Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/linux-hardening/privilege-escalation/euid-ruid-suid.md
Translator workflow 75e8745ba3 Translated to Hindi
2023-11-06 08:38:02 +00:00

199 lines
20 KiB
Markdown
Raw Blame History

# euid, ruid, suid
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* क्या आप किसी **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी कंपनी को **HackTricks में विज्ञापित** देखना चाहते हैं? या क्या आपको **PEASS की नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग** करने की आवश्यकता है? [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जांच करें!
* खोजें [**The PEASS Family**](https://opensea.io/collection/the-peass-family), हमारा विशेष संग्रह [**NFTs**](https://opensea.io/collection/the-peass-family)
* प्राप्त करें [**आधिकारिक PEASS & HackTricks swag**](https://peass.creator-spring.com)
* **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) में या मुझे **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)** का** **अनुसरण** करें।**
* **अपने हैकिंग ट्रिक्स को [hacktricks रेपो](https://github.com/carlospolop/hacktricks) और [hacktricks-cloud रेपो](https://github.com/carlospolop/hacktricks-cloud) में पीआर जमा करके साझा करें।**
</details>
**यह पोस्ट** [**https://0xdf.gitlab.io/2022/05/31/setuid-rabbithole.html#testing-on-jail**](https://0xdf.gitlab.io/2022/05/31/setuid-rabbithole.html#testing-on-jail) **से कॉपी की गई है**
## **`*uid`**
* **`ruid`**: यह प्रक्रिया का **वास्तविक उपयोगकर्ता आईडी** है जो प्रक्रिया को शुरू करता है।
* **`euid`**: यह **प्रभावी उपयोगकर्ता आईडी** है, जिसे प्रक्रिया के **प्रिविलेज का निर्धारण करने के लिए सिस्टम देखता है**। अधिकांश मामलों में, `euid` `ruid` के समान होगा, लेकिन SetUID बाइनरी इसका उदाहरण है जहां वे अलग होते हैं। जब एक **SetUID** बाइनरी शुरू होता है, तो **`euid` फ़ाइल के मालिक के लिए सेट होता है**, जिससे इन बाइनरी को कार्य करने की अनुमति मिलती है।
* `suid`: यह **सहेजी गई उपयोगकर्ता आईडी** है, जब एक विशेषाधिकारी प्रक्रिया (अधिकांश मामलों में रूट के रूप में चल रही होती है) को **प्रिविलेज को कम करने** के लिए चाहिए, लेकिन फिर **प्रिविलेज स्थिति में वापस आने** की आवश्यकता होती है।
{% hint style="info" %}
अगर एक **गैर-रूट प्रक्रिया** अपना **`euid` बदलना चाहती है**, तो वह केवल इसे **वर्तमान मानों** के रूप में **`ruid`**, **`euid`**, या **`suid`** में **सेट** कर सकती है।
{% endhint %}
## set\*uid
पहली नजर में, यह आसान है कि सिस्टम कॉल **`setuid`** `ruid` को सेट करेगा। वास्तव में, एक विशेषाधिकारी प्रक्रिया के लिए, यह करता है। लेकिन सामान्य मामले में, यह वास्तव में **`euid` को सेट करता है**। [मैन पेज](https://man7.org/linux/man-pages/man2/setuid.2.html) से:
> setuid() **कॉल करने वाली प्रक्रिया की प्रभावी उपयोगकर्ता आईडी सेट करता है**। यदि कॉल करने वाली प्रक्रिया विशेषाधिकारी है (अधिक निश्चित रूप से: यदि प्रक्रिया में CAP\_SETUID क्षमता है उसके उपयोगकर्ता नेमस्पेस में), तो वास्तविक UID और सहेजी गई सेट-उपयोगकर्ता-आईडी भी सेट हो जाती हैं।
इसलिए, जब आप `setuid(0)` के रूप में रूट के रूप में चल रहे होते हैं, तो यह सभी आईडी को रूट में सेट करता है, और
### **सिस्टम**
`सिस्टम` एक [पूरी तरह से अलग तरीके](https://man7.org/linux/man-pages/man3/system.3.html) से एक नया प्रक्रिया शुरू करने के लिए है। जहां `execve` एक ही प्रक्रिया के स्तर पर काम करता है, **`सिस्टम` `fork` का उपयोग करके एक बच्चा प्रक्रिया बनाता है** और फिर उस बच्चा प्रक्रिया में `execl` का उपयोग करके निष्पादित करता है:
> ```
> execl("/bin/sh", "sh", "-c", command, (char *) NULL);
> ```
`execl` केवल `execve` के चारों ओर एक लपेट है जो स्ट्रिंग तर्कों को `argv` एरे में रूपांतरित करता है और `execve` को बुलाता है। यह महत्वपूर्ण है कि **`सिस्टम` कमांड को बुलाने के लिए `श` का उपयोग करता है**।
### sh और bash SUID <a href="#sh-and-bash-suid" id="sh-and-bash-suid"></a>
**`बैश`** में एक **`-p विकल्प`** होता है, जिसे [मैन पेज](https://linux.die.net/man/1/bash) इस तरह से वर्णित करता है:
> _विशेषाधिकारित_ मोड को सक्षम करें। इस मोड में, **$ENV** और **$BASH\_ENV** फ़ाइलें प्रोसेस की स्थिति में नहीं होती हैं, शेल फ़ंक्शन वातानुकूलन से प्राप्त नहीं होती हैं, और यदि वे पर्याप्तता में हों, तो **SHELLOPTS**, **BASHOPTS**, **CDPATH**, और **GLOBIGNORE** चरित्रित करने वाले चरित्रों को अनदेखा कर दिया जाता है। यदि शेल वास्तविक उपयोगकर्ता (समूह) आईडी के समान नहीं होती है और **-p विकल्प नहीं दिया गया हो**, तो ये कार्रवाई ली जाती है और **प्रभावी उपयोगकर्ता आईडी को वास्तविक उपयोगकर्ता आईडी पर सेट किया जाता है**। यदि **-p** विकल्प **प्रारंभ में दिया जाता है**, तो **प्रभावी उपयोगकर्ता आईडी रीसेट नहीं होती है**। इस विकल्प को बंद करने से प्रभावी उपयोगकर्ता और समूह आईडी वास्तविक उपयोगकर्ता और समूह आईडी पर सेट किए जाते हैं।
संक्षेप में, `-p` के बिना, जब बैश चलाया जाता है, तो `euid` को `ruid` पर सेट किया जाता है। **`-p` इसे रोकता है**।
**`श`** शेल **इस तरह की कोई सुविधा नहीं है**। [मैन पेज](https://man7.org/linux/man-pages/man1/sh.1p.html) में "उपयोगकर्ता आईडी" के बारे में उल्लेख नहीं है, केवल `-i` विकल्प के साथ, जो कहता है:
> \-i यह निर्दिष्ट करें कि शेल इंटरैक्टिव है; नीचे देखें। यदि वास्तविक प्रक्रिया की वास्तविक उपयोगकर्ता आईडी वास्तविक उपयोगकर्ता आईडी के बराबर नहीं होती है या यदि वास्तविक समूह आईडी वास्तविक समूह आईडी के बराबर नहीं होती है, तो कॉल करने वाले प्रक्रिया के लिए -i विकल्प निर्दिष्ट करने को एक त्रुटि मान सकता है।
## परीक्षण
### setuid / system <a href="#setuid--system" id="setuid--system"></a>
इस पृष्ठभूमि के साथ, मैं इस कोड को ले और जेल (HTB) पर क्या होता है, उसे विवरण में देखूंगा:
```c
#define _GNU_SOURCE
#include <stdlib.h>
#include <unistd.h>
int main(void) {
setuid(1000);
system("id");
return 0;
}
```
यह प्रोग्राम NFS पर जेल में कंपाइल किया गया है और SetUID के रूप में सेट किया गया है:
```bash
oxdf@hacky$ gcc a.c -o /mnt/nfsshare/a;
...[snip]...
oxdf@hacky$ chmod 4755 /mnt/nfsshare/a
```
जब रूट के रूप में, मैं इस फ़ाइल को देख सकता हूँ:
```
[root@localhost nfsshare]# ls -l a
-rwsr-xr-x. 1 frank frank 16736 May 30 04:58 a
```
जब मैं इसे nobody के रूप में चलाता हूँ, `id` nobody के रूप में चलता है:
```bash
bash-4.2$ $ ./a
uid=99(nobody) gid=99(nobody) groups=99(nobody) context=system_u:system_r:unconfined_service_t:s0
```
यह प्रोग्राम `ruid` के साथ शुरू होता है जिसका मान 99 (कोई नहीं) है और `euid` के साथ जिसका मान 1000 (फ्रैंक) है। जब यह `setuid` कॉल तक पहुंचता है, तो उनी ही मानों को सेट किया जाता है।
फिर `system` कॉल होता है, और मैं 99 के `uid` को देखने की उम्मीद करूंगा, लेकिन एक `euid` के साथ भी 1000 को देखने की उम्मीद होगी। फिर एक नहीं होता है? समस्या यह है कि इस वितरण में **`sh` को `bash` से संकेतित किया जाता है**:
```
$ ls -l /bin/sh
lrwxrwxrwx. 1 root root 4 Jun 25 2017 /bin/sh -> bash
```
इसलिए `system` `/bin/sh sh -c id` को कॉल करता है, जो कि वास्तव में `/bin/bash bash -c id` है। जब `bash` को बिना `-p` के कॉल किया जाता है, तो यह 99 का `ruid` और 1000 का `euid` देखता है, और `euid` को 99 पर सेट कर देता है।
### setreuid / system <a href="#setreuid--system" id="setreuid--system"></a>
इस सिद्धांत को परीक्षण करने के लिए, मैं `setuid` को `setreuid` से बदलने की कोशिश करूंगा:
```c
#define _GNU_SOURCE
#include <stdlib.h>
#include <unistd.h>
int main(void) {
setreuid(1000, 1000);
system("id");
return 0;
}
```
कंपाइल और अनुमतियाँ:
```
oxdf@hacky$ gcc b.c -o /mnt/nfsshare/b; chmod 4755 /mnt/nfsshare/b
```
अब जेल में, अब `id` 1000 का uid लौटाता है:
```
bash-4.2$ $ ./b
uid=1000(frank) gid=99(nobody) groups=99(nobody) context=system_u:system_r:unconfined_service_t:s0
```
`setreuid` कॉल `ruid` और `euid` दोनों को 1000 पर सेट करता है, इसलिए जब `system` ने `bash` को कॉल किया, वे मिल गए और चीजें फ्रैंक के रूप में जारी रहीं।
### setuid / execve <a href="#setuid--execve" id="setuid--execve"></a>
यदि मेरा उपरोक्त समझ सही है, तो मुझे uids को गलत करने की चिंता नहीं करनी चाहिए, बल्कि `execve` को कॉल करना चाहिए, क्योंकि यह मौजूदा IDs को ले जाएगा। यह काम करेगा, लेकिन यहां छाप हैं। उदाहरण के लिए, सामान्य कोड इस तरह दिख सकता है:
```c
#define _GNU_SOURCE
#include <stdlib.h>
#include <unistd.h>
int main(void) {
setuid(1000);
execve("/usr/bin/id", NULL, NULL);
return 0;
}
```
यदि मैं पर्यावरण को छोड़ दूँ (सरलता के लिए मैं NULL पास कर रहा हूँ), तो मुझे `id` पर पूरा पथ चाहिए होगा। यह काम करता है, और मुझे वही मिलता है जो मैं उम्मीद कर रहा हूँ:
```
bash-4.2$ $ ./c
uid=99(nobody) gid=99(nobody) euid=1000(frank) groups=99(nobody) context=system_u:system_r:unconfined_service_t:s0
```
`[r]uid` 99 है, लेकिन `euid` 1000 है।
इससे शेल प्राप्त करने की कोशिश करने पर, मुझे सतर्क रहना होगा। उदाहरण के लिए, बस `bash` को कॉल करना:
```c
#define _GNU_SOURCE
#include <stdlib.h>
#include <unistd.h>
int main(void) {
setuid(1000);
execve("/bin/bash", NULL, NULL);
return 0;
}
```
मैं उसे कंपाइल करूंगा और इसे SetUID के रूप में सेट कर दूंगा:
```
oxdf@hacky$ gcc d.c -o /mnt/nfsshare/d
oxdf@hacky$ chmod 4755 /mnt/nfsshare/d
```
फिर भी, यह सभी को वापस नोबॉडी के रूप में लौटाएगा:
```
bash-4.2$ $ ./d
bash-4.2$ $ id
uid=99(nobody) gid=99(nobody) groups=99(nobody) context=system_u:system_r:unconfined_service_t:s0
```
यदि यह `setuid(0)` होता, तो यह ठीक काम करता (मान लें कि प्रक्रिया को उसे करने की अनुमति होती है), क्योंकि फिर यह तीनों आईडी को 0 पर बदल देता है। लेकिन एक गैर-रूट उपयोगकर्ता के रूप में, यह केवल `euid` को 1000 (जो पहले से ही था) सेट करता है, और फिर `sh` को कॉल करता है। लेकिन जेल पर `bash` `sh` होता है। और जब `bash` `ruid` 99 और `euid` 1000 के साथ शुरू होता है, तो यह `euid` को फिर से 99 पर छोड़ देगा।
इसे ठीक करने के लिए, मैं `bash -p` कॉल करूंगा:
```c
#define _GNU_SOURCE
#include <stdlib.h>
#include <unistd.h>
int main(void) {
char *const paramList[10] = {"/bin/bash", "-p", NULL};
setuid(1000);
execve(paramList[0], paramList, NULL);
return 0;
}
```
इस बार `euid` मौजूद है:
```
bash-4.2$ $ ./e
bash-4.2$ $ id
uid=99(nobody) gid=99(nobody) euid=1000(frank) groups=99(nobody) context=system_u:system_r:unconfined_service_t:s0
```
या मैं `setuid` के बजाय `setreuid` या `setresuid` को कॉल कर सकता हूँ।
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* क्या आप किसी **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी कंपनी को **HackTricks में विज्ञापित** देखना चाहते हैं? या क्या आपको **PEASS की नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग** करने की इच्छा है? [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जांच करें!
* खोजें [**The PEASS Family**](https://opensea.io/collection/the-peass-family), हमारा विशेष [**NFT**](https://opensea.io/collection/the-peass-family) संग्रह।
* प्राप्त करें [**आधिकारिक PEASS और HackTricks swag**](https://peass.creator-spring.com)
* **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या मुझे **ट्विटर** पर **फ़ॉलो** करें [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **अपने हैकिंग ट्रिक्स साझा करें, [hacktricks रेपो](https://github.com/carlospolop/hacktricks) और [hacktricks-cloud रेपो](https://github.com/carlospolop/hacktricks-cloud) में पीआर जमा करके।**
</details>
Reference in a new issue View git blame Copy permalink