hacktricks/linux-unix/privilege-escalation/interesting-groups-linux-pe.md

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}

Sudo/Admin Groepe

PE - Metode 1

Soms, per standaard (of omdat sommige sagteware dit benodig) binne die /etc/sudoers lêer kan jy sommige van hierdie lyne vind:

# Allow members of group sudo to execute any command
%sudo	ALL=(ALL:ALL) ALL

# Allow members of group admin to execute any command
%admin 	ALL=(ALL:ALL) ALL

Dit beteken dat enige gebruiker wat tot die groep sudo of admin behoort, enigiets as sudo kan uitvoer.

As dit die geval is, om root te word kan jy net uitvoer:

sudo su

PE - Metode 2

Vind alle suid binaire en kyk of daar die binaire Pkexec is:

find / -perm -4000 2>/dev/null

As jy vind dat die binêre pkexec 'n SUID-binêre is en jy behoort tot sudo of admin, kan jy waarskynlik binêre uitvoer as sudo met behulp van pkexec.
Kontroleer die inhoud van:

cat /etc/polkit-1/localauthority.conf.d/*

Daar sal jy vind watter groepe toegelaat word om pkexec uit te voer en per standaard kan sommige van die groepe sudo of admin verskyn.

Om root te word kan jy uitvoer:

pkexec "/bin/sh" #You will be prompted for your user password

As jy probeer om pkexec uit te voer en jy kry hierdie error:

polkit-agent-helper-1: error response to PolicyKit daemon: GDBus.Error:org.freedesktop.PolicyKit1.Error.Failed: No session for cookie
==== AUTHENTICATION FAILED ===
Error executing command as another user: Not authorized

Dit is nie omdat jy nie toestemmings het nie, maar omdat jy nie sonder 'n GUI gekonnekteer is nie. En daar is 'n oplossing vir hierdie probleem hier: https://github.com/NixOS/nixpkgs/issues/18012#issuecomment-335350903. Jy het 2 verskillende ssh-sessies nodig:

{% code title="session1" %}

echo $$ #Step1: Get current PID
pkexec "/bin/bash" #Step 3, execute pkexec
#Step 5, if correctly authenticate, you will have a root session

{% endcode %}

{% code title="sessie2" %}

pkttyagent --process <PID of session1> #Step 2, attach pkttyagent to session1
#Step 4, you will be asked in this session to authenticate to pkexec

{% endcode %}

Wielgroep

Soms, per standaard binne die /etc/sudoers lêer kan jy hierdie lyn vind:

%wheel	ALL=(ALL:ALL) ALL

Dit beteken dat enige gebruiker wat tot die groep wheel behoort, enigiets as sudo kan uitvoer.

As dit die geval is, om root te word kan jy net uitvoer:

sudo su

Shadow Groep

Gebruikers van die groep shadow kan lees die /etc/shadow lêer:

-rw-r----- 1 root shadow 1824 Apr 26 19:10 /etc/shadow

So, lees die lêer en probeer om sommige hashes te kraak.

Skyf Groep

Hierdie voorreg is byna gelyk aan worteltoegang aangesien jy toegang het tot al die data binne die masjien.

Lêers:/dev/sd[a-z][1-9]

debugfs /dev/sda1
debugfs: cd /root
debugfs: ls
debugfs: cat /root/.ssh/id_rsa
debugfs: cat /etc/shadow

Let wel dat jy met debugfs ook lêers kan skryf. Byvoorbeeld, om /tmp/asd1.txt na /tmp/asd2.txt te kopieer, kan jy doen:

debugfs -w /dev/sda1
debugfs:  dump /tmp/asd1.txt /tmp/asd2.txt

However, if you try to write files owned by root like `/etc/shadow` or `/etc/passwd` you will have a "Toegang geweier" error.

Video Groep

Using the command w you can find who is logged on the system and it will show an output like the following one:

USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
yossi    tty1                      22:16    5:13m  0.05s  0.04s -bash
moshe    pts/1    10.10.14.44      02:53   24:07   0.06s  0.06s /bin/bash

Die tty1 beteken dat die gebruiker yossi fisies ingelog is op 'n terminal op die masjien.

Die video-groep het toegang om die skermuitset te sien. Basies kan jy die skerms observeer. Om dit te doen, moet jy die huidige beeld op die skerm in rou data gryp en die resolusie wat die skerm gebruik, kry. Die skermdata kan gestoor word in /dev/fb0 en jy kan die resolusie van hierdie skerm op /sys/class/graphics/fb0/virtual_size vind.

cat /dev/fb0 > /tmp/screen.raw
cat /sys/class/graphics/fb0/virtual_size

Om die rauwe beeld te open, kan jy GIMP gebruik, kies die screen.raw lêer en kies as lêertipe Raw image data:

Verander dan die Breedte en Hoogte na diegene wat op die skerm gebruik word en kyk na verskillende Beeldtipes en kies die een wat die skerm beter wys:

Root Groep

Dit lyk of lede van die root groep standaard toegang kan hê om te wysig sommige diens konfigurasielêers of sommige biblioteek lêers of ander interessante dinge wat gebruik kan word om voorregte te verhoog...

Kontroleer watter lêers root lede kan wysig:

find / -group root -perm -g=w 2>/dev/null

Docker Groep

Jy kan die wortel lêersisteem van die gasheer masjien aan 'n instansie se volume monteer, sodat wanneer die instansie begin, dit onmiddellik 'n chroot in daardie volume laai. Dit gee jou effektief wortel op die masjien.

{% embed url="https://github.com/KrustyHack/docker-privilege-escalation" %}

{% embed url="https://fosterelli.co/privilege-escalation-via-docker.html" %}

lxc/lxd Groep

lxc - Privilege Escalation

{% hint style="success" %} Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

{% endhint %}