Checklist - Linux Privilege Escalation

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Best tool to look for Linux local privilege escalation vectors: LinPEAS

Πληροφορίες Συστήματος

• Πάρε πληροφορίες OS
• Έλεγξε το PATH, υπάρχει φάκελος εγγράψιμος;
• Έλεγξε τις env variables, υπάρχουν ευαίσθητες πληροφορίες;
• Ψάξε για kernel exploits χρησιμοποιώντας scripts (DirtyCow?)
• Έλεγξε αν η έκδοση του sudo είναι ευάλωτη
• Dmesg υπογραφή επαλήθευσης απέτυχε
• Περισσότερη συστηματική καταγραφή (date, system stats, cpu info, printers)
• Καταγραφή πιθανών μηχανισμών άμυνας

Drives

• Κατάλογος mounted drives
• Κάποιο unmounted drive;
• Υπάρχουν κωδικοί στο fstab;

Installed Software

• Έλεγξε για χρήσιμο software εγκατεστημένο
• Έλεγξε για ευάλωτο software εγκατεστημένο

Processes

• Τρέχει κάποιο άγνωστο software;
• Τρέχει κάποιο software με περισσότερα προνόμια από ό,τι πρέπει;
• Ψάξε για exploits των τρεχόντων processes (ειδικά της έκδοσης που τρέχει).
• Μπορείς να τροποποιήσεις το binary κάποιου τρεχόντος process;
• Παρατήρησε processes και έλεγξε αν κάποιο ενδιαφέρον process τρέχει συχνά.
• Μπορείς να διαβάσεις κάποιο ενδιαφέρον μνήμης process (εκεί μπορεί να αποθηκεύονται passwords);

Scheduled/Cron jobs?

• Η PATH τροποποιείται από κάποιο cron και μπορείς να γράψεις σε αυτήν;
• Κάποιο cron job χρησιμοποιεί wildcard ;
• Κάποιο τροποποιήσιμο script εκτελείται ή βρίσκεται μέσα σε τροποποιήσιμο φάκελο;
• Έχεις εντοπίσει ότι κάποιο script εκτελείται πολύ συχνά? (κάθε 1, 2 ή 5 λεπτά)

Services

• Κάποιο .service αρχείο εγγράψιμο;
• Κάποιο binary εγγράψιμο που εκτελείται από service;
• Κάποιος εγγράψιμος φάκελος στο systemd PATH;
• Κάποιο writable systemd unit drop-in στο /etc/systemd/system/<unit>.d/*.conf που μπορεί να παρακάμψει ExecStart/User;

Timers

• Κάποιο writable timer;

Sockets

• Κάποιο εγγράψιμο .socket αρχείο;
• Μπορείς να επικοινωνήσεις με κάποιο socket;
• HTTP sockets με ενδιαφέρουσες πληροφορίες;

D-Bus

• Μπορείς να επικοινωνήσεις με κάποιο D-Bus;

Network

• Καταγραφή του δικτύου για να ξέρεις που βρίσκεσαι
• Άνοιξαν ports που δεν μπορούσες να προσεγγίσεις πριν αποκτήσεις shell στο μηχάνημα;
• Μπορείς να sniffάρεις traffic χρησιμοποιώντας tcpdump;

Users

• Γενική καταγραφή χρηστών/ομάδων
• Έχεις πολύ μεγάλο UID; Είναι το μηχάνημα ευάλωτο;
• Μπορείς να ανεβάσεις προνόμια χάρη σε ομάδα στην οποία ανήκεις;
• Δεδομένα Clipboard;
• Πολιτική Κωδικών;
• Δοκίμασε να χρησιμοποιήσεις κάθε γνωστό password που ανακάλυψες προηγουμένως για να συνδεθείς με κάθε πιθανό user. Δοκίμασε να συνδεθείς και χωρίς password.

Writable PATH

• Αν έχεις δικαιώματα εγγραφής σε κάποιο φάκελο του PATH ίσως μπορείς να ανεβάσεις προνόμια

SUDO and SUID commands

• Μπορείς να εκτελέσεις οποιαδήποτε εντολή με sudo; Μπορείς να το χρησιμοποιήσεις για ΝΑ ΔΙΑΒΑΣΕΙΣ, ΝΑ ΓΡΑΨΕΙΣ ή ΝΑ ΕΚΤΕΛΕΣΕΙΣ οτιδήποτε ως root; (GTFOBins)
• Αν sudo -l επιτρέπει sudoedit, έλεγξε για sudoedit argument injection (CVE-2023-22809) μέσω SUDO_EDITOR/VISUAL/EDITOR για επεξεργασία αυθαίρετων αρχείων σε ευάλωτες εκδόσεις (sudo -V < 1.9.12p2). Παράδειγμα: SUDO_EDITOR="vim -- /etc/sudoers" sudoedit /etc/hosts
• Υπάρχει κάποιο εκμεταλλεύσιμο SUID binary; (GTFOBins)
• Είναι οι sudo εντολές περιορισμένες από path; μπορείς να παρακάμψεις τους περιορισμούς?
• Sudo/SUID binary without path indicated?
• SUID binary specifying path? Bypass
• LD_PRELOAD vuln
• Έλλειψη .so βιβλιοθήκης σε SUID binary από έναν εγγράψιμο φάκελο;
• SUDO tokens διαθέσιμα? Μπορείς να δημιουργήσεις SUDO token?
• Μπορείς να διαβάσεις ή τροποποιήσεις τα sudoers αρχεία;
• Μπορείς να τροποποιήσεις /etc/ld.so.conf.d/;
• OpenBSD DOAS εντολή

Capabilities

• Έχει κάποιο binary αναπάντεχη capability;

ACLs

• Έχει κάποιο αρχείο αναπάντεχη ACL;

Open Shell sessions

• screen
• tmux

SSH

• Debian OpenSSL Predictable PRNG - CVE-2008-0166
• SSH Interesting configuration values

Interesting Files

• Profile files - Ανάγνωση ευαίσθητων δεδομένων; Εγγραφή για privesc;
• passwd/shadow files - Ανάγνωση ευαίσθητων δεδομένων; Εγγραφή για privesc;
• Έλεγξε συνήθως ενδιαφέροντες φακέλους για ευαίσθητα δεδομένα
• Περίεργες τοποθεσίες/αρχεία ιδιοκτησίας, μπορείς να έχεις πρόσβαση ή να αλλάξεις εκτελέσιμα αρχεία
• Τροποποιημένα τελευταία λεπτά
• Sqlite DB αρχεία
• Κρυφά αρχεία
• Script/Binaries στο PATH
• Web αρχεία (passwords;)
• Backups;
• Γνωστά αρχεία που περιέχουν passwords: Χρησιμοποίησε Linpeas και LaZagne
• Γενική αναζήτηση

Writable Files

• Τροποποιήσεις python library για εκτέλεση αυθαίρετων εντολών;
• Μπορείς να τροποποιήσεις αρχεία logs; Logtotten exploit
• Μπορείς να τροποποιήσεις /etc/sysconfig/network-scripts/; Centos/Redhat exploit
• Μπορείς να γράψεις σε ini, init.d, systemd ή rc.d αρχεία?

Other tricks

• Μπορείς να κακοποιήσεις NFS για ανύψωση προνομίων?
• Χρειάζεται να δραπετεύσεις από περιορισμένο shell?

References

• Sudo advisory: sudoedit arbitrary file edit
• Oracle Linux docs: systemd drop-in configuration

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.