🥇나는 루트입니다. OS Linux 권한 에스컬레이션 이해

저는 2020년 XNUMX분기를 OSCP 시험을 준비하며 보냈습니다. Google에서 정보를 검색하고 많은 "맹목적인" 시도가 자유 시간을 모두 차지했습니다. 권한 상승 메커니즘을 이해하는 것이 특히 어려웠습니다. PWK 과정은 이 주제에 많은 관심을 기울이지만 방법론적 자료로는 항상 충분하지 않습니다. 인터넷에는 유용한 명령이 포함된 설명서가 많이 있지만 이것이 어디로 이어질지 이해하지 못한 채 권장 사항을 맹목적으로 따르는 것을 지지하는 사람은 아닙니다.

시험을 준비하고 성공적으로 통과하는 동안 배운 내용을 여러분과 공유하고 싶습니다(Hack The Box에 대한 주기적인 습격 포함). 더 의식적으로 Try Harder의 길을 걷는 데 도움이 된 모든 정보에 대해 깊은 감사를 느꼈습니다. 이제 커뮤니티에 보답할 때입니다.

OS Linux에서 권한 에스컬레이션에 대한 가이드를 제공하고 싶습니다. 여기에는 가장 일반적인 벡터 및 반드시 필요한 관련 기능에 대한 분석이 포함되어 있습니다. 종종 권한 에스컬레이션 메커니즘 자체는 매우 간단하며 정보를 구조화하고 분석할 때 어려움이 발생합니다. 따라서 "관광 여행"으로 시작한 다음 별도의 기사에서 각 벡터를 고려하기로 결정했습니다. 주제를 공부하는 데 시간을 절약할 수 있기를 바랍니다.

그렇다면 권한 상승 방법이 아주 오랫동안 잘 알려져 있었다면 2020년에 권한 상승이 가능한 이유는 무엇일까요? 실제로 사용자가 시스템을 올바르게 처리하면 시스템에서 권한을 높이는 것이 실제로 불가능합니다. 그러한 기회를 발생시키는 주요 글로벌 문제는 안전하지 않은 구성. 시스템에 취약성이 포함된 오래된 소프트웨어 버전이 존재하는 것도 안전하지 않은 구성의 특수한 경우입니다.

안전하지 않은 구성을 통한 권한 상승

우선, 안전하지 않은 구성을 다루겠습니다. 시작하자 IT 전문가는 종종 stackoverflow와 같은 매뉴얼과 리소스를 사용합니다., 그 중 다수는 안전하지 않은 명령 및 구성을 포함합니다. 놀라운 예는 뉴스 stackoverflow에서 가장 많이 복사된 코드에 오류가 포함되어 있습니다. 숙련된 관리자가 잼을 볼 수 있지만 이것은 이상적인 세계에 있습니다. 유능한 전문가라도 작업량 증가 실수를 할 수 있습니다. 관리자가 다음 입찰을 위한 문서를 준비 및 승인하는 동시에 다음 분기에 도입될 신기술을 탐구하는 동시에 주기적으로 사용자 지원 작업을 해결한다고 상상해 보십시오. 그런 다음 그는 두 개의 가상 머신을 빠르게 올리고 서비스를 롤아웃하는 작업을 받았습니다. 어떻게 생각하세요, 관리자가 단순히 잼을 알아차리지 못할 확률은 얼마입니까? 그런 다음 전문가는 변경되지만 목발은 그대로 유지되며 기업은 IT 전문가를 포함하여 항상 비용을 최소화하기 위해 노력합니다.

의사 쉘 및 탈옥

생산 단계에서 얻은 시스템 셸은 특히 웹 서버 사용자를 해킹하여 얻은 경우 제한되는 경우가 많습니다. 예를 들어 셸 제한으로 인해 sudo 명령을 오류와 함께 사용하지 못할 수 있습니다.

sudo: no tty present and no askpass program specified

셸을 얻은 후에는 예를 들어 Python을 사용하여 본격적인 터미널을 만드는 것이 좋습니다.

python -c 'import pty;pty.spawn("/bin/bash")'

"예를 들어 파일을 전송하는 데 하나를 사용할 수 있는데 왜 천 개의 명령이 필요한가요?" 사실은 시스템이 다르게 구성되어 다음 호스트에 Python이 설치되지 않을 수 있지만 Perl을 사용할 수 있다는 것입니다. 기술은 친숙한 도구 없이 시스템에서 친숙한 작업을 수행할 수 있는 것입니다. 기능의 전체 목록을 찾을 수 있습니다. 여기에.

낮은 권한 쉘은 다음을 사용하여 얻을 수 있습니다. 팀 1 и 팀 2 (놀랍게도 김프도).

명령 기록 보기

Linux는 실행된 모든 명령의 기록을 파일에 수집합니다. ~ / .bash_history. 서버가 활성 사용 중이고 해당 기록이 지워지지 않은 경우 이 파일에서 자격 증명을 찾을 가능성이 높습니다. 기록을 지우는 것은 매우 불편합니다. 관리자가 를 통해 XNUMX단계 명령을 선택해야 하는 경우에는 다시 입력하는 것보다 히스토리에서 이 명령을 호출하는 것이 더 편리할 것입니다. 또한 많은 사람들이 이 "해킹"에 대해 모릅니다. 시스템에 Zsh 또는 Fish와 같은 대체 셸이 있는 경우 고유한 기록이 있습니다. 모든 셸에서 명령 기록을 표시하려면 명령 기록을 입력하기만 하면 됩니다.

cat ~/.bash_history
cat ~/.mysql_history
cat ~/.nano_history
cat ~/.php_history
cat ~/.atftp_history

서버가 여러 사이트를 호스팅하는 데 사용되는 공유 호스팅이 있습니다. 일반적으로 이 구성에서는 각 리소스에 별도의 홈 디렉토리와 가상 호스트가 있는 자체 사용자가 있습니다. 따라서 잘못 구성된 경우 웹 리소스의 루트 디렉터리에서 .bash_history 파일을 찾을 수 있습니다.

파일 시스템에서 암호 찾기 및 인접 시스템 공격

다양한 서비스에 대한 구성 파일을 현재 사용자가 읽을 수 있습니다. 여기에서 일반 텍스트로 된 자격 증명(데이터베이스 또는 관련 서비스에 액세스하기 위한 암호)을 찾을 수 있습니다. 동일한 암호를 사용하여 데이터베이스에 액세스하고 루트 사용자에게 권한을 부여할 수 있습니다(자격 증명 스태핑).
발견된 자격 증명이 다른 호스트의 서비스에 속하는 경우가 발생합니다. 손상된 호스트를 통한 인프라 공격 개발은 다른 호스트를 악용하는 것보다 나쁘지 않습니다. 파일 시스템에서 IP 주소를 검색하여 인접 시스템을 찾을 수도 있습니다.

grep -lRi "password" /home /var/www /var/log 2>/dev/null | sort | uniq #Find string password (no cs) in those directories
grep -a -R -o '[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}' /var/log/ 2>/dev/null | sort -u | uniq #IPs inside logs

손상된 호스트에 인터넷에서 액세스할 수 있는 웹 애플리케이션이 있는 경우 IP 주소 검색에서 해당 로그를 제외하는 것이 좋습니다. 인터넷의 리소스 사용자 주소는 우리에게 유용하지 않을 수 있지만 내부 네트워크의 주소(172.16.0.0/12, 192.168.0.0/16, 10.0.0.0/8) 및 이동 위치는 관심이 있을 수 있습니다.

수도

sudo 명령을 사용하면 사용자가 자신의 암호를 사용하거나 전혀 사용하지 않고 루트 컨텍스트에서 명령을 실행할 수 있습니다. Linux의 많은 작업에는 루트 권한이 필요하지만 루트로 실행하는 것은 매우 나쁜 습관으로 간주됩니다. 대신 루트 컨텍스트에서 명령을 실행하기 위해 선택적 권한을 적용하는 것이 좋습니다. 그러나 vi와 같은 표준 도구를 포함하여 많은 Linux 도구를 사용하여 합법적인 방법으로 권한을 에스컬레이션할 수 있습니다. 올바른 방법을 찾으려면 살펴 보는 것이 좋습니다 여기에.

시스템에 대한 액세스 권한을 얻은 후 가장 먼저 해야 할 일은 sudo -l 명령을 실행하는 것입니다. sudo 명령을 사용할 수 있는 권한이 표시됩니다. 비밀번호가 없는 사용자(예: apache 또는 www-data)를 얻은 경우 sudo 권한 에스컬레이션 벡터가 발생하지 않습니다. sudo를 사용할 때 시스템에서 암호를 묻습니다. 암호를 설정하기 위해 passwd 명령을 사용하는 것도 작동하지 않으며 현재 사용자 암호를 묻습니다. 그러나 sudo를 계속 사용할 수 있는 경우 실제로 다음을 찾아야 합니다.

모든 인터프리터, 누구나 쉘(PHP, Python, Perl)을 생성할 수 있습니다.
모든 텍스트 편집기(vim, vi, nano)
모든 시청자(더 적게, 더 많이);
파일 시스템(cp, mv) 작업 가능성;
bash에서 대화식으로 또는 실행 가능한 명령으로 출력되는 도구(awk, find, nmap, tcpdump, man, vi, vim, ansible).

수이드/SGID

모든 suid / sgid 명령을 빌드하도록 조언하는 많은 설명서가 인터넷에 있지만 드문 기사는 이러한 프로그램으로 수행할 작업에 대한 세부 정보를 제공합니다. 익스플로잇 사용을 고려하지 않은 권한 에스컬레이션 옵션을 찾을 수 있습니다. 여기에. 또한 다수의 실행 파일에는 OS 버전에 대한 특정 취약점이 있으며, 예를 들면.

이상적인 세상에서는 적어도 searchsploit을 통해 설치된 모든 패키지를 실행해야 합니다. 실제로 이것은 sudo와 같은 가장 인기 있는 프로그램을 사용하여 수행해야 합니다. 또한 권한 에스컬레이션 관점에서 흥미로운 suid/sgid 비트 세트가 있는 실행 파일을 강조 표시하는 자동화 도구의 개발을 사용하고 지원하는 옵션이기도 합니다. 기사의 해당 섹션에서 이러한 도구 목록을 제공하겠습니다.

루트 컨텍스트에서 Cron 또는 Init에 의해 실행되는 쓰기 가능한 스크립트

Cron 작업은 루트를 포함하여 다른 사용자의 컨텍스트에서 실행할 수 있습니다. cron에 실행 파일에 대한 링크가 있는 작업이 있고 사용자가 작성할 수 있는 작업이 있는 경우 이를 악의적인 작업으로 쉽게 교체하고 권한 에스컬레이션을 수행할 수 있습니다. 동시에 기본적으로 cron 작업이 있는 파일은 모든 사용자가 읽을 수 있습니다.

ls -la /etc/cron.d  # show cron jobs

init의 경우도 비슷합니다. 차이점은 cron의 작업은 주기적으로 실행되고 init에서는 시스템 시작 시에 실행된다는 것입니다. 작동하려면 시스템을 재부팅해야 하지만 일부 서비스는 작동하지 않을 수 있습니다(자동 로드에 등록되지 않은 경우).

ls -la /etc/init.d/  # show init scripts

모든 사용자가 쓸 수 있는 파일을 검색할 수도 있습니다.

find / -perm -2 -type f 2>/dev/null # find world writable files

이 방법은 잘 알려져 있으며 숙련된 시스템 관리자는 chmod 명령을 신중하게 사용합니다. 그러나 웹에서 대부분의 설명서는 최대 권한 설정에 대해 설명합니다. 미숙한 시스템 관리자의 "그냥 작동하게" 접근 방식은 원칙적으로 권한 상승의 기회를 만듭니다. 가능하면 chmod의 안전하지 않은 사용에 대해 명령 기록을 살펴보는 것이 가장 좋습니다.

chmod +w /path 
chmod 777 /path

다른 사용자를 위한 셸 액세스 권한 얻기

/etc/passwd에서 사용자 목록을 봅니다. 우리는 껍질을 가진 사람들에게 주목합니다. 이러한 사용자를 무차별 공격할 수 있습니다. 결과 사용자를 통해 결국 권한을 높일 수 있습니다.

보안을 강화하려면 항상 최소 권한 원칙을 준수하는 것이 좋습니다. 또한 문제 해결 후에도 남아 있을 수 있는 안전하지 않은 구성을 확인하는 데 시간을 투자하는 것이 좋습니다. 이는 시스템 관리자의 "기술적 의무"입니다.

자체 작성 코드

사용자 및 웹 서버의 홈 디렉토리(달리 지정하지 않는 한 /var/www/)에 있는 실행 파일을 자세히 살펴볼 가치가 있습니다. 이러한 파일은 완전히 안전하지 않은 솔루션으로 판명될 수 있으며 놀라운 목발을 포함할 수 있습니다. 물론 웹 서버 디렉토리에 어떤 프레임워크가 있다면 그 안에서 제로데이를 침투 테스트의 일부로 검색하는 것은 말이 되지 않지만 커스텀 수정, 플러그인 및 구성 요소를 찾아서 연구하는 것이 좋습니다.

보안을 강화하려면 가능한 경우 /etc/shadow 읽기 또는 id_rsa 조작과 같은 잠재적으로 위험한 기능뿐만 아니라 자체 작성 스크립트에서 자격 증명을 사용하지 않는 것이 좋습니다.

취약점 악용을 통한 권한 상승

악용을 통해 권한 상승을 시도하기 전에 다음을 이해하는 것이 중요합니다. 대상 호스트로 파일 전송. ssh, ftp, http(wget, curl)와 같은 일반적인 도구 외에도 전체 가능성의 "동물원".

시스템의 보안을 향상시키려면 정기적으로 최신 버전으로 업데이트하십시오. 안정적인 버전을 확인하고 엔터프라이즈용으로 설계된 배포판을 사용해 보십시오. 그렇지 않으면 드물지만 적절한 업그레이드로 인해 시스템을 사용할 수 없게 되는 상황이 있습니다.

루트 사용자의 컨텍스트에서 실행되는 서비스 악용

일부 Linux 서비스는 권한이 있는 사용자 루트로 실행됩니다. 그들은 ps aux | 그렙 루트. 이 경우 해당 서비스는 웹상에 공지되지 않고 로컬에서 제공될 수 있습니다. 공개 익스플로잇이 있는 경우 안전하게 사용할 수 있습니다. 장애 시 서비스 충돌은 OS 충돌보다 훨씬 덜 중요합니다.

ps -aux | grep root # Linux

가장 성공적인 사례는 루트 사용자의 컨텍스트에서 해킹된 서비스를 운영하는 것으로 간주할 수 있습니다. SMB 서비스를 작동하면 Windows 시스템에서 시스템에 권한 있는 액세스가 제공됩니다(예: ms17-010을 통해). 그러나 이것은 Linux 시스템에서는 일반적이지 않으므로 권한 에스컬레이션에 많은 시간을 할애할 수 있습니다.

Linux 커널 취약점 악용

이것이 마지막으로 가는 길입니다. 작업이 실패하면 시스템 충돌이 발생할 수 있으며 재부팅 시 일부 서비스(원래 셸을 얻을 수 있었던 서비스 포함)가 작동하지 않을 수 있습니다. 관리자가 단순히 systemctl enable 명령을 사용하는 것을 잊어버린 경우가 발생합니다. 또한 착취에 동의하지 않으면 귀하의 작업에 많은 불만이 생길 것입니다.
exploitdb의 소스를 사용하기로 결정한 경우 스크립트 시작 부분에 있는 주석을 읽어보십시오. 무엇보다도 일반적으로 이 익스플로잇을 올바르게 컴파일하는 방법에 대해 설명합니다. 너무 게으르거나 마감 시간 때문에 "어제"가 필요했다면 이미 컴파일된 익스플로잇이 있는 리포지토리를 찾을 수 있습니다. 예를 들면. 그러나이 경우 돼지가 찌르는 것을 이해해야합니다. 반면에 프로그래머가 컴퓨터가 작동하는 방식과 컴퓨터가 사용하는 소프트웨어를 바이트 단위까지 이해했다면 평생 코드 한 줄도 작성하지 않았을 것입니다.

cat /proc/version
uname -a
searchsploit "Linux Kernel"

메타 스플로 잇

연결을 포착하고 처리하려면 exploit/multi/handler 모듈을 사용하는 것이 항상 좋습니다. 가장 중요한 것은 올바른 페이로드(예: generic/shell/reverce_tcp 또는 generic/shell/bind_tcp)를 설정하는 것입니다. Metasploit에서 얻은 셸은 post/multi/manage/shell_to_meterpreter 모듈을 사용하여 Meterpreter로 업그레이드할 수 있습니다. Meterpreter를 사용하면 활용 후 프로세스를 자동화할 수 있습니다. 예를 들어, post/multi/recon/local_exploit_suggester 모듈은 플랫폼, 아키텍처 및 악용 가능한 엔터티를 확인하고 대상 시스템에서 권한 상승을 위한 Metasploit 모듈을 제안합니다. Meterpreter 덕분에 권한 상승은 때때로 올바른 모듈을 실행하는 것으로 귀결되지만 내부에서 무슨 일이 일어나고 있는지 이해하지 않고 해킹하는 것은 사실이 아닙니다(여전히 보고서를 작성해야 함).

도구

로컬 정보 수집을 자동화하는 도구를 사용하면 많은 노력과 시간을 절약할 수 있지만, 특히 커널 취약점을 악용하는 경우 그 자체로는 권한 상승 경로를 완전히 식별할 수 없습니다. 자동화 도구는 시스템에 대한 정보를 수집하는 데 필요한 모든 명령을 수행하지만 다음을 수행할 수 있는 것도 중요합니다. 분석하다 데이터를 받았습니다. 내 기사가 당신에게 유용하기를 바랍니다. 물론 아래에 나열한 것보다 더 많은 도구가 있지만 모두 거의 같은 작업을 수행합니다. 취향의 문제입니다.

출처 : habr.com

나는 루트입니다. Linux OS 권한 에스컬레이션 이해