Lista kontrolna - Linux Privilege Escalation

Tip

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Ucz się i ćwicz Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Wsparcie dla HackTricks

• Sprawdź plany subskrypcyjne!
• Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
• Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na githubie.

Najlepsze narzędzie do wyszukiwania lokalnych wektorów eskalacji uprawnień w Linux: LinPEAS

Informacje o systemie

• Uzyskaj informacje o OS
• Sprawdź PATH, czy jest jakiś folder z prawem zapisu?
• Sprawdź zmienne env, czy zawierają poufne informacje?
• Wyszukaj eksploity jądra używając skryptów (DirtyCow?)
• Sprawdź, czy wersja sudo jest podatna
• Dmesg signature verification failed
• Dalsza enumeracja systemu (date, system stats, cpu info, printers)
• Wykryj dodatkowe mechanizmy obronne

Dyski

• Wyświetl zamontowane dyski
• Jakiś odmontowany dysk?
• Jakieś poświadczenia w fstab?

Zainstalowane oprogramowanie

• Sprawdź, czy jest zainstalowane przydatne oprogramowanie
• Sprawdź, czy jest zainstalowane podatne oprogramowanie

Procesy

• Czy jakieś nieznane oprogramowanie działa?
• Czy jakieś oprogramowanie działa z większymi uprawnieniami niż powinno?
• Szukaj eksploitów uruchomionych procesów (zwłaszcza dla uruchomionej wersji).
• Czy możesz zmodyfikować binarkę jakiegokolwiek uruchomionego procesu?
• Monitoruj procesy i sprawdź, czy jakiś interesujący proces uruchamia się często.
• Czy możesz odczytać pamięć procesu (gdzie mogą być zapisane hasła)?

Zadania cykliczne/Cron?

• Czy PATH jest modyfikowany przez jakiś cron i możesz w nim zapisać?
• Jakiś wildcard w zadaniu cron?
• Jakiś modyfikowalny skrypt jest wykonywany lub znajduje się w modyfikowalnym folderze?
• Czy wykryłeś, że jakiś skrypt może być lub jest wykonywany bardzo często? (co 1, 2 lub 5 minut)

Usługi

• Jakiś pliku .service z prawem zapisu?
• Jakiś binarny plik wykonywany przez usługę z prawem zapisu?
• Jakiś modyfikowalny folder w systemd PATH?
• Jakiś wpis drop-in systemd w /etc/systemd/system/<unit>.d/*.conf który może nadpisać ExecStart/User?

Timery

• Jakiś timer z prawem zapisu?

Gniazda (Sockets)

• Jakiś plik .socket z prawem zapisu?
• Możesz komunikować się z jakimkolwiek socketem?
• HTTP sockets z interesującymi informacjami?

D-Bus

• Możesz komunikować się z jakimkolwiek D-Bus?

Sieć

• Enumeruj sieć, aby wiedzieć, gdzie jesteś
• Otwarte porty, do których nie miałeś dostępu przed uzyskaniem shella na maszynie?
• Czy możesz podsłuchiwać ruch używając tcpdump?

Użytkownicy

• Ogólna enumeracja użytkowników/grup
• Czy masz bardzo duże UID? Czy maszyna jest podatna?
• Czy możesz eskalować uprawnienia dzięki grupie, do której należysz?
• Dane ze schowka (Clipboard)?
• Polityka haseł?
• Spróbuj użyć każdego znanego hasła, które odkryłeś wcześniej, aby zalogować się każdym możliwym użytkownikiem. Spróbuj także zalogować się bez hasła.

Zapisywalny PATH

• Jeśli masz prawo zapisu do jakiegoś folderu w PATH możesz być w stanie eskalować uprawnienia

SUDO i polecenia SUID

• Czy możesz wykonać jakieś polecenie przez sudo? Czy możesz go użyć do ODCZYTU, ZAPISU lub WYKONANIA czegokolwiek jako root? (GTFOBins)
• Jeśli sudo -l pozwala na sudoedit, sprawdź podatność na sudoedit argument injection (CVE-2023-22809) przez SUDO_EDITOR/VISUAL/EDITOR aby edytować dowolne pliki na podatnych wersjach (sudo -V < 1.9.12p2). Przykład: SUDO_EDITOR="vim -- /etc/sudoers" sudoedit /etc/hosts
• Czy jest jakiś eksploatowalny binarny plik SUID? (GTFOBins)
• Czy polecenia sudo są ograniczone przez path? czy możesz obejść ograniczenia?
• Polecenie Sudo/SUID bez wskazanej ścieżki?
• SUID binary ze wskazaną ścieżką? Obejście
• LD_PRELOAD vuln
• Brak biblioteki .so w binarce SUID z folderu z prawem zapisu?
• Dostępne tokeny SUDO? Czy możesz utworzyć token SUDO?
• Czy możesz odczytać lub zmodyfikować pliki sudoers?
• Czy możesz zmodyfikować /etc/ld.so.conf.d/?
• OpenBSD DOAS command

Capabilities

• Czy jakiś binarny plik ma nieoczekiwaną capability?

ACLs

• Czy jakiś plik ma nieoczekiwany ACL?

Otwarte sesje shell

• screen
• tmux

SSH

• Debian OpenSSL Predictable PRNG - CVE-2008-0166
• Interesujące wartości konfiguracji SSH

Interesujące pliki

• Pliki profilu - Odczyt poufnych danych? Zapis do privesc?
• passwd/shadow - Odczyt poufnych danych? Zapis do privesc?
• Sprawdź powszechnie interesujące foldery pod kątem poufnych danych
• Dziwne lokalizacje/własność plików, możesz mieć dostęp do lub modyfikować pliki wykonywalne
• Zmodyfikowane w ostatnich minutach
• Pliki Sqlite DB
• Ukryte pliki
• Skrypty/Binarki w PATH
• Pliki webowe (hasła?)
• Kopie zapasowe?
• Znane pliki zawierające hasła: użyj Linpeas i LaZagne
• Ogólne przeszukiwanie

Pliki z prawem zapisu

• Zmodyfikować bibliotekę python aby wykonać dowolne polecenia?
• Czy możesz modyfikować pliki logów? exploit Logrotten
• Czy możesz modyfikować /etc/sysconfig/network-scripts/? exploit Centos/Redhat
• Czy możesz zapisać w ini, init.d, systemd lub rc.d plikach?

Inne triki

• Czy możesz nadużyć NFS do eskalacji uprawnień?
• Czy musisz uciec z restrykcyjnej powłoki?

Referencje

• Sudo advisory: sudoedit arbitrary file edit
• Oracle Linux docs: systemd drop-in configuration

Tip

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Ucz się i ćwicz Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Wsparcie dla HackTricks

• Sprawdź plany subskrypcyjne!
• Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
• Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na githubie.