Контрольний список - Linux Privilege Escalation

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
• Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.

Найкращий інструмент для пошуку векторів Linux local privilege escalation: LinPEAS

System Information

• Отримати OS information
• Перевірити PATH, чи є записувана папка?
• Перевірити env variables, чи є чутливі дані?
• Шукати kernel exploits за допомогою скриптів (DirtyCow?)
• Перевірити, чи є вразливість у версії sudo
• Dmesg signature verification failed
• Більше системної енумерації (date, system stats, cpu info, printers)
• Перелічити більше механізмів захисту

Drives

• Перелік змонтованих дисків
• Є незмонтований диск?
• Є креденшелли в fstab?

Installed Software

• Перевірити, чи встановлено корисне ПО
• Перевірити, чи встановлено вразливе ПО

Processes

• Чи запускається якесь невідоме ПО?
• Чи якесь ПО працює з більшими привілеями, ніж потрібно?
• Шукати експлойти для запущених процесів (особливо за версією).
• Чи можна змінити бінарник будь-якого запущеного процесу?
• Моніторити процеси і перевіряти, чи запускається якийсь цікавий процес часто.
• Чи можна прочитати пам’ять цікавого процесу (де можуть зберігатися паролі)?

Scheduled/Cron jobs?

• Чи змінюється PATH якимось cron і чи можете ви записувати в нього?
• Чи є wildcard у cron job?
• Чи виконується або знаходиться в записуваній папці якийсь змінюваний скрипт?
• Ви виявили, що якийсь скрипт може або виконується дуже часто? (кожну 1, 2 або 5 хвилин)

Services

• Є записуваний .service файл?
• Є записуваний бінарник, який виконується сервісом?
• Є записувана папка в systemd PATH?
• Є записуваний systemd unit drop-in в /etc/systemd/system/<unit>.d/*.conf, який може перевизначити ExecStart/User?

Timers

• Є записуваний timer?

Sockets

• Є записуваний .socket файл?
• Чи можете ви спілкуватися з якимось socket?
• HTTP sockets з цікавою інформацією?

D-Bus

• Чи можете ви спілкуватися з якимось D-Bus?

Network

• Енумерувати мережу, щоб знати, де ви
• Відкриті порти, до яких ви не мали доступу до того, як отримали shell на машині?
• Чи можете ви сніффити трафік за допомогою tcpdump?

Users

• Загальна енумерація користувачів/груп
• Чи у вас дуже великий UID? Чи вразлива машина?
• Чи можете ви ескалювати привілеї завдяки групі, до якої належите?
• Дані Clipboard?
• Політика паролів?
• Спробуйте використати кожен відомий пароль, який ви знайшли, щоб увійти під кожним можливим користувачем. Спробуйте також увійти без пароля.

Writable PATH

• Якщо у вас є права запису в якусь папку в PATH, ви можете підняти привілеї

SUDO and SUID commands

• Чи можете ви виконати якусь команду через sudo? Чи можна її використати для ЧИТАННЯ, ЗАПИСУ або ВИКОНАННЯ чогось як root? (GTFOBins)
• Якщо sudo -l дозволяє sudoedit, перевірте на sudoedit argument injection (CVE-2023-22809) через SUDO_EDITOR/VISUAL/EDITOR для редагування довільних файлів на вразливих версіях (sudo -V < 1.9.12p2). Приклад: SUDO_EDITOR="vim -- /etc/sudoers" sudoedit /etc/hosts
• Чи є якийсь експлуатований SUID бінарник? (GTFOBins)
• Чи обмежені sudo команди шляхом PATH? чи можна обійти обмеження?
• Sudo/SUID binary without path indicated?
• SUID binary specifying path? Обхід
• LD_PRELOAD vuln
• Відсутність .so бібліотеки в SUID бінарнику з папки, у яку можна записувати?
• Доступні SUDO токени? Чи можна створити SUDO токен?
• Чи можете ви прочитати або змінити sudoers файли?
• Чи можете ви змінити /etc/ld.so.conf.d/?
• OpenBSD DOAS команда

Capabilities

• Чи має якийсь бінарник неочікувану capability?

ACLs

• Чи має якийсь файл неочікуваний ACL?

Open Shell sessions

• screen
• tmux

SSH

• Debian OpenSSL Predictable PRNG - CVE-2008-0166
• SSH Interesting configuration values

Interesting Files

• Profile files - Читання чутливих даних? Запис для privesc?
• passwd/shadow files - Читання чутливих даних? Запис для privesc?
• Перевірити поширені цікаві папки на наявність чутливих даних
• Дивні розташування/власні файли, до яких ви можете мати доступ або змінювати виконувані файли
• Змінені за останні хвилини
• Sqlite DB files
• Приховані файли
• Скрипти/Бінарники в PATH
• Веб-файли (паролі?)
• Резервні копії?
• Відомі файли, що містять паролі: Використовуйте Linpeas і LaZagne
• Загальний пошук

Writable Files

• Змінити python бібліотеку для виконання довільних команд?
• Чи можна змінити лог-файли? Експлойт Logtotten
• Чи можна змінити /etc/sysconfig/network-scripts/? Експлойт для Centos/Redhat
• Чи можете ви записувати в ini, init.d, systemd або rc.d файли?

Other tricks

• Чи можна зловживати NFS для ескалації привілеїв?
• Чи потрібно вам втекти з обмеженого shell?

Посилання

• Sudo advisory: sudoedit arbitrary file edit
• Oracle Linux docs: systemd drop-in configuration

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
• Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.