Checklist - Linux Privilege Escalation

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

• Vérifiez les plans d’abonnement !
• Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.

Meilleur outil pour rechercher des vecteurs de Linux local privilege escalation : LinPEAS

System Information

• Obtenir informations sur l’OS
• Vérifier le PATH, y a-t-il un dossier inscriptible ?
• Vérifier env variables, des détails sensibles ?
• Search for kernel exploits using scripts (DirtyCow?)
• Vérifier si la sudo version is vulnerable
• Dmesg signature verification failed
• Plus d’énumération système (date, system stats, cpu info, printers)
• Enumerate more defenses

Drives

• Lister les disques montés
• Un disque non monté ?
• Des identifiants dans fstab ?

Installed Software

• Vérifier la présence de useful software installé
• Vérifier la présence de vulnerable software installé

Processes

• Y a-t-il un logiciel inconnu en cours d’exécution ?
• Un logiciel s’exécute-t-il avec plus de privilèges que nécessaire ?
• Rechercher des exploits des processus en cours (surtout la version exécutée).
• Pouvez-vous modifier le binaire d’un processus en cours ?
• Surveiller les processus et vérifier si un processus intéressant s’exécute fréquemment.
• Pouvez-vous lire la mémoire d’un processus intéressante (où des mots de passe pourraient être stockés) ?

Scheduled/Cron jobs?

• Le PATH est-il modifié par un cron et pouvez-vous y écrire ?
• Un wildcard dans un cron ?
• Un modifiable script est-il exécuté ou est-il dans un dossier modifiable ?
• Avez-vous détecté que certains script pourraient être ou sont executed very frequently ? (toutes les 1, 2 ou 5 minutes)

Services

• Un fichier .service inscriptible ?
• Un binaire inscriptible exécuté par un service ?
• Un dossier inscriptible dans systemd PATH ?
• Un writable systemd unit drop-in dans /etc/systemd/system/<unit>.d/*.conf qui peut override ExecStart/User ?

Timers

• Un writable timer ?

Sockets

• Un fichier .socket inscriptible ?
• Pouvez-vous communiquer avec un socket ?
• HTTP sockets avec des infos intéressantes ?

D-Bus

• Pouvez-vous communiquer avec un D-Bus ?

Network

• Énumérer le réseau pour savoir où vous êtes
• Des ports ouverts auxquels vous n’aviez pas accès avant d’obtenir un shell dans la machine ?
• Pouvez-vous sniffer le trafic en utilisant tcpdump ?

Users

• Énumération générique des utilisateurs/groupes
• Avez-vous un UID très élevé ? La machine est-elle vulnérable ?
• Pouvez-vous escalate privileges thanks to a group dont vous faites partie ?
• Données du clipboard ?
• Politique de mots de passe ?
• Essayez d’utiliser chaque mot de passe connu que vous avez découvert précédemment pour vous connecter avec chaque utilisateur possible. Essayez aussi de vous connecter sans mot de passe.

Writable PATH

• Si vous avez des droits d’écriture sur un dossier dans PATH vous pouvez être capable d’escalate privileges

SUDO and SUID commands

• Pouvez-vous exécuter n’importe quelle commande avec sudo ? Pouvez-vous l’utiliser pour LIRE, ÉCRIRE ou EXÉCUTER quoi que ce soit en tant que root ? (GTFOBins)
• Si sudo -l autorise sudoedit, vérifiez la sudoedit argument injection (CVE-2023-22809) via SUDO_EDITOR/VISUAL/EDITOR pour éditer des fichiers arbitraires sur les versions vulnérables (sudo -V < 1.9.12p2). Exemple: SUDO_EDITOR="vim -- /etc/sudoers" sudoedit /etc/hosts
• Y a-t-il un binaire SUID exploitable ? (GTFOBins)
• Are sudo commands limited by path? can you bypass the restrictions?
• Sudo/SUID binary without path indicated?
• SUID binary specifying path? Contournement
• LD_PRELOAD vuln
• Lack of .so library in SUID binary depuis un dossier inscriptible ?
• SUDO tokens available? Can you create a SUDO token?
• Pouvez-vous read or modify sudoers files ?
• Pouvez-vous modify /etc/ld.so.conf.d/ ?
• OpenBSD DOAS command

Capabilities

• Un binaire a-t-il une capabilité inattendue ?

ACLs

• Un fichier a-t-il une ACL inattendue ?

Open Shell sessions

• screen
• tmux

SSH

• Debian OpenSSL Predictable PRNG - CVE-2008-0166
• SSH Interesting configuration values

Interesting Files

• Profile files - Lire des données sensibles ? Écrire pour privesc ?
• passwd/shadow files - Lire des données sensibles ? Écrire pour privesc ?
• Vérifier les dossiers couramment intéressants pour des données sensibles
• Weird Location/Owned files, vous pourriez avoir accès ou modifier des fichiers exécutables
• Modifié dans les dernières minutes
• Sqlite DB files
• Hidden files
• Script/Binaries in PATH
• Web files (mots de passe ?)
• Backups ?
• Known files that contains passwords: Use Linpeas and LaZagne
• Generic search

Writable Files

• Modifier une bibliothèque python pour exécuter des commandes arbitraires ?
• Pouvez-vous modifier des fichiers de log ? exploit Logtotten
• Pouvez-vous modifier /etc/sysconfig/network-scripts/ ? exploit Centos/Redhat
• Pouvez-vous write in ini, int.d, systemd or rc.d files ?

Other tricks

• Pouvez-vous abuse NFS to escalate privileges ?
• Avez-vous besoin de escape from a restrictive shell ?

Références

• Sudo advisory: sudoedit arbitrary file edit
• Oracle Linux docs: systemd drop-in configuration

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

• Vérifiez les plans d’abonnement !
• Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.