チェックリスト - Linux特権昇格

Reading time: 9 minutes

Linuxローカル特権昇格ベクトルを探すための最良のツール: LinPEAS

システム情報

• OS情報を取得
• PATHを確認し、書き込み可能なフォルダはあるか？
• 環境変数を確認し、機密情報はあるか？
• カーネルエクスプロイトをスクリプトを使用して検索（DirtyCow？）
• sudoバージョンが脆弱かどうかを確認
• Dmesgの署名検証に失敗
• さらなるシステム列挙（日付、システム統計、CPU情報、プリンタ）
• さらなる防御を列挙

ドライブ

• マウントされたドライブをリスト
• アンマウントされたドライブはあるか？
• fstabにクレデンシャルはあるか？

インストールされたソフトウェア

• インストールされた 有用なソフトウェアを確認
• インストールされた 脆弱なソフトウェアを確認

プロセス

• 不明なソフトウェアが実行中か？
• 必要以上の特権で実行されているソフトウェアはあるか？
• 実行中のプロセスのエクスプロイトを検索（特に実行中のバージョン）。
• 実行中のプロセスのバイナリを変更できるか？
• プロセスを監視し、興味深いプロセスが頻繁に実行されているか確認。
• 興味深いプロセスメモリを（パスワードが保存されている可能性がある場所）読み取ることができるか？

スケジュールされた/cronジョブ？

• PATHがcronによって変更されており、書き込みできるか？
• cronジョブにワイルドカードはあるか？
• 実行中の変更可能なスクリプトがあるか、または変更可能なフォルダ内にあるか？
• 何らかのスクリプトが非常に頻繁に実行されていることを検出したか？（1、2、または5分ごと）

サービス

• 書き込み可能な.serviceファイルはあるか？
• サービスによって実行される書き込み可能なバイナリはあるか？
• systemd PATH内の書き込み可能なフォルダはあるか？

タイマー

• 書き込み可能なタイマーはあるか？

ソケット

• 書き込み可能な.socketファイルはあるか？
• 任意のソケットと通信できるか？
• 興味深い情報を持つHTTPソケットはあるか？

D-Bus

• 任意のD-Busと通信できるか？

ネットワーク

• ネットワークを列挙して自分の位置を把握
• シェルを取得する前にアクセスできなかったオープンポートはあるか？
• tcpdumpを使用してトラフィックをスニッフィングできるか？

ユーザー

• 一般的なユーザー/グループの列挙
• 非常に大きなUIDを持っているか？マシンは脆弱か？
• 所属するグループのおかげで特権を昇格できるか？
• クリップボードデータはあるか？
• パスワードポリシーは？
• 以前に発見したすべての既知のパスワードを使用して、各可能な**ユーザーでログインを試みる。パスワードなしでもログインを試みる。

書き込み可能なPATH

• PATH内のいくつかのフォルダに書き込み権限がある場合、特権を昇格できる可能性がある

SUDOおよびSUIDコマンド

• sudoで任意のコマンドを実行できるか？それを使用して、rootとして何かを読み取り、書き込み、または実行できるか？ (GTFOBins)
• エクスプロイト可能なSUIDバイナリはあるか？ (GTFOBins)
• sudoコマンドがパスによって制限されているか？制限をバイパスできるか?
• パスが示されていないSudo/SUIDバイナリはあるか？
• パスを指定したSUIDバイナリは？ バイパス
• LD_PRELOAD脆弱性
• 書き込み可能なフォルダからのSUIDバイナリにおける.soライブラリの欠如はあるか？](privilege-escalation/index.html#suid-binary-so-injection)
• 利用可能なSUDOトークンはあるか？ SUDOトークンを作成できるか?
• sudoersファイルを読み取るまたは変更することができるか?
• /etc/ld.so.conf.d/を変更できるか?
• OpenBSD DOASコマンド

能力

• いかなるバイナリにも予期しない能力はあるか？

ACL

• いかなるファイルにも予期しないACLはあるか？

オープンシェルセッション

• screen
• tmux

SSH

• Debian OpenSSL予測可能PRNG - CVE-2008-0166
• SSHの興味深い設定値

興味深いファイル

• プロファイルファイル - 機密データを読み取る？特権昇格のために書き込む？
• passwd/shadowファイル - 機密データを読み取る？特権昇格のために書き込む？
• 機密データのために一般的に興味深いフォルダを確認
• **奇妙な場所/所有ファイル、**アクセスまたは実行可能ファイルを変更できるかもしれない
• 最近数分で変更された
• Sqlite DBファイル
• 隠しファイル
• PATH内のスクリプト/バイナリ
• Webファイル（パスワード？）
• バックアップ？
• パスワードを含む既知のファイル: LinpeasとLaZagneを使用
• 一般的な検索

書き込み可能なファイル

• 任意のコマンドを実行するためにpythonライブラリを変更できるか？
• ログファイルを変更できるか？ Logtottenエクスプロイト
• /etc/sysconfig/network-scripts/を変更できるか？ Centos/Redhatエクスプロイト
• ini、int.d、systemdまたはrc.dファイルに書き込むことができるか?

その他のトリック

• NFSを悪用して特権を昇格できるか?
• 制限されたシェルから脱出する必要があるか](privilege-escalation/index.html#escaping-from-restricted-shells)?