14 KiB
AWSハッキングをゼロからヒーローまで学ぶには htARTE (HackTricks AWS Red Team Expert)をチェック!
HackTricksをサポートする他の方法:
- HackTricksにあなたの会社を広告したい場合やHackTricksをPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください。
- 公式PEASS & HackTricksグッズを入手する
- The PEASS Familyを発見し、独占的なNFTsのコレクションをチェックする
- 💬 Discordグループやテレグラムグループに参加するか、Twitter 🐦 @carlospolopmをフォローする。
- HackTricksとHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する。
基本情報
AppArmorは、プログラムを限定されたリソースセットに制限するためのカーネル拡張であり、プログラムごとのプロファイルを使用します。プロファイルは、ネットワークアクセス、生のソケットアクセス、および一致するパス上のファイルの読み取り、書き込み、実行の許可などの機能を許可することができます。
これは、アクセス制御属性をユーザーではなくプログラムに結び付けるMandatory Access ControlまたはMACです。
AppArmorの制限は、通常はブート時にカーネルにロードされるプロファイルを介して提供されます。
AppArmorプロファイルは2つのモードのいずれかになります:
- Enforcement: 実施モードでロードされたプロファイルは、プロファイルに定義されたポリシーの実施およびポリシー違反の試みの報告(syslogまたはauditd経由)をもたらします。
- Complain: コンプレインモードのプロファイルはポリシーを実施せず、代わりにポリシー違反の試みを報告します。
AppArmorは、他のいくつかのLinux上のMACシステムとは異なります:それはパスベースであり、実施とコンプレインモードのプロファイルを混在させることができ、開発を容易にするためのインクルードファイルを使用し、他の人気のあるMACシステムよりもはるかに低い参入障壁を持っています。
AppArmorの構成要素
- カーネルモジュール: 実際の作業を行います
- ポリシー: 振る舞いと制限を定義します
- パーサー: カーネルにポリシーをロードします
- ユーティリティ: apparmorと対話するユーザーモードのプログラム
プロファイルのパス
Apparmorプロファイルは通常 /etc/apparmor.d/ に保存されます。
sudo aa-status を使用すると、いくつかのプロファイルによって制限されているバイナリをリストすることができます。リストされた各バイナリのパスの文字 "/" をドットに変更すると、前述のフォルダ内のapparmorプロファイルの名前が得られます。
例えば、/usr/bin/man の apparmor プロファイルは /etc/apparmor.d/usr.bin.man に位置しています。
コマンド
aa-status #check the current status
aa-enforce #set profile to enforce mode (from disable or complain)
aa-complain #set profile to complain mode (from diable or enforcement)
apparmor_parser #to load/reload an altered policy
aa-genprof #generate a new profile
aa-logprof #used to change the policy when the binary/program is changed
aa-mergeprof #used to merge the policies
プロファイルの作成
- 影響を受ける実行可能ファイルを指定するために、絶対パスとワイルドカードが許可されています(ファイルのグロビング用)。
- バイナリがファイルに対して持つアクセスを示すために、以下のアクセス制御が使用できます:
- r(読み取り)
- w(書き込み)
- m(実行可能としてメモリマップ)
- k(ファイルロック)
- l(ハードリンクの作成)
- ix(別のプログラムを実行し、新しいプログラムがポリシーを継承)
- Px(環境をクリアした後、別のプロファイルで実行)
- Cx(環境をクリアした後、子プロファイルで実行)
- Ux(環境をクリアした後、制限なしで実行)
- 変数はプロファイル内で定義でき、プロファイルの外から操作できます。例:@{PROC} と @{HOME}(プロファイルファイルに #include <tunables/global> を追加)
- 許可ルールを上書きする拒否ルールがサポートされています。
aa-genprof
AppArmorを使用すると、簡単にプロファイルの作成を開始できます。実行可能ファイルによって実行されるアクションをAppArmorが検査し、どのアクションを許可または拒否するかを決定できます。
実行するだけです:
sudo aa-genprof /path/to/binary
次に、別のコンソールでバイナリが通常実行するすべてのアクションを実行します:
/path/to/binary -a dosomething
最初のコンソールで「s」を押し、記録されたアクションで無視するか、許可するか、その他の操作を指示します。終了したら「f」を押して、新しいプロファイルが /etc/apparmor.d/path.to.binary に作成されます。
{% hint style="info" %} 矢印キーを使用して、許可/拒否/その他の操作を選択できます。 {% endhint %}
aa-easyprof
また、以下のコマンドでバイナリのAppArmorプロファイルのテンプレートを作成することもできます:
sudo aa-easyprof /path/to/binary
# vim:syntax=apparmor
# AppArmor policy for binary
# ###AUTHOR###
# ###COPYRIGHT###
# ###COMMENT###
#include <tunables/global>
# No template variables specified
"/path/to/binary" {
#include <abstractions/base>
# No abstractions specified
# No policy groups specified
# No read paths specified
# No write paths specified
}
{% hint style="info" %}
デフォルトでは作成されたプロファイルでは何も許可されていないため、全てが拒否されます。たとえば、バイナリが /etc/passwd を読み取ることを許可するには、/etc/passwd r, のような行を追加する必要があります。
{% endhint %}
その後、新しいプロファイルを適用することができます。
sudo apparmor_parser -a /etc/apparmor.d/path.to.binary
ログからプロファイルを変更する
以下のツールはログを読み込み、検出された禁止されたアクションを許可するかどうかユーザーに尋ねます:
sudo aa-logprof
{% hint style="info" %} 矢印キーを使用して、許可/拒否/その他を選択できます {% endhint %}
プロファイルの管理
#Main profile management commands
apparmor_parser -a /etc/apparmor.d/profile.name #Load a new profile in enforce mode
apparmor_parser -C /etc/apparmor.d/profile.name #Load a new profile in complain mode
apparmor_parser -r /etc/apparmor.d/profile.name #Replace existing profile
apparmor_parser -R /etc/apparmor.d/profile.name #Remove profile
ログ
実行可能ファイル service_bin の /var/log/audit/audit.log からの AUDIT と DENIED ログの例:
type=AVC msg=audit(1610061880.392:286): apparmor="AUDIT" operation="getattr" profile="/bin/rcat" name="/dev/pts/1" pid=954 comm="service_bin" requested_mask="r" fsuid=1000 ouid=1000
type=AVC msg=audit(1610061880.392:287): apparmor="DENIED" operation="open" profile="/bin/rcat" name="/etc/hosts" pid=954 comm="service_bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
あなたはこの情報を以下の使用でも取得できます:
sudo aa-notify -s 1 -v
Profile: /bin/service_bin
Operation: open
Name: /etc/passwd
Denied: r
Logfile: /var/log/audit/audit.log
Profile: /bin/service_bin
Operation: open
Name: /etc/hosts
Denied: r
Logfile: /var/log/audit/audit.log
AppArmor denials: 2 (since Wed Jan 6 23:51:08 2021)
For more information, please see: https://wiki.ubuntu.com/DebuggingApparmor
DockerのApparmor
デフォルトでdocker-profileのプロファイルがどのようにDockerによってロードされるかに注目してください:
sudo aa-status
apparmor module is loaded.
50 profiles are loaded.
13 profiles are in enforce mode.
/sbin/dhclient
/usr/bin/lxc-start
/usr/lib/NetworkManager/nm-dhcp-client.action
/usr/lib/NetworkManager/nm-dhcp-helper
/usr/lib/chromium-browser/chromium-browser//browser_java
/usr/lib/chromium-browser/chromium-browser//browser_openjdk
/usr/lib/chromium-browser/chromium-browser//sanitized_helper
/usr/lib/connman/scripts/dhclient-script
docker-default
デフォルトでは、Apparmor docker-default profile は https://github.com/moby/moby/tree/master/profiles/apparmor から生成されます。
docker-default profile の概要:
- すべてのネットワーキングへのアクセス
- No capability が定義されています (ただし、基本的な基本ルールを含むことでいくつかの機能が提供されます。例: #include <abstractions/base> )
- 任意の /proc ファイルへの書き込みは許可されていません
- /proc および /sys の他のサブディレクトリ/ファイルは、読み取り/書き込み/ロック/リンク/実行アクセスが拒否されます
- マウントは許可されていません
- Ptrace は、同じapparmorプロファイルによって制限されているプロセスでのみ実行できます
dockerコンテナを実行すると、以下の出力が表示されるはずです:
1 processes are in enforce mode.
docker-default (825)
注意: apparmorは、デフォルトでコンテナに付与されたcapabilities権限さえもブロックします。例えば、SYS_ADMIN capabilityが付与されていても、デフォルトのdocker apparmorプロファイルはこのアクセスを拒否するため、/proc内への書き込み権限をブロックすることができます:
docker run -it --cap-add SYS_ADMIN --security-opt seccomp=unconfined ubuntu /bin/bash
echo "" > /proc/stat
sh: 1: cannot create /proc/stat: Permission denied
AppArmorを無効にする必要があります。これにより、その制限を回避できます:
docker run -it --cap-add SYS_ADMIN --security-opt seccomp=unconfined --security-opt apparmor=unconfined ubuntu /bin/bash
デフォルトでは、AppArmor は SYS_ADMIN 権限があっても、コンテナ内部からフォルダをマウントすることを禁止します。
Dockerコンテナに capabilities を 追加/削除 することができますが、これは AppArmor や Seccomp などの保護方法によって制限されます:
--cap-add=SYS_ADMINはSYS_ADMIN権限を与えます--cap-add=ALLはすべての権限を与えます--cap-drop=ALL --cap-add=SYS_PTRACEはすべての権限を削除し、SYS_PTRACEのみを与えます
{% hint style="info" %} 通常、docker コンテナ内部で特権権限が利用可能であることが分かったにも関わらず、エクスプロイトの一部が機能しない場合、それは docker apparmor が防止しているためです。 {% endhint %}
AppArmor Docker 脱出
コンテナが実行している apparmor プロファイル を以下の方法で確認できます:
docker inspect 9d622d73a614 | grep lowpriv
"AppArmorProfile": "lowpriv",
"apparmor=lowpriv"
次に、以下の行を実行して使用されている正確なプロファイルを見つけます:
find /etc/apparmor.d/ -name "*lowpriv*" -maxdepth 1 2>/dev/null
変わったケースとして、**AppArmorのDockerプロファイルを変更して、再読み込みすることができます。** 制限を取り除き、それらを「バイパス」することができます。
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をチェック!</strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksにあなたの会社を広告したい場合**、または**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックしてください
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加するか**、[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローしてください。**
* **あなたのハッキングのコツを、** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のgithubリポジトリにPRを提出することで共有してください。
</details>