hacktricks/linux-unix/privilege-escalation/apparmor.md

14 KiB
Raw Permalink Blame History

AWSハッキングをゼロからヒーローまで学ぶには htARTE (HackTricks AWS Red Team Expert)をチェック!

HackTricksをサポートする他の方法:

基本情報

AppArmorは、プログラム限定されたリソースセットに制限するためのカーネル拡張であり、プログラムごとのプロファイルを使用します。プロファイルは、ネットワークアクセス、生のソケットアクセス、および一致するパス上のファイルの読み取り、書き込み、実行の許可などの機能許可することができます。

これは、アクセス制御属性をユーザーではなくプログラムに結び付けるMandatory Access ControlまたはMACです。
AppArmorの制限は、通常はブート時にカーネルにロードされるプロファイルを介して提供されます。
AppArmorプロファイルは2つのモードのいずれかになります:

  • Enforcement: 実施モードでロードされたプロファイルは、プロファイルに定義されたポリシーの実施およびポリシー違反の試みの報告syslogまたはauditd経由をもたらします。
  • Complain: コンプレインモードのプロファイルはポリシーを実施せず、代わりにポリシー違反の試みを報告します。

AppArmorは、他のいくつかのLinux上のMACシステムとは異なりますそれはパスベースであり、実施とコンプレインモードのプロファイルを混在させることができ、開発を容易にするためのインクルードファイルを使用し、他の人気のあるMACシステムよりもはるかに低い参入障壁を持っています。

AppArmorの構成要素

  • カーネルモジュール: 実際の作業を行います
  • ポリシー: 振る舞いと制限を定義します
  • パーサー: カーネルにポリシーをロードします
  • ユーティリティ: apparmorと対話するユーザーモードのプログラム

プロファイルのパス

Apparmorプロファイルは通常 /etc/apparmor.d/ に保存されます。
sudo aa-status を使用すると、いくつかのプロファイルによって制限されているバイナリをリストすることができます。リストされた各バイナリのパスの文字 "/" をドットに変更すると、前述のフォルダ内のapparmorプロファイルの名前が得られます。

例えば、/usr/bin/manapparmor プロファイルは /etc/apparmor.d/usr.bin.man に位置しています。

コマンド

aa-status     #check the current status
aa-enforce    #set profile to enforce mode (from disable or complain)
aa-complain   #set profile to complain mode (from diable or enforcement)
apparmor_parser #to load/reload an altered policy
aa-genprof    #generate a new profile
aa-logprof    #used to change the policy when the binary/program is changed
aa-mergeprof  #used to merge the policies

プロファイルの作成

  • 影響を受ける実行可能ファイルを指定するために、絶対パスとワイルドカードが許可されています(ファイルのグロビング用)。
  • バイナリがファイルに対して持つアクセスを示すために、以下のアクセス制御が使用できます:
  • r(読み取り)
  • w(書き込み)
  • m(実行可能としてメモリマップ)
  • k(ファイルロック)
  • l(ハードリンクの作成)
  • ix(別のプログラムを実行し、新しいプログラムがポリシーを継承)
  • Px(環境をクリアした後、別のプロファイルで実行)
  • Cx(環境をクリアした後、子プロファイルで実行)
  • Ux(環境をクリアした後、制限なしで実行)
  • 変数はプロファイル内で定義でき、プロファイルの外から操作できます。例:@{PROC} と @{HOME}(プロファイルファイルに #include <tunables/global> を追加)
  • 許可ルールを上書きする拒否ルールがサポートされています

aa-genprof

AppArmorを使用すると、簡単にプロファイルの作成を開始できます。実行可能ファイルによって実行されるアクションをAppArmorが検査し、どのアクションを許可または拒否するかを決定できます
実行するだけです:

sudo aa-genprof /path/to/binary

次に、別のコンソールでバイナリが通常実行するすべてのアクションを実行します:

/path/to/binary -a dosomething

最初のコンソールで「s」を押し、記録されたアクションで無視するか、許可するか、その他の操作を指示します。終了したら「f」を押して、新しいプロファイルが /etc/apparmor.d/path.to.binary に作成されます。

{% hint style="info" %} 矢印キーを使用して、許可/拒否/その他の操作を選択できます。 {% endhint %}

aa-easyprof

また、以下のコマンドでバイナリのAppArmorプロファイルのテンプレートを作成することもできます

sudo aa-easyprof /path/to/binary
# vim:syntax=apparmor
# AppArmor policy for binary
# ###AUTHOR###
# ###COPYRIGHT###
# ###COMMENT###

#include <tunables/global>

# No template variables specified

"/path/to/binary" {
#include <abstractions/base>

# No abstractions specified

# No policy groups specified

# No read paths specified

# No write paths specified
}

{% hint style="info" %} デフォルトでは作成されたプロファイルでは何も許可されていないため、全てが拒否されます。たとえば、バイナリが /etc/passwd を読み取ることを許可するには、/etc/passwd r, のような行を追加する必要があります。 {% endhint %}

その後、新しいプロファイルを適用することができます。

sudo apparmor_parser -a /etc/apparmor.d/path.to.binary

ログからプロファイルを変更する

以下のツールはログを読み込み、検出された禁止されたアクションを許可するかどうかユーザーに尋ねます:

sudo aa-logprof

{% hint style="info" %} 矢印キーを使用して、許可/拒否/その他を選択できます {% endhint %}

プロファイルの管理

#Main profile management commands
apparmor_parser -a /etc/apparmor.d/profile.name #Load a new profile in enforce mode
apparmor_parser -C /etc/apparmor.d/profile.name #Load a new profile in complain mode
apparmor_parser -r /etc/apparmor.d/profile.name #Replace existing profile
apparmor_parser -R /etc/apparmor.d/profile.name #Remove profile

ログ

実行可能ファイル service_bin/var/log/audit/audit.log からの AUDITDENIED ログの例:

type=AVC msg=audit(1610061880.392:286): apparmor="AUDIT" operation="getattr" profile="/bin/rcat" name="/dev/pts/1" pid=954 comm="service_bin" requested_mask="r" fsuid=1000 ouid=1000
type=AVC msg=audit(1610061880.392:287): apparmor="DENIED" operation="open" profile="/bin/rcat" name="/etc/hosts" pid=954 comm="service_bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
あなたはこの情報を以下の使用でも取得できます:
sudo aa-notify -s 1 -v
Profile: /bin/service_bin
Operation: open
Name: /etc/passwd
Denied: r
Logfile: /var/log/audit/audit.log

Profile: /bin/service_bin
Operation: open
Name: /etc/hosts
Denied: r
Logfile: /var/log/audit/audit.log

AppArmor denials: 2 (since Wed Jan  6 23:51:08 2021)
For more information, please see: https://wiki.ubuntu.com/DebuggingApparmor

DockerのApparmor

デフォルトでdocker-profileのプロファイルがどのようにDockerによってロードされるかに注目してください

sudo aa-status
apparmor module is loaded.
50 profiles are loaded.
13 profiles are in enforce mode.
/sbin/dhclient
/usr/bin/lxc-start
/usr/lib/NetworkManager/nm-dhcp-client.action
/usr/lib/NetworkManager/nm-dhcp-helper
/usr/lib/chromium-browser/chromium-browser//browser_java
/usr/lib/chromium-browser/chromium-browser//browser_openjdk
/usr/lib/chromium-browser/chromium-browser//sanitized_helper
/usr/lib/connman/scripts/dhclient-script
docker-default

デフォルトでは、Apparmor docker-default profilehttps://github.com/moby/moby/tree/master/profiles/apparmor から生成されます。

docker-default profile の概要:

  • すべてのネットワーキングへのアクセス
  • No capability が定義されています (ただし、基本的な基本ルールを含むことでいくつかの機能が提供されます。例: #include <abstractions/base> )
  • 任意の /proc ファイルへの書き込み許可されていません
  • /proc および /sys の他のサブディレクトリ/ファイルは、読み取り/書き込み/ロック/リンク/実行アクセスが拒否されます
  • マウント許可されていません
  • Ptrace は、同じapparmorプロファイルによって制限されているプロセスでのみ実行できます

dockerコンテナを実行すると、以下の出力が表示されるはずです:

1 processes are in enforce mode.
docker-default (825)

注意: apparmorは、デフォルトでコンテナに付与されたcapabilities権限さえもブロックします。例えば、SYS_ADMIN capabilityが付与されていても、デフォルトのdocker apparmorプロファイルはこのアクセスを拒否するため、/proc内への書き込み権限をブロックすることができます

docker run -it --cap-add SYS_ADMIN --security-opt seccomp=unconfined ubuntu /bin/bash
echo "" > /proc/stat
sh: 1: cannot create /proc/stat: Permission denied

AppArmorを無効にする必要があります。これにより、その制限を回避できます:

docker run -it --cap-add SYS_ADMIN --security-opt seccomp=unconfined --security-opt apparmor=unconfined ubuntu /bin/bash

デフォルトでは、AppArmorSYS_ADMIN 権限があっても、コンテナ内部からフォルダをマウントすることを禁止します

Dockerコンテナに capabilities追加/削除 することができますが、これは AppArmorSeccomp などの保護方法によって制限されます:

  • --cap-add=SYS_ADMINSYS_ADMIN 権限を与えます
  • --cap-add=ALL はすべての権限を与えます
  • --cap-drop=ALL --cap-add=SYS_PTRACE はすべての権限を削除し、SYS_PTRACE のみを与えます

{% hint style="info" %} 通常、docker コンテナ内部特権権限が利用可能であることが分かったにも関わらず、エクスプロイトの一部が機能しない場合、それは docker apparmor が防止しているためです。 {% endhint %}

AppArmor Docker 脱出

コンテナが実行している apparmor プロファイル を以下の方法で確認できます:

docker inspect 9d622d73a614 | grep lowpriv
"AppArmorProfile": "lowpriv",
"apparmor=lowpriv"

次に、以下の行を実行して使用されている正確なプロファイルを見つけます

find /etc/apparmor.d/ -name "*lowpriv*" -maxdepth 1 2>/dev/null
変わったケースとして、**AppArmorのDockerプロファイルを変更して、再読み込みすることができます。** 制限を取り除き、それらを「バイパス」することができます。

<details>

<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をチェック!</strong></summary>

HackTricksをサポートする他の方法:

* **HackTricksにあなたの会社を広告したい場合**、または**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックしてください
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加するか**、[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローしてください。**
* **あなたのハッキングのコツを、** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のgithubリポジトリにPRを提出することで共有してください。

</details>