Checkliste - Linux Privilege Escalation

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

Bestes Tool, um Linux local privilege escalation Vektoren zu finden: LinPEAS

System Information

• Ermittle OS-Informationen
• Überprüfe den PATH, gibt es einen beschreibbaren Ordner?
• Überprüfe env variables, gibt es sensible Details?
• Suche nach kernel exploits mittels Skripten (DirtyCow?)
• Prüfe, ob die sudo version is vulnerable
• Dmesg signature verification failed
• Weitere System-Enumeration (date, system stats, cpu info, printers)
• Enumerate more defenses

Drives

• Gemountete Laufwerke auflisten
• Gibt es nicht gemountete Laufwerke?
• Gibt es Zugangsdaten in fstab?

Installed Software

• Prüfe, ob useful software installiert ist
• Prüfe, ob vulnerable software installiert ist

Processes

• Läuft irgendwelche unbekannte Software?
• Läuft Software mit mehr Rechten als sie haben sollte?
• Suche nach Exploits für laufende Prozesse (insbesondere für die aktuell verwendete Version).
• Kannst du das Binary eines laufenden Prozesses ändern?
• Prozesse überwachen und prüfen, ob ein interessanter Prozess häufig läuft.
• Kannst du interessanten Prozessspeicher lesen (wo Passwörter gespeichert sein könnten)?

Scheduled/Cron jobs?

• Wird der PATH von einem cron geändert und kannst du darin schreiben?
• Irgendein wildcard in einem Cron-Job?
• Wird ein modifiable script ausgeführt oder befindet es sich in einem änderbaren Ordner?
• Hast du erkannt, dass ein Script executed very frequently? (alle 1, 2 oder 5 Minuten)

Services

• Gibt es eine beschreibbare .service-Datei?
• Gibt es ein beschreibbares Binary, das von einem Service ausgeführt wird?
• Gibt es einen beschreibbaren Ordner im systemd PATH?
• Gibt es eine beschreibbare systemd unit drop-in in /etc/systemd/system/<unit>.d/*.conf, die ExecStart/User überschreiben kann?

Timers

• Gibt es einen beschreibbaren Timer?

Sockets

• Gibt es eine beschreibbare .socket-Datei?
• Kannst du mit einem Socket kommunizieren?
• HTTP sockets mit interessanten Informationen?

D-Bus

• Kannst du mit einem D-Bus kommunizieren?

Network

• Netzwerke untersuchen, um zu wissen, wo du dich befindest
• Offene Ports, auf die du vor dem Shell-Zugang keinen Zugriff hattest?
• Kannst du den Traffic mit tcpdump sniffen?

Users

• Generelle Benutzer-/Gruppen-Enumeration
• Hast du eine sehr große UID? Ist die Maschine vulnerable?
• Kannst du escalate privileges thanks to a group, der du angehörst?
• Clipboard data?
• Password Policy?
• Versuche, jedes bekannte Passwort, das du zuvor gefunden hast, zu verwenden, um dich mit jedem möglichen User anzumelden. Versuche auch ohne Passwort anzumelden.

Writable PATH

• If you have write privileges over some folder in PATH you may be able to escalate privileges

SUDO and SUID commands

• Kannst du beliebige Befehle mit sudo ausführen? Kannst du es nutzen, um als root irgendetwas zu LESEN, SCHREIBEN oder AUSZUFÜHREN? (GTFOBins)
• Wenn sudo -l sudoedit erlaubt, prüfe auf sudoedit argument injection (CVE-2023-22809) via SUDO_EDITOR/VISUAL/EDITOR um beliebige Dateien auf verwundbaren Versionen (sudo -V < 1.9.12p2) zu bearbeiten. Beispiel: SUDO_EDITOR="vim -- /etc/sudoers" sudoedit /etc/hosts
• Gibt es ein ausnutzbares SUID-Binary? (GTFOBins)
• Are sudo commands limited by path? can you bypass the restrictions?
• Sudo/SUID binary without path indicated?
• SUID binary specifying path? Bypass
• LD_PRELOAD vuln
• Lack of .so library in SUID binary von einem beschreibbaren Ordner?
• SUDO tokens available? Can you create a SUDO token?
• Kannst du read or modify sudoers files?
• Kannst du modify /etc/ld.so.conf.d/?
• OpenBSD DOAS Befehl

Capabilities

• Hat irgendein Binary eine unerwartete capability?

ACLs

• Hat irgendeine Datei eine unerwartete ACL?

Open Shell sessions

• screen
• tmux

SSH

• Debian OpenSSL Predictable PRNG - CVE-2008-0166
• SSH Interesting configuration values

Interesting Files

• Profile files - Sensible Daten lesen? Zum privesc schreiben?
• passwd/shadow files - Sensible Daten lesen? Zum privesc schreiben?
• Check commonly interesting folders for sensitive data
• Weird Location/Owned files, du könntest Zugriff auf sie haben oder ausführbare Dateien verändern
• Modified in last mins
• Sqlite DB files
• Hidden files
• Script/Binaries in PATH
• Web files (passwords?)
• Backups?
• Known files that contains passwords: Use Linpeas and LaZagne
• Generic search

Writable Files

• Modify python library to execute arbitrary commands?
• Kannst du Logdateien verändern? Logtotten exploit
• Kannst du /etc/sysconfig/network-scripts/ verändern? Centos/Redhat exploit
• Kannst du write in ini, int.d, systemd or rc.d files?

Other tricks

• Kannst du abuse NFS to escalate privileges?
• Musst du escape from a restrictive shell?

Referenzen

• Sudo advisory: sudoedit arbitrary file edit
• Oracle Linux docs: systemd drop-in configuration

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.