<summary><strong>Aprenda hacking AWS do zero ao herói com</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
Se você descobrir que o binário **pkexec é um binário SUID** e você pertence ao grupo **sudo** ou **admin**, provavelmente poderá executar binários como sudo usando `pkexec`.\
Isso ocorre porque normalmente esses são os grupos dentro da **política polkit**. Essa política basicamente identifica quais grupos podem usar `pkexec`. Verifique com:
Aqui você encontrará quais grupos têm permissão para executar **pkexec** e **por padrão** em algumas distribuições Linux os grupos **sudo** e **admin** aparecem.
**Não é porque você não tem permissões, mas sim porque você não está conectado sem uma GUI**. E há uma solução alternativa para esse problema aqui: [https://github.com/NixOS/nixpkgs/issues/18012#issuecomment-335350903](https://github.com/NixOS/nixpkgs/issues/18012#issuecomment-335350903). Você precisa de **2 sessões ssh diferentes**:
**staff**: Permite aos usuários adicionar modificações locais ao sistema (`/usr/local`) sem precisar de privilégios de root (observe que os executáveis em `/usr/local/bin` estão no caminho de qualquer usuário e podem "substituir" os executáveis em `/bin` e `/usr/bin` com o mesmo nome). Compare com o grupo "adm", que está mais relacionado à monitorização/segurança. [\[fonte\]](https://wiki.debian.org/SystemGroups)
Nas distribuições debian, a variável `$PATH` mostra que `/usr/local/` será executado com a maior prioridade, quer seja um usuário privilegiado ou não.
Sequestrar o programa `run-parts` é uma maneira fácil de obter acesso de root, porque a maioria dos programas executará um `run-parts` (como crontab, quando o login ssh).
No entanto, se você tentar **escrever arquivos de propriedade do root** (como `/etc/shadow` ou `/etc/passwd`) você receberá um erro de "**Permissão negada**".
O grupo **video** tem acesso para visualizar a saída da tela. Basicamente, você pode observar as telas. Para fazer isso, você precisa **capturar a imagem atual na tela** em dados brutos e obter a resolução que a tela está usando. Os dados da tela podem ser salvos em `/dev/fb0` e você pode encontrar a resolução desta tela em `/sys/class/graphics/fb0/virtual_size`.
Para **abrir** a **imagem bruta**, você pode usar o **GIMP**, selecionar o arquivo \*\*`screen.raw` \*\* e selecionar como tipo de arquivo **Dados de imagem bruta**:
Em seguida, modifique a Largura e Altura para as usadas na tela e verifique os diferentes Tipos de Imagem (e selecione aquele que mostra melhor a tela):
Parece que por padrão **membros do grupo root** podem ter acesso para **modificar** alguns arquivos de configuração de **serviços** ou alguns arquivos de **bibliotecas** ou **outras coisas interessantes** que poderiam ser usadas para escalar privilégios...
Você pode **montar o sistema de arquivos raiz da máquina hospedeira em um volume da instância**, para que, quando a instância iniciar, ela carregue imediatamente um `chroot` nesse volume. Isso efetivamente lhe dá acesso root na máquina.
Geralmente, **membros** do grupo **`adm`** têm permissão para **ler arquivos de log** localizados dentro de _/var/log/_. Portanto, se você comprometeu um usuário dentro deste grupo, definitivamente deve dar uma **olhada nos logs**.
Dentro do OpenBSD, o grupo **auth** geralmente pode escrever nas pastas _**/etc/skey**_ e _**/var/db/yubikey**_ se forem usadas. Essas permissões podem ser abusadas com o seguinte exploit para **escalar privilégios** para root: [https://raw.githubusercontent.com/bcoles/local-exploits/master/CVE-2019-19520/openbsd-authroot](https://raw.githubusercontent.com/bcoles/local-exploits/master/CVE-2019-19520/openbsd-authroot)