Checklist - Linux Privilege Esccalation

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Revisa los planes de suscripción!
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

Mejor herramienta para buscar vectores de Linux local privilege escalation: LinPEAS

System Information

• Obtener información del OS
• Comprobar el PATH, ¿alguna carpeta escribible?
• Comprobar las env variables, ¿algún detalle sensible?
• Buscar kernel exploits usando scripts (DirtyCow?)
• Comprobar si la sudo version es vulnerable
• Dmesg signature verification failed
• Más enum de sistema (date, system stats, cpu info, printers)
• Enumerate more defenses

Drives

• List mounted drives
• ¿Alguna unidad no montada?
• ¿Alguna credencial en fstab?

Installed Software

• Comprobar si hay useful software instalado
• Comprobar si hay vulnerable software instalado

Processes

• ¿Hay algún software desconocido en ejecución?
• ¿Algún software corre con más privilegios de los que debería?
• Buscar exploits de procesos en ejecución (especialmente la versión que corre).
• ¿Puedes modificar el binario de algún proceso en ejecución?
• Monitorizar procesos y comprobar si algún proceso interesante se ejecuta con frecuencia.
• ¿Puedes leer parte de la memoria de procesos interesante (donde podrían estar guardadas contraseñas)?

Scheduled/Cron jobs?

• ¿El PATH está siendo modificado por algún cron y puedes escribir en él?
• ¿Algún wildcard en un cron job?
• ¿Algún script modificable está siendo ejecutado o está dentro de una carpeta modificable?
• ¿Has detectado que algún script podría estar siendo ejecutado muy frecuentemente? (cada 1, 2 o 5 minutos)

Services

• ¿Algún archivo .service escribible?
• ¿Algún binario escribible ejecutado por un service?
• ¿Alguna carpeta escribible en systemd PATH?
• ¿Algún systemd unit drop-in escribible en /etc/systemd/system/<unit>.d/*.conf que pueda sobrescribir ExecStart/User?

Timers

• ¿Algún timer escribible?

Sockets

• ¿Algún archivo .socket escribible?
• ¿Puedes comunicarte con algún socket?
• ¿HTTP sockets con información interesante?

D-Bus

• ¿Puedes comunicarte con algún D-Bus?

Network

• Enumerar la red para saber dónde estás
• ¿Puertos abiertos a los que no podías acceder antes de obtener shell dentro de la máquina?
• ¿Puedes sniffear tráfico usando tcpdump?

Users

• Enumeración genérica de usuarios/grupos
• ¿Tienes un UID muy grande? ¿La máquina es vulnerable?
• ¿Puedes escalar privilegios gracias a un grupo al que perteneces?
• ¿Datos del Clipboard?
• ¿Política de contraseñas?
• Intenta usar todas las contraseñas conocidas que hayas descubierto previamente para iniciar sesión con cada posible usuario. Intenta iniciar sesión también sin contraseña.

Writable PATH

• Si tienes privilegios de escritura sobre alguna carpeta en PATH podrías ser capaz de escalar privilegios

SUDO and SUID commands

• ¿Puedes ejecutar algún comando con sudo? ¿Puedes usarlo para READ, WRITE o EXECUTE cualquier cosa como root? (GTFOBins)
• Si sudo -l permite sudoedit, comprobar sudoedit argument injection (CVE-2023-22809) vía SUDO_EDITOR/VISUAL/EDITOR para editar ficheros arbitrarios en versiones vulnerables (sudo -V < 1.9.12p2). Ejemplo: SUDO_EDITOR="vim -- /etc/sudoers" sudoedit /etc/hosts
• ¿Algún binario SUID explotable? (GTFOBins)
• ¿Están los comandos sudo limitados por path? puedes burlar las restricciones?
• Sudo/SUID binary without path indicated?
• SUID binary specifying path? Bypass
• LD_PRELOAD vuln
• Lack of .so library in SUID binary desde una carpeta escribible?
• SUDO tokens available? Can you create a SUDO token?
• ¿Puedes leer o modificar archivos sudoers?
• ¿Puedes modificar /etc/ld.so.conf.d/?
• OpenBSD DOAS command

Capabilities

• ¿Algún binario tiene alguna capabilidad inesperada?

ACLs

• ¿Algún archivo tiene alguna ACL inesperada?

Open Shell sessions

• screen
• tmux

SSH

• Debian OpenSSL Predictable PRNG - CVE-2008-0166
• SSH Interesting configuration values

Interesting Files

• Profile files - ¿Leer datos sensibles? ¿Escribir para privesc?
• passwd/shadow files - ¿Leer datos sensibles? ¿Escribir para privesc?
• Comprobar carpetas comúnmente interesantes en busca de datos sensibles
• Ubicaciones raras/archivos owned, podrías tener acceso o alterar archivos ejecutables
• Modificados en los últimos minutos
• Sqlite DB files
• Archivos ocultos
• Script/Binaries en PATH
• Archivos web (¿contraseñas?)
• Backups?
• Ficheros conocidos que contienen contraseñas: Usa Linpeas y LaZagne
• Búsqueda genérica

Writable Files

• ¿Modificar librería de python para ejecutar comandos arbitrarios?
• ¿Puedes modificar archivos de logs? exploit Logtotten
• ¿Puedes modificar /etc/sysconfig/network-scripts/? exploit Centos/Redhat
• ¿Puedes escribir en ini, init.d, systemd or rc.d files?

Other tricks

• ¿Puedes abusar de NFS para escalar privilegios?
• ¿Necesitas escapar de un shell restrictivo?

Referencias

• Sudo advisory: sudoedit arbitrary file edit
• Oracle Linux docs: systemd drop-in configuration

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Revisa los planes de suscripción!
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.