脆弱性を持つLinuxの権限昇格手法を学ぶ【TryHackMe-Linux PrivEsc Arena -Writeup1/3】

こんにちは、ぎんたです。

今回はTryHackMeで提供されている「Linux PrivEsc Arena」というルームの攻略の過程を記事にしています。

ルームはこちらから無料でアクセスできます「Linux PrivEsc ArenaのURL」。

今回のルームはLinuxの権限昇格がテーマとなってます。

Taskが全部で17個あり長くなりますので、何回かに分けて記事にしたいと思います。

今回ご紹介するTaskは以下のものです。

が今回の対象です。

無料でアクセス可能なので、試してみたい方はぜひやってみてください。

前提条件の説明

Linuxの権限昇格がテーマとなっているため、すでにユーザ権限で被害サーバに侵入している状態となっています（ユーザの認証情報が判明している）。

侵入先のサーバを探索して設定の不備や脆弱性などを調査し、それぞれのTaskごとで実際に権限昇格をしていく方法を解説していきます。

Linuxの権限昇格（Task3 カーネルexploit）

ここでは、Linuxのカーネルバージョンの既知の脆弱性を利用した権限昇格について解説します。

今回は既知の脆弱性を調査するために、「linux-exploit-suggester」というツールを使っていきます。

実際は攻撃者が準備したサーバや公開サーバからツールをダウンロードすることが多いかなと思いますが、親切にもすでに侵入先のサーバに該当のツールがある状態です。

サーバ上でそのまま実行します。

/home/user/tools/linux-exploit-suggester/linux-exploit-suggester.sh

結果を確認すると、Dirty COWの脆弱性があることが判明します。

ローカル環境より読み取り専用メモリのマッピングに対して書き込みが可能となる脆弱性で、「copy-on-write（COW）」を破壊することで権限の昇格が可能になるという。

出典：Security NEXT

Dirty COWのexploitツールもすでにサーバ内にあるので、gccコマンドでコンパイルして実行します。

実施したコマンド：

1-2分ほど経過したところスクリプトが終了しました。

passwdコマンドを打つことでrootシェルを取得できました。

Linuxの権限昇格（Task4 保存されたパスワード「設定ファイル」）

権限昇格に利用できそうな認証情報を探索する内容となっています。

まず、ユーザのディレクトリの中身を確認すると、「myvpn.ovpn」という興味深いファイル名があるのを確認しました。

内容を見ると、auth-user-passの箇所で「auth.txt」というファイルを参照しているのが分かりました。

「auth.txt」のファイル内を確認すると、userアカウントのパスワードを確認できました。

「設定ファイル内にある権限昇格に利用できそうな認証情報を見つける」という演習でした。

Linuxの権限昇格（Task5 保存されたパスワード「History」）

今度はユーザがbash実行時に入力したコマンドの履歴を確認し、権限昇格に利用できそうな認証情報を探索する内容となっています。

bash実行時に入力したコマンドの履歴は「.bash_history」に記載されています。

ファイルの内容を確認し、passwでパスワードと思われる該当箇所を抽出します。

cat ~/.bash_history | grep -i passw

結果を確認すると、mysqlでrootユーザでの接続を試みているコマンド履歴がありました。

-p以降の箇所にrootユーザのパスワードを確認できました。

このタスクも認証情報を発見して終了となります。

Linuxの権限昇格（Task6 弱いファイルパーミッション）

このタスクでは、ファイルのパーミッションの設定不備を悪用します。

ユーザのパスワードハッシュを格納している「/etc/shadow」ファイルのパーミッションを確認します。

shadowファイルの内容が誰でも読める状態になっています。

このように、rootのパスワードハッシュを確認できます。

通常はrootユーザのみshadowファイルを読めます。

「/etc/passwd」ファイルの内容も同様に誰でも読めるので、両方のファイルの内容を攻撃側の端末にコピーしておきます（以下の作業は攻撃側の端末で実施）。

passwdファイルはユーザアカウント情報が記載されていて、誰でも読めますが通常rootユーザのみが書き込みできます。

次にunshadowコマンドを使ってpasswdファイルとshadowファイルを結合します。

unshadow passwd shadow > unshadowed.txt

最後にhashcatを使ってパスワード解析を行います。

使用する辞書ファイルはAttackBoxにすでにある「rockyou.txt」を使用しました。

hashcat -m 1800 unshadowed.txt /usr/share/wordlists/rockyou.txt -O

なお、「-m」でモードを指定しています。ここでは、1800に指定しています。

「hashcatのGeneric hash typesのURL」

数分後にパスワードが判明しました。

このTaskではrootのパスワードを解析して終了となります。

Linuxの権限昇格（Task7 SSH Keys）

root権限でSSH接続ができるよう、侵入したサーバ内で利用可能なSSHキーを探します。

以下のコマンドで「authorized_keys」「id_rsa」を探索します。

2> /dev/nullで大量に出る標準エラーを出力させないようにしています。

今回の探索で「/backups/supersecretkeys/id_rsa」が見つかりました。

ファイルのパーミッションを確認すると、誰でも読み書き可能で所有者がrootになっています。

またファイルの内容を確認すると、SSHの秘密鍵であることが分かりました。

攻撃側の端末でid_rsaという名前のファイルに秘密鍵の内容をコピーしました。

以下のコマンドを攻撃側の端末で実行しコピーしたSSH鍵でサーバに接続したところ、rootのシェルを取得できました。

Linuxの権限昇格 (Task8 Sudo「Shell Escaping」)

rootで実行できるコマンドを以下のコマンドを使って調査します。

sudo -l

多くのコマンドがパスワード無しでroot権限で実行できそうです。

権限昇格に利用できそうなコマンドは数多くありますが、今回はVimを使っていきます。

GTFOBinsのサイトへ移動して、Vimを調査します。

こちらが調査したURLです「GTFOBinsのURL」。

一番上に表示された、「sudo vim -c ‘!sh’」のコマンドを使用してみます。

コマンドを実行することでrootシェルを取得できました。

また、GTFOBinsについて解説している別の記事もありますので、よろしければご覧ください。

まとめ

今回はLinuxの権限昇格の方法をいくつか解説しました。

解説したTaskは6つあり、以下のものでした。

今回の記事が参考になれば幸いです。

以上、ぎんたでした。