Lista di controllo - Linux Privilege Escalation

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

• Controlla i piani di abbonamento!
• Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
• Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.

Miglior strumento per cercare vettori locali di Linux privilege escalation: LinPEAS

System Information

• Ottieni OS information
• Controlla la PATH, c’è qualche cartella scrivibile?
• Controlla le env variables, ci sono dettagli sensibili?
• Cerca kernel exploits usando script (DirtyCow?)
• Verifica se la sudo version is vulnerable
• Dmesg signature verification failed
• Altra enum di sistema (date, system stats, cpu info, printers)
• Enumera altre difese possibili

Drives

• Elenca i drive montati
• Qualche drive non montato?
• Credenziali in fstab?

Installed Software

• Controlla se è installato del software utile
• Controlla se è installato del software vulnerabile

Processes

• C’è qualche software sconosciuto in esecuzione?
• C’è qualche software che gira con più privilegi del dovuto?
• Cerca exploit dei processi in esecuzione (specialmente per la versione in esecuzione).
• Puoi modificare il binario di qualche processo in esecuzione?
• Monitora i processi e verifica se qualche processo interessante gira frequentemente.
• Puoi leggere la memoria di qualche processo interessante (dove potrebbero essere salvate password)?

Scheduled/Cron jobs?

• Il PATH viene modificato da qualche cron e puoi scriverci?
• Qualche job cron usa un wildcard ?
• Qualche script modificabile viene eseguito o si trova dentro una cartella modificabile?
• Hai rilevato che qualche script potrebbe essere o viene eseguito molto frequentemente (ogni 1, 2 o 5 minuti)?

Services

• Qualche file .service scrivibile?
• Qualche binario scrivibile eseguito da un service?
• Qualche cartella scrivibile nel systemd PATH?
• Qualche systemd unit drop-in scrivibile in /etc/systemd/system/<unit>.d/*.conf che può sovrascrivere ExecStart/User?

Timers

• Qualche timer scrivibile?

Sockets

• Qualche file .socket scrivibile?
• Puoi comunicare con qualche socket?
• HTTP sockets con informazioni interessanti?

D-Bus

• Puoi comunicare con qualche D-Bus?

Network

• Enumera la rete per sapere dove ti trovi
• Porte aperte che non potevi raggiungere prima di ottenere una shell nella macchina?
• Puoi sniffare il traffico usando tcpdump?

Users

• Enumerazione generica di utenti/gruppi
• Hai un UID molto grande? La macchina è vulnerabile?
• Puoi escalare privilegi grazie a un gruppo a cui appartieni?
• Dati negli appunti (clipboard)?
• Politica delle password?
• Prova a usare ogni password conosciuta scoperta in precedenza per accedere con ciascun possibile utente. Prova anche a fare login senza password.

Writable PATH

• Se hai permessi di scrittura su qualche cartella in PATH potresti riuscire a escalare privilegi

SUDO and SUID commands

• Puoi eseguire qualche comando con sudo? Puoi usarlo per LEGGERE, SCRIVERE o ESEGUIRE qualcosa come root? (GTFOBins)
• Se sudo -l permette sudoedit, verifica la sudoedit argument injection (CVE-2023-22809) tramite SUDO_EDITOR/VISUAL/EDITOR per modificare file arbitrari su versioni vulnerabili (sudo -V < 1.9.12p2). Esempio: SUDO_EDITOR="vim -- /etc/sudoers" sudoedit /etc/hosts
• C’è qualche SUID binary sfruttabile? (GTFOBins)
• I comandi sudo sono limitati dal path? puoi bypassare le restrizioni?
• Sudo/SUID binary without path indicated?
• SUID binary specifying path? Bypass
• LD_PRELOAD vuln
• Mancanza di .so library in SUID binary da una cartella scrivibile?
• SUDO tokens available? Puoi creare un SUDO token?
• Puoi leggere o modificare i file sudoers?
• Puoi modificare /etc/ld.so.conf.d/?
• OpenBSD DOAS command

Capabilities

• Qualche binario ha capability inaspettate?

ACLs

• Qualche file ha ACL inaspettate?

Open Shell sessions

• screen
• tmux

SSH

• Debian OpenSSL Predictable PRNG - CVE-2008-0166
• SSH Interesting configuration values

Interesting Files

• Profile files - Leggi dati sensibili? Scrivere per privesc?
• passwd/shadow files - Leggi dati sensibili? Scrivere per privesc?
• Controlla cartelle comunemente interessanti per dati sensibili
• File in posizioni strane/posseduti, potresti avere accesso o poter alterare file eseguibili
• Modificati negli ultimi minuti
• File DB Sqlite
• File nascosti
• Script/Binari in PATH
• File web (password?)
• Backup?
• File noti che contengono password: usa Linpeas e LaZagne
• Ricerca generica

Writable Files

• Modificare una libreria python per eseguire comandi arbitrari?
• Puoi modificare i file di log? exploit Logtotten
• Puoi modificare /etc/sysconfig/network-scripts/? exploit Centos/Redhat
• Puoi scrivere in ini, init.d, systemd or rc.d files?

Other tricks

• Puoi abusare di NFS per scalare privilegi?
• Devi evadere da una shell restrittiva?

Riferimenti

• Sudo advisory: sudoedit arbitrary file edit
• Oracle Linux docs: systemd drop-in configuration

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

• Controlla i piani di abbonamento!
• Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
• Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.