Как повысить при­виле­гии через уязвимость в Redis

Повышение привилегий

В этой статье, на примере уязвимой машины Hack The Box Shared, я покажу, как повысить при­виле­гии через уязвимость в Redis.

Еще по теме: Повышение привилегий при пентесте AWS S3 Buckets

Как повысить при­виле­гии через уязвимость в Redis

Допустим мы получи­ли дос­туп к хос­ту, теперь нам нуж­но соб­рать информа­цию. Я для это­го исполь­зую скрип­ты PEASS.

Что делать пос­ле того, как мы получи­ли дос­туп в сис­тему от име­ни поль­зовате­ля? Вари­антов даль­нейшей экс­плу­ата­ции и повыше­ния при­виле­гий может быть очень мно­го, как в Linux, так и в Windows. Что­бы соб­рать информа­цию и наметить цели, мож­но исполь­зовать Privilege Escalation Awesome Scripts SUITE (PEASS) — набор скрип­тов, которые про­веря­ют сис­тему на авто­мате.

Заг­рузим на локаль­ный хост скрипт для Linux, дадим пра­во на выпол­нение chmod +x linpeas.sh и выпол­ним. В выводе будет мно­го информа­ции, но меня заин­тересо­вало то, что есть файл, дос­тупный для записи груп­пе раз­работ­чиков, в которой мы сос­тоим.

Фай­лы, дос­тупные для записи
Фай­лы, дос­тупные для записи

Ни­чего полез­ного тут нет, поэто­му про­дол­жим раз­ведку и отсле­дим запус­каемые про­цес­сы. Для это­го я рекомен­дую pspy64. Заг­рузим его на хост тем же спо­собом, что и linpeas, а потом выпол­ним. В выводе отме­чаем запуск ipython из най­ден­ного ранее катало­га. Что более инте­рес­но, он запус­кает­ся в кон­тек­сте поль­зовате­ля с UID 1001.

Вы­вод ути­литы pspy64
Вы­вод ути­литы pspy64

Оп­ределить целево­го поль­зовате­ля мож­но через файл:

Со­дер­жимое фай­ла /etc/passwd
Со­дер­жимое фай­ла /etc/passwd

По­рыв­шись в интерне­те, я нашел экс­пло­ит для IPython! Он про­изволь­но выпол­няет в текущем катало­ге файл:

Соз­дадим его по нуж­ному пути:

И положим внутрь такую строч­ку:

Так мы поп­робу­ем сох­ранить при­ват­ный ключ поль­зовате­ля в файл:

Пери­оди­чес­ки про­веря­ем, не появил­ся ли он, и через какое‑то вре­мя получа­ем ключ.

При­ват­ный ключ поль­зовате­ля
При­ват­ный ключ поль­зовате­ля

Под­клю­чаем­ся по SSH и забира­ем пер­вый флаг.

Флаг поль­зовате­ля
Флаг поль­зовате­ля

Локальное повышение привилегий

Сно­ва исполь­зуем PEASS и с его помощью обна­ружи­ваем сле­дующее.

В сис­теме есть при­ложе­ние redis_connector_dev, дос­тупное груп­пе sysadmin, чле­ном которой явля­ется наш поль­зователь.

Фай­лы рута, дос­тупные для чте­ния
Фай­лы рута, дос­тупные для чте­ния

В спис­ке прос­лушива­емых пор­тов есть порт служ­бы Redis — 6379.

Спи­сок откры­тых пор­тов
Спи­сок откры­тых пор­тов

Ес­ли выпол­нить най­ден­ное при­ложе­ние, то уви­дим, что оно под­клю­чает­ся к сер­веру, а зна­чит, внут­ри у него нуж­ные учет­ные дан­ные.

Вы­пол­нение при­ложе­ния redis_connector_dev
Вы­пол­нение при­ложе­ния redis_connector_dev

Ско­пиру­ем файл на локаль­ный хост с помощью SSH.

За­тем откро­ем лис­тенер на пор­те 6379, что­бы отоб­разить получен­ные дан­ные. А ког­да все будет готово, запус­тим при­ложе­ние.

За­пуск при­ложе­ния
За­пуск при­ложе­ния
Ло­ги лис­тенера
Ло­ги лис­тенера

В пос­ледней стро­ке логов видим пароль для под­клю­чения к Redis.

Redis RCE

Redis — резиден­тная сис­тема управле­ния базами дан­ных клас­са NoSQL с откры­тым исходным кодом, работа­ющая со струк­турами дан­ных типа «ключ — зна­чение». Исполь­зует­ся как для баз дан­ных, так и для реали­зации кешей, бро­керов сооб­щений. Из пос­ледних уяз­вимос­тей я вспом­нил CVE-2022-0543. Дело в том, что из‑за проб­лемы с упа­ков­кой СУБД Redis под­верже­на выходу из песоч­ницы Lua, а это может при­вес­ти к уда­лен­ному выпол­нению кода (RCE). В дан­ном слу­чае еще и с высоки­ми при­виле­гиями.

Под­клю­чим­ся к Redis и авто­ризу­емся:

Те­перь поп­робу­ем с помощью сле­дующей наг­рузки выпол­нить коман­ду id.

Вы­пол­нение коман­ды id
Вы­пол­нение коман­ды id

Ко­ман­да выпол­нена, и, как мы видим, в кон­тек­сте поль­зовате­ля root. Теперь запус­тим реверс‑шелл:

Я записал его в файл:

Пе­ред выпол­нени­ем акти­виру­ем лис­тенер:

Флаг рута
Флаг рута

Ма­шина зах­вачена!

РЕКОМЕНДУЕМ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз.

Добавить комментарий