Checklist - Linux Privilege Escalation

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

• Confira os planos de assinatura!
• Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
• Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.

Melhor ferramenta para procurar vetores locais de Linux privilege escalation: LinPEAS

System Information

• Obter informações do OS
• Verificar o PATH, existe alguma pasta gravável?
• Verificar env variables, algum detalhe sensível?
• Procurar por kernel exploits usando scripts (DirtyCow?)
• Verificar se a sudo version is vulnerable
• Dmesg signature verification failed
• Mais enumeração do sistema (date, system stats, cpu info, printers)
• Enumerate more defenses

Drives

• Listar drives montados
• Alguma unidade não montada?
• Alguma credencial em fstab?

Installed Software

• Verificar se há useful software instalado
• Verificar se há vulnerable software instalado

Processes

• Há algum software desconhecido em execução?
• Algum software está em execução com mais privilégios do que deveria?
• Procurar por exploits de processos em execução (especialmente a versão em execução).
• Consegue modificar o binário de algum processo em execução?
• Monitorar processos e verificar se algum processo interessante está sendo executado frequentemente.
• Consegue ler alguma memória de processo interessante (onde senhas podem estar armazenadas)?

Scheduled/Cron jobs?

• O PATH está sendo modificado por algum cron e você pode escrever nele?
• Algum wildcard em um cron job?
• Algum modifiable script está sendo executado ou está dentro de uma pasta modificável?
• Você detectou que algum script poderia estar sendo executed very frequently? (a cada 1, 2 ou 5 minutos)

Services

• Algum arquivo .service gravável?
• Algum binário gravável executado por um serviço?
• Alguma pasta gravável no PATH do systemd?
• Algum drop-in de unidade systemd gravável em /etc/systemd/system/<unit>.d/*.conf que possa sobrescrever ExecStart/User?

Timers

• Algum timer gravável?

Sockets

• Algum arquivo .socket gravável?
• Consegue comunicar com algum socket?
• HTTP sockets com informações interessantes?

D-Bus

• Consegue comunicar-se com algum D-Bus?

Network

• Enumerar a rede para saber onde você está
• Portas abertas que você não conseguia acessar antes de obter um shell na máquina?
• Consegue sniff traffic usando tcpdump?

Users

• Enumeração genérica de usuários/grupos
• Você tem um UID muito grande? A máquina é vulnerável?
• Consegue escalate privileges thanks to a group do qual você faz parte?
• Dados da Clipboard?
• Política de senhas?
• Tente usar cada senha conhecida que você descobriu anteriormente para fazer login com cada possível usuário. Tente também fazer login sem senha.

Writable PATH

• Se você tem privilégios de escrita sobre alguma pasta no PATH você pode ser capaz de escalar privilégios

SUDO and SUID commands

• Consegue executar qualquer comando com sudo? Consegue usá-lo para LER, ESCREVER ou EXECUTAR qualquer coisa como root? (GTFOBins)
• Se sudo -l permite sudoedit, verifique por sudoedit argument injection (CVE-2023-22809) via SUDO_EDITOR/VISUAL/EDITOR para editar arquivos arbitrários em versões vulneráveis (sudo -V < 1.9.12p2). Exemplo: SUDO_EDITOR="vim -- /etc/sudoers" sudoedit /etc/hosts
• Existe algum binário SUID explorável? (GTFOBins)
• Are sudo commands limited by path? can you bypass the restrictions?
• Sudo/SUID binary without path indicated?
• SUID binary specifying path? Bypass
• LD_PRELOAD vuln
• Lack of .so library in SUID binary a partir de uma pasta gravável?
• SUDO tokens available? Can you create a SUDO token?
• Consegue read or modify sudoers files?
• Consegue modify /etc/ld.so.conf.d/?
• Comando OpenBSD DOAS

Capabilities

• Algum binário possui alguma capability inesperada?

ACLs

• Algum arquivo possui alguma ACL inesperada?

Open Shell sessions

• screen
• tmux

SSH

• Debian OpenSSL Predictable PRNG - CVE-2008-0166
• SSH Interesting configuration values

Interesting Files

• Profile files - Ler dados sensíveis? Escrever para privesc?
• passwd/shadow files - Ler dados sensíveis? Escrever para privesc?
• Check commonly interesting folders para dados sensíveis
• Weird Location/Owned files, você pode ter acesso ou alterar arquivos executáveis
• Modified in last mins
• Sqlite DB files
• Hidden files
• Script/Binaries in PATH
• Web files (passwords?)
• Backups?
• Known files that contains passwords: Use Linpeas and LaZagne
• Generic search

Writable Files

• Modificar biblioteca python para executar comandos arbitrários?
• Consegue modificar arquivos de log? Exploit Logtotten
• Consegue modificar /etc/sysconfig/network-scripts/? Exploit Centos/Redhat
• Consegue write in ini, int.d, systemd or rc.d files?

Other tricks

• Consegue abuse NFS to escalate privileges?
• Precisa escape from a restrictive shell?

Referências

• Sudo advisory: sudoedit arbitrary file edit
• Oracle Linux docs: systemd drop-in configuration

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

• Confira os planos de assinatura!
• Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
• Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.