• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Эскалация привилегий в linux

ss0xffff

ss0xffff

One Level
27.01.2024
7
4
BIT
155
Относительно недавно нашел сайт gtfobins, где приведены последовательности команд в терминале, делающие текущего пользователя root-ом. Вот к примеру для zip:
--------------------------------------------------------
TF=$(mktemp -u)
sudo zip $TF /etc/hosts -T -TT 'sh #'
sudo rm $TF
--------------------------------------------------------
В отдельности я в целом понимаю что делает каждая команда, но неясно как именно это дает пользователю root права. Также непонятно зачем архивировать /etc/hosts - это ведь файл для сетевой настройки (что-то вроде локальной dns таблицы, если я верно понимаю), как он связан с эскалацией привилегий. А также не понимаю что значит 'sh #' - в конце второй строки?
 
Сортировать по дате Сортировать по голосам
Кстати да , буквально вчера смотрел видео на HackTheBox , где чувак искал флаг , но для этого ему нужно было рутануть систему. Долго он мучился)) Смотрел без звука , ржал долго , как он 20 раз пытался гидру запустить , все подставлялись лишние строки у него , думал сейчас видео вырубит с психу) В итоге в конце он тоже на gtfobins зашел и ввел эти строки , получил рута по текущим пользователем и смог прочитать файл суперадмина , где был флаг. Как команда дает рута , не совсем понял..
 
За 0 Против
Если по порядку, то
- присваивается TF временное имя файла
- выполняется создание архива с временным именем, засовывая туда /etc/hosts и тестируется архив (-T), выполняя код системы (-TT == --unzip-command)
- удаляется созданный архив с временным именем
В общем вся соль в -TT, который должен быть с -T, а вместо /etc/hosts может быть любой доступный на чтение файл.

Полезно иногда читать
Ссылка скрыта от гостей
по командам когда есть подобные вопросы или man 1 zip
 
За 0 Против
ss0xffff сказал(а):
В отдельности я в целом понимаю что делает каждая команда, но неясно как именно это дает пользователю root права. Также непонятно зачем архивировать /etc/hosts - это ведь файл для сетевой настройки (что-то вроде локальной dns таблицы, если я верно понимаю), как он связан с эскалацией привилегий. А также не понимаю что значит 'sh #' - в конце второй строки?
Нажмите, чтобы раскрыть...
Правильно, файл host выступает в "роли" DNS-сервера и сопоставления IP-адресов доменным именам. Отсюда следует, что доступ к нему д.б. строго ограничен, ведь это дает возможность перенаправлять на фишинг. Копирование host - это один из этапов подготовки к транспортировке. Я полагаю, что для редактирования. Тактика мне понятна, а вот реализация - не совсем. Давай порассуждаем, но с точки зрения защиты:
Код: 
sudo zip $TF /etc/hosts -T -TT
это команда, архивирующая файл host с использованием архиватора zip. Код mktemp -u создает временный файл, который в конце удаляется с помощью sudo rm. Использование sudo с переменными (как в данном случае) представляет риск безопасности, чем и пользуются.
sh # применено, возможно, для создания комментария к файлу внутри архива и именно это, сугубо для zip-архивации, применяется обычно для создания угрозы атакуемому. Вернемся к первой строчке.
  • -T указывает, что список файлов для упаковки должен быть прочитан из файла, а не задан в комстроке напрямую.
  • -TT задает имя файла, из которого нужно прочитать список файлов для архивирования. Замечу, что эта опция позволяет выполнять команды пользовательского ввода. И, если файл /etc/hosts сжимается с исполнением команды sh, то разрешается исполнение кода.
Код можно внедрять.
Если целью автора был фишинг, то на видео показано не все. (я его не смотрел). И, если ориентировка была на перехват ROOT, возможно, пропущен способ первичного внедрения.
 
За 0 Против
Remir сказал(а):
Правильно, файл host выступает в "роли" DNS-сервера и сопоставления IP-адресов доменным именам. Отсюда следует, что доступ к нему д.б. строго ограничен, ведь это дает возможность перенаправлять на фишинг. Копирование host - это один из этапов подготовки к транспортировке. Я полагаю, что для редактирования. Тактика мне понятна, а вот реализация - не совсем. Давай порассуждаем, но с точки зрения защиты:
Код: 
sudo zip $TF /etc/hosts -T -TT
это команда, архивирующая файл host с использованием архиватора zip. Код mktemp -u создает временный файл, который в конце удаляется с помощью sudo rm. Использование sudo с переменными (как в данном случае) представляет риск безопасности, чем и пользуются.
sh # применено, возможно, для создания комментария к файлу внутри архива и именно это, сугубо для zip-архивации, применяется обычно для создания угрозы атакуемому. Вернемся к первой строчке.
  • -T указывает, что список файлов для упаковки должен быть прочитан из файла, а не задан в комстроке напрямую.
  • -TT задает имя файла, из которого нужно прочитать список файлов для архивирования. Замечу, что эта опция позволяет выполнять команды пользовательского ввода. И, если файл /etc/hosts сжимается с исполнением команды sh, то разрешается исполнение кода.
Код можно внедрять.
Если целью автора был фишинг, то на видео показано не все. (я его не смотрел). И, если ориентировка была на перехват ROOT, возможно, пропущен способ первичного внедрения.
Нажмите, чтобы раскрыть...
Не пойму, это троллинг или что. Есть команда man zip, в которой все написано
Bash: 
       -T
       --test
              Test the integrity of the new zip file. If the check fails, the old zip file is unchanged and (with the -m option) no input files are removed.

       -TT cmd
       --unzip-command cmd
              Use command cmd instead of 'unzip -tqq' to test an archive when the -T option is used.

Ну и из man mktemp до кучи. Она ничего не создает, а просто придумывает случайное имя, которое в дальнейшем использует zip
Bash: 
       -u, --dry-run
              do not create anything; merely print a name (unsafe)

Какой фишинг, о чем речь, это команда для повышения привилегий, когда у пользователя есть права без пароля с помощью sudo запустить zip
 
За 0 Против
ss0xffff сказал(а):
Относительно недавно нашел сайт gtfobins, где приведены последовательности команд в терминале, делающие текущего пользователя root-ом. Вот к примеру для zip:
--------------------------------------------------------
TF=$(mktemp -u)
sudo zip $TF /etc/hosts -T -TT 'sh #'
sudo rm $TF
--------------------------------------------------------
В отдельности я в целом понимаю что делает каждая команда, но неясно как именно это дает пользователю root права. Также непонятно зачем архивировать /etc/hosts - это ведь файл для сетевой настройки (что-то вроде локальной dns таблицы, если я верно понимаю), как он связан с эскалацией привилегий. А также не понимаю что значит 'sh #' - в конце второй строки?
Нажмите, чтобы раскрыть...
-TT 'sh #' в этом все дело, что тут устроили :)
 
За 0 Против
M0r7iF3r сказал(а):
Не пойму, это троллинг или что. Есть команда man zip, в которой все написано
Нажмите, чтобы раскрыть...
Троллинг, как известно, - это провокационные действия для разжигания конфликта. В чем здесь разжигается конфликт? Тут лишь рассуждения. А разве man zip не те же яйца, только вид сбоку?
M0r7iF3r сказал(а):
Ну и из man mktemp до кучи. Она ничего не создает, а просто придумывает случайное имя, которое в дальнейшем использует zip
Bash: 
       -u, --dry-run
              do not create anything; merely print a name (unsafe)
Нажмите, чтобы раскрыть...
пропустил словосочетание "и последующий sudo" . Полагал, что и так понятно.
M0r7iF3r сказал(а):
Какой фишинг, о чем речь, это команда для повышения привилегий, когда у пользователя есть права без пароля с помощью sudo запустить zip
Нажмите, чтобы раскрыть...
Можно сделать и фишинг, прописав в hosts заранее подготовленное расположение и экспорт его на место. Разве нет? Я рассуждал, исходя из указанных данных, потому упомянул и фишинг.
 
Последнее редактирование:
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ