[Post-Explotation] Linux Priviledge Escalation

일반적으로 호스트 쉘을 획득하면 상위 권한 탈취를 위하여 정보를 수집해야한다. 이 수집하는 행위를 Enumeration라고 한다. 기초 정보를 획득하기 위하여 다음의 정보를 수집하자.

운영체제 버전 - 주로 알려진 운영체제에 따라 사용하는 툴 또는 익스플로잇 여부를 확인할 수 있다.

커널 버전 - 잘알려진 커널이라면 취약점 정보를 획득할 수 있다. 이에 쓰이는 취약점은 시스템을 사용불가 할 수 있게 하므로 실행하기전 파급효과를 인지하도록 하

싱행중인 서비스 - 실행중인 프로세스의 권한을 확인한다. 잘못된 설정으로 root로 실행되게 할 수도있다.

Cy3erLuna@htb[/htb]$ ps aux | grep root

root         1  1.3  0.1  37656  5664 ?        Ss   23:26   0:01 /sbin/init
root         2  0.0  0.0      0     0 ?        S    23:26   0:00 [kthreadd]
root         3  0.0  0.0      0     0 ?        S    23:26   0:00 [ksoftirqd/0]
root         4  0.0  0.0      0     0 ?        S    23:26   0:00 [kworker/0:0]
root         5  0.0  0.0      0     0 ?        S<   23:26   0:00 [kworker/0:0H]
root         6  0.0  0.0      0     0 ?        S    23:26   0:00 [kworker/u8:0]
root         7  0.0  0.0      0     0 ?        S    23:26   0:00 [rcu_sched]
root         8  0.0  0.0      0     0 ?        S    23:26   0:00 [rcu_bh]
root         9  0.0  0.0      0     0 ?        S    23:26   0:00 [migration/0]

설치된 패키지 및 버전 - 버전에 따른 취약점이 있는 서비스를 식별하는 것이 중요하다.

로그인된 유저 - 로그인된 유저를 식별하여 무엇을 하는지 확인한다. 그러면 확산이동(leteral movement) 및 권한상승의 길이 될 수 있다.

Cy3erLuna@htb[/htb]$ ps au

USER       		PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root      		1256  0.0  0.1  65832  3364 tty1     Ss   23:26   0:00 /bin/login --
cliff.moore     1322  0.0  0.1  22600  5160 tty1     S    23:26   0:00 -bash
shared     		1367  0.0  0.1  22568  5116 pts/0    Ss   23:27   0:00 -bash
root      		1384  0.0  0.1  52700  3812 tty1     S    23:29   0:00 sudo su
root      		1385  0.0  0.1  52284  3448 tty1     S    23:29   0:00 su
root      		1386  0.0  0.1  21224  3764 tty1     S+   23:29   0:00 bash
shared     		1397  0.0  0.1  37364  3428 pts/0    R+   23:30   0:00 ps au

유저 홈 디렉토리 - 타인의 홈 디렉토리에 접근할 수 있다면 SSH 키 등을 획득할 수 있다. 이 것으로 다른 시스템에 엑세스하거나 AD 환경에 침입하는데 활용할 수 있다. 또한 .bash_history 파일을 통하여 Credentials를 찾을 수 있다.

Cy3erLuna@htb[/htb]$ history

    1  id
    2  cd /home/cliff.moore
    3  exit
    4  touch backup.sh
    5  tail /var/log/apache2/error.log
    6  ssh ec2-user@dmz02.inlanefreight.local
    7  history

Sudo 권한 - 일부 유저의 경우 비밀번호 입력없이 root로 실행할 수 있다.

Cy3erLuna@htb[/htb]$ sudo -l

Matching Defaults entries for sysadm on NIX02:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User sysadm may run the following commands on NIX02:
    (root) NOPASSWD: /usr/sbin/tcpdump

설정파일 - 중요 정보를 담고 있으며 계정 비밀번호 등이 있을 수 있다.

Shadow 파일과 passwd 파일 - 안에는 비밀번호 해쉬 값이 있으며 해당 값을 통하여 비밀번호를 Crack 할 수 있다.

Cy3erLuna@htb[/htb]$ cat /etc/passwd

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
<...SNIP...>
dnsmasq:x:109:65534:dnsmasq,,,:/var/lib/misc:/bin/false
sshd:x:110:65534::/var/run/sshd:/usr/sbin/nologin
mrb3n:x:1000:1000:mrb3n,,,:/home/mrb3n:/bin/bash
colord:x:111:118:colord colour management daemon,,,:/var/lib/colord:/bin/false
backupsvc:x:1001:1001::/home/backupsvc:
bob.jones:x:1002:1002::/home/bob.jones:
cliff.moore:x:1003:1003::/home/cliff.moore:
logger:x:1004:1004::/home/logger:
shared:x:1005:1005::/home/shared:
stacey.jenkins:x:1006:1006::/home/stacey.jenkins:
sysadm:$6$vdH7vuQIv6anIBWg$Ysk.UZzI7WxYUBYt8WRIWF0EzWlksOElDE0HLYinee38QI1A.0HW7WZCrUhZ9wwDz13bPpkTjNuRoUGYhwFE11:1007:1007::/home/sysadm:

Cron Jobs - Windows OS의 스케쥴 테스크와 같은 역할을 한다. 잘못된 설정으로 약한 권한이 있으면 이 것을 통하여 권한 상승 시킬 수 있다.

Cy3erLuna@htb[/htb]$ ls -la /etc/cron.daily/

total 60
drwxr-xr-x  2 root root 4096 Aug 30 23:49 .
drwxr-xr-x 93 root root 4096 Aug 30 23:47 ..
-rwxr-xr-x  1 root root  376 Mar 31  2016 apport
-rwxr-xr-x  1 root root 1474 Sep 26  2017 apt-compat
-rwx--x--x  1 root root  379 Aug 30 23:49 backup
-rwxr-xr-x  1 root root  355 May 22  2012 bsdmainutils
-rwxr-xr-x  1 root root 1597 Nov 27  2015 dpkg
-rwxr-xr-x  1 root root  372 May  6  2015 logrotate
-rwxr-xr-x  1 root root 1293 Nov  6  2015 man-db
-rwxr-xr-x  1 root root  539 Jul 16  2014 mdadm
-rwxr-xr-x  1 root root  435 Nov 18  2014 mlocate
-rwxr-xr-x  1 root root  249 Nov 12  2015 passwd
-rw-r--r--  1 root root  102 Apr  5  2016 .placeholder
-rwxr-xr-x  1 root root 3449 Feb 26  2016 popularity-contest
-rwxr-xr-x  1 root root  214 May 24  2016 update-notifier-common

언마운트 된 파일 시스템과 추가 드라이브 - 초가 디스크에서 정보를 찾을 수 있다.

SETUID와 SETGUI 권한 - 바이너리는 이 권한을 가지고 유저가 전체권한을 가지지 않아도 루트의 권한으로 명령어를 할 수 있게한다.

쓸수 있는 디렉토리 - 툴을 다운로드 받을 수 있는 장소로 활용 될 수 있다. 크론잡의 파일들에게서도 디렉토리를 식별 할 수 있다.

Cy3erLuna@htb[/htb]$ find / -path /proc -prune -o -type d -perm -o+w 2>/dev/null

/dmz-backups
/tmp
/tmp/VMwareDnD
/tmp/.XIM-unix
/tmp/.Test-unix
/tmp/.X11-unix
/tmp/systemd-private-8a2c51fcbad240d09578916b47b0bb17-systemd-timesyncd.service-TIecv0/tmp
/tmp/.font-unix
/tmp/.ICE-unix
/proc
/dev/mqueue
/dev/shm
/var/tmp
/var/tmp/systemd-private-8a2c51fcbad240d09578916b47b0bb17-systemd-timesyncd.service-hm6Qdl/tmp
/var/crash
/run/lock

출처 - HACK THE BOX / LINUX PRIVILEGE ESCALATION -Introduction to Linux Privilege Escalation
https://academy.hackthebox.com/module/51/section/466

HTB Academy : Cybersecurity Training

academy.hackthebox.com

저작자표시 비영리 변경금지

'🤖정보보안 > ❤️레드팀' 카테고리의 다른 글

유용한 ONSIT 사이트(geo location) (0)	2024.01.05
[정보] Blutooth 해킹 기법 종류 (0)	2023.10.31
[정보] 해시 (0)	2023.06.27
[정보] http 공격 스킬 (0)	2023.06.27
[정보] DLL Injection 파이썬 코드 (0)	2023.03.15

'🤖정보보안 > ❤️레드팀' 카테고리의 다른 글

티스토리툴바