを定期的に解決していると想像してください。 そして、彼には、いくつかの仮想マシンを迅速に起動し、それらの仮想マシン上でサービスを展開するというタスクが与えられます。 管理者が単に側枠に気づいていない可能性はどのくらいだと思いますか? その後、専門家は変わりますが、松葉杖は残りますが、企業は常に IT 専門家のコストも含めてコストを最小限に抑えるよう努めます。

擬似シェルとジェイルブレイク

運用段階で取得したシステム シェルは、特に Web サーバー ユーザーをハッキングして取得した場合は制限されることがよくあります。 たとえば、シェルの制限により、エラーが発生して sudo コマンドを使用できない場合があります。

sudo: no tty present and no askpass program specified

シェルを取得したら、Python などを使用して本格的なターミナルを作成することをお勧めします。

python -c 'import pty;pty.spawn("/bin/bash")'

「たとえば、ファイル転送に XNUMX つのコマンドを使用できるのに、なぜ XNUMX ものコマンドが必要なのでしょうか?」 実際には、システムの構成が異なっており、次のホストでは Python はインストールされない可能性がありますが、Perl は利用可能です。 スキルとは、使い慣れたツールを使わずにシステム内で使い慣れた操作を実行できることです。 機能の完全なリストを見つけることができます ここで.

権限の低いシェルは、次のコマンドを使用して取得できます。 チーム1 и チーム2 （驚くべきことに、GIMPさえも）。

コマンド履歴の表示

Linux は実行されたすべてのコマンドの履歴をファイルに収集します 〜/ .bash_history。 サーバーがアクティブに使用されており、その履歴がクリアされていない場合、資格情報がこのファイルで見つかる可能性が高くなります。 履歴を消去するのは非常に不便です。 管理者が を介して XNUMX レベルのコマンドを選択することを強制された場合、もちろん、このコマンドを再度入力するよりも履歴からこのコマンドを呼び出す方が便利です。 さらに、多くの人はこの「ハック」について知りません。 システム内に Zsh や Fish などの代替シェルがある場合、それらには独自の歴史があります。 任意のシェルでコマンドの履歴を表示するには、history コマンドを入力するだけです。

cat ~/.bash_history
cat ~/.mysql_history
cat ~/.nano_history
cat ~/.php_history
cat ~/.atftp_history

サーバーが複数のサイトをホストするために使用される共有ホスティングがあります。 通常、この構成では、各リソースに個別のホーム ディレクトリと仮想ホストを持つ独自のユーザーが存在します。 したがって、構成が正しくない場合は、Web リソースのルート ディレクトリで .bash_history ファイルを見つけることができます。

ファイルシステム内のパスワードの検索と隣接するシステムへの攻撃

さまざまなサービスの構成ファイルは、現在のユーザーが読み取ることができる場合があります。 この中には、データベースまたは関連サービスにアクセスするためのパスワードである認証情報がクリア テキストで含まれています。 同じパスワードをデータベースへのアクセスと root ユーザーの認可 (資格情報スタッフィング) の両方に使用できます。
見つかった資格情報が他のホスト上のサービスに属している場合があります。 侵害されたホストを介したインフラストラクチャへの攻撃の展開は、他のホストの悪用と何ら変わりません。 ファイル システムで IP アドレスを検索することによって、隣接するシステムを見つけることもできます。

grep -lRi "password" /home /var/www /var/log 2>/dev/null | sort | uniq #Find string password (no cs) in those directories
grep -a -R -o '[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}' /var/log/ 2>/dev/null | sort -u | uniq #IPs inside logs

侵害されたホストにインターネットからアクセスできる Web アプリケーションがある場合は、そのログを IP アドレスの検索から除外することをお勧めします。 インターネットからのリソース ユーザーのアドレスは役に立ちそうにありませんが、内部ネットワークのアドレス (172.16.0.0/12、192.168.0.0/16、10.0.0.0/8) とその宛先は、ログが興味深いかもしれません。

数独

sudo コマンドを使用すると、ユーザーは自分のパスワードを使用して、またはパスワードをまったく使用せずに root のコンテキストでコマンドを実行できます。 Linux での多くの操作には root 権限が必要ですが、root として実行することは非常に悪い習慣であると考えられています。 代わりに、ルート コンテキストでコマンドを実行するための選択的なアクセス許可を適用することをお勧めします。 ただし、vi などの標準ツールを含む多くの Linux ツールは、正当な方法で権限を昇格するために使用できます。 正しい方法を見つけるには、以下を参照することをお勧めします ここで.

システムにアクセスした後に最初に行うことは、sudo -l コマンドを実行することです。 sudoコマンドの使用許可が表示されます。 パスワードを持たないユーザー (Apache や www-data など) を取得した場合、sudo 特権昇格ベクトルは考えられません。 sudo を使用すると、システムはパスワードを要求します。 passwd コマンドを使用してパスワードを設定しても機能せず、現在のユーザー パスワードを要求されます。 ただし、sudo がまだ利用可能な場合は、実際には次のものを探す必要があります。

• インタープリターであれば誰でもシェル (PHP、Python、Perl) を生成できます。
• 任意のテキスト エディタ (vim、vi、nano)。
• 任意の視聴者 (少なくても多くても);
• ファイル システム (cp、mv) を操作する可能性。
• インタラクティブまたは実行可能コマンド (awk、find、nmap、tcpdump、man、vi、vim、ansible) として bash で出力を持つツール。

スイド/シジッド

インターネット上には、すべての suid / sgid コマンドの構築をアドバイスするマニュアルが数多くありますが、これらのプログラムの使用方法について詳細に説明している記事は稀です。 エクスプロイトの使用を考慮しない権限昇格オプションが見つかります。 ここで。 また、多くの実行可能ファイルには OS バージョンに特有の脆弱性があり、 例えば.

理想的には、インストールされているすべてのパッケージを少なくとも searchsploit を通じて実行する必要があります。 実際には、これは sudo などの最も一般的なプログラムで行う必要があります。 また、特権昇格の観点から興味深い、suid/sgid ビットが設定された実行可能ファイルを強調表示する自動ツールの開発を使用およびサポートすることも常にオプションです。 このようなツールのリストは、記事の対応するセクションで説明します。

Root コンテキストで Cron または Init によって実行される書き込み可能なスクリプト

Cron ジョブは、root を含むさまざまなユーザーのコンテキストで実行できます。 cron に実行可能ファイルへのリンクを含むタスクがあり、そのタスクを書き込むことができる場合、それを悪意のあるタスクに簡単に置き換えて、権限昇格を実行できます。 同時に、デフォルトでは、cron タスクを含むファイルはすべてのユーザーが読み取ることができます。

ls -la /etc/cron.d  # show cron jobs 

init の場合も同様です。 違いは、cron のタスクは定期的に実行され、init のタスクはシステム起動時に実行されることです。 操作するにはシステムを再起動する必要がありますが、一部のサービスは起動しない可能性があります (自動ロードに登録されていない場合)。

ls -la /etc/init.d/  # show init scripts 

任意のユーザーが書き込み可能なファイルを検索することもできます。

find / -perm -2 -type f 2>/dev/null # find world writable files

この方法は非常によく知られており、経験豊富なシステム管理者は chmod コマンドを慎重に使用します。 ただし、Web では、ほとんどのマニュアルで最大権限の設定について説明されています。 経験の浅いシステム管理者の「とにかく機能させる」というアプローチは、原則として権限昇格の機会を生み出します。 可能であれば、コマンド履歴で chmod の安全でない使用を確認することをお勧めします。

chmod +w /path 
chmod 777 /path

他のユーザーのシェルアクセス権の取得

/etc/passwd 内のユーザーのリストを確認します。 殻を持っている人には注目です。 これらのユーザーを攻撃することができます。結果として得られたユーザーを通じて、最終的に権限を増やすことができる可能性があります。

セキュリティを向上させるために、常に最小特権の原則に従うことをお勧めします。 また、トラブルシューティング後に残る可能性のある安全でない構成を時間をかけてチェックすることも意味があります。これはシステム管理者の「技術的義務」です。

自分で書いたコード

ユーザーおよび Web サーバーのホーム ディレクトリ (特に指定がない限り、/var/www/) 内の実行可能ファイルを詳しく調べる価値があります。 これらのファイルは完全に安全ではないソリューションであることが判明し、信じられないほどの松葉杖が含まれている可能性があります。 もちろん、Web サーバー ディレクトリに何らかのフレームワークがある場合、ペネトレーション テストの一環としてそのフレームワーク内でゼロデイを検索することは意味がありませんが、カスタムの変更、プラグイン、およびコンポーネントを見つけて調査することをお勧めします。

セキュリティを強化するには、可能であれば、自分で作成したスクリプトで資格情報を使用したり、/etc/shadow の読み取りや id_rsa の操作などの潜在的に危険な機能の使用を避けることをお勧めします。

脆弱性の悪用による特権の昇格

悪用を通じて権限の昇格を試みる前に、次のことを理解しておくことが重要です。 ターゲットホストへのファイルの転送。 ssh、ftp、http (wget、curl) などの通常のツールに加えて、 可能性の「動物園」.

システムのセキュリティを向上させるには、定期的に最新のものに更新してください。 安定 バージョンを変更し、エンタープライズ向けに設計されたディストリビューションも使用してみてください。 そうしないと、まれに、適切なアップグレードによってシステムが使用できなくなる場合があります。

root ユーザーのコンテキストで実行されているサービスの悪用

一部の Linux サービスは、特権ユーザー root として実行されます。 これらは、ps aux | を使用して見つけることができます。 grep ルート。 この場合、サービスは Web 上で発表されず、ローカルで利用可能になる可能性があります。 公開エクスプロイトがある場合は、安全に使用できます。障害が発生した場合のサービスのクラッシュは、OS のクラッシュよりもはるかに重大ではありません。

ps -aux | grep root # Linux

最も成功したケースは、root ユーザーのコンテキストでハッキングされたサービスの操作であると考えられます。 SMB サービスを操作すると、Windows システム上で SYSTEM 特権アクセスが許可されます (例: ms17-010 経由)。 ただし、これは Linux システムでは一般的ではないため、権限の昇格に多くの時間を費やす可能性があります。

Linux カーネルの脆弱性の悪用

これが最後に取るべき道です。 操作が失敗するとシステムがクラッシュする可能性があり、再起動すると一部のサービス (元のシェルを取得できたサービスを含む) が起動しなくなる可能性があります。 管理者が systemctl Enable コマンドを使用するのを単に忘れている可能性があります。 さらに、搾取に同意していない場合、あなたの仕事に多くの不満が生じるでしょう。
Exploitdb のソースを使用する場合は、スクリプトの先頭にあるコメントを必ず読んでください。 とりわけ、通常、このエクスプロイトを正しくコンパイルする方法が記載されています。 あまりにも怠けていたり、締め切りのために「昨日」が必要だった場合は、すでにコンパイルされたエクスプロイトが含まれるリポジトリを探すことができます。 例えば。 ただし、この場合、豚を突くことになることを理解する必要があります。 一方で、プログラマーがコンピューターがどのように動作するのか、そしてコンピューターが使用するソフトウェアを隅々まで理解していれば、一生かかっても一行もコードを書くことはなかったでしょう。

cat /proc/version
uname -a
searchsploit "Linux Kernel" 

Metasploit

接続をキャッチして処理するには、exploit/multi/handler モジュールを使用することをお勧めします。 主なことは、正しいペイロード (generic/shell/reverce_tcp や generic/shell/bind_tcp など) を設定することです。 Metasploit で取得したシェルは、post/multi/manage/shell_to_meterpreter モジュールを使用して Meterpreter にアップグレードできます。 Meterpreter を使用すると、悪用後のプロセスを自動化できます。 たとえば、post/multi/recon/local_exploit_suggester モジュールは、プラットフォーム、アーキテクチャ、悪用可能なエンティティをチェックし、ターゲット システムでの権限昇格のための Metasploit モジュールを提案します。 Meterpreter のおかげで、権限昇格は適切なモジュールを実行することによって行われることがありますが、内部で何が起こっているかを理解せずにハッキングすることは真実ではありません (それでもレポートを書く必要があります)。

ツール

ローカルでの情報収集を自動化するツールは、多くの労力と時間を節約しますが、それ自体では、特にカーネルの脆弱性を悪用する場合に、特権昇格パスを完全に特定することができません。 自動化ツールは、システムに関する情報を収集するために必要なコマンドをすべて実行しますが、次のことができることも重要です。 分析する 受信したデータ。 私の記事がこの点で役立つことを願っています。 もちろん、以下にリストする以外にも多くのツールがありますが、それらはすべてほぼ同じことを行うため、どちらかというと好みの問題です。

リンピース

かなり新しいツールで、最初のコミットの日付は 2019 年 XNUMX 月です。 今のところ一番好きな楽器。 肝心なのは、最も興味深い特権昇格ベクトルを強調しているということです。 同意します。モノリシックな生データを解析するよりも、このレベルで専門家の評価を受ける方が便利です。

LineEnum

私の XNUMX 番目にお気に入りのツールは、ローカル列挙の結果として受信したデータを収集して整理することもできます。

linux-exploit-suggester (1,2)

このエクスプロイトは、エクスプロイトに適した条件についてシステムを分析します。 実際、これは Metasploit local_exploit_suggester モジュールと同じジョブを実行しますが、Metasploit モジュールではなく、exploit-db ソース コードへのリンクを提供します。

Linuxprivchecker

このスクリプトは、権限昇格ベクトルの形成に役立つ大量の情報を収集し、セクションごとに整理します。

また今度詳しく説明します suid/sgid による Linux 権限昇格.

出所： habr.com