Privilege Escalation Wildcard injection
السلام عليكم ورحمة الله وبركاته
الحمد لله على جميع نِعمه علينا ما علمنا منها وما لم نعلم حمداً والصلاة والسلام على نبينا محمد اشرف الخلق والمرسلين, اما بعد:
مقدمة:
في هذي المقالة راح نشرح رفع الصلاحيات عن طريق ال Wildcard injection
قبل نبدا في السنياريو راح نعرف ايش هي ال Wildcard وايش فكرتها وراح نطبق مثال على Wildcard injection عشان بس ابيها ترسخ فبالكم وبعد كذا راح نطبق السيناريو اللي راح يمكننا من رفع الصلاحيات عن طريق Wildcard injection
اول شي ايش هي ال Wildcard هي رموز معينه تسهل لمدير النظام ف التعامل مع الملفات
امثلة على الرموز :
* : تتطابق علامة النجمة مع اي حرف او رقم يحتويه الملف ، بما في ذلك لا شيء.
~ : تشير الى مجلد ال home الخاص بالمستخدم اللي نفذ هذه العلامة
طبعا في اكثر من رمز ف نحن يهمنا رمز النجمة
خلونا ناخذ مثال مع بعض عشان نفهم ايش هي ال * بالضبط
نلاحظ انه عندنا ملفين file2.txt و file.txt نلاحظ انه المالك للملفين هو المستخدم jehad طيب الان راح اغير المالك للملفين من jehad الى test
عن طريق امر chown
استخدام الامر: chown test [name of file]
بس نفترض لو في مئة ملف ابي اغيرهم من المالك jehad الى test بننفذ امر chown مئة مرة؟
مستحيل هذا الشي بيكون متعب ف هنا نجي الى رمز النجمة راح تغير لنا جميع الملفات اللي على المجلد من jehad الى test في امر واحد خلونا نشوف مع بعض:
حلو الان انتوا فهمتوا ايش تعني النجمة تعني انه اي ملف على المجلد سواء كان يبدا ب ارقام او احرف
الان نجي لفكرة ال Wildcard injection
اللحين لو مثلا انا سويت ملف اسمه help-- بنفس اسم اوبشن يحتويه امر chown ورجعت نفذت هذا الامر اللي سويناه قبل ايش راح يصير !
نلاحظ انه نفذلي اوبشن help وترك مهمة الامر اللي نفذته !!!
هنا فكرة الاستغلال بالضبط انه ممكن في اوبشنات خاصه بنفس الامر اللي بيتنفذ ممكن انها تنفذلي ملف خبيث
الشرح:
كالعادة انا داخل بيوزر test ونبي نوصل الى صلاحية root
نلاحظ ان في جدولة تتنفذ كل دقيقة بصلاحية root فكرتها انه راح يروح لمجلد opt اول شي و ينشأ ملف مضغوط اسمه backup.tgz يحتوي على جميع الملفات والمجلدات الموجودة في المجلد اللي اسمه opt
بما انه حاط رمز النجمة يعني جميع الملفات والمجلدات الان راح ابحث عن option يخص امر tar يفنذلي ملف خبيث
عندنا هذي الاوبشنين خاصه ب امر tar :
checkpoint=[n]–
checkpoint-action=exec–
اول امر اللي اسمه checkpoint هو الوقت اللي راح ياخذه قبل تنفيذ الأمر اللي موجود ف اوبشن checkpoint-action=exec
الان راح انشأ ملف sh على مجلد ال opt يحتوي على reverse shell
بعد كذا راح انشأ ملفين بنفس اسامي الاوبشنين اللي راح ينفذون لي الملف الخبيث
الان فقط راح نشغل التنصت على نفس البورت حق ال reverse shell اللي انا حطيته اللي هو 4242 وننتظر
بعد مامرت دقيقة رجعلتي جلسة بصلاحية ال root
وبكذا حلصنا على اعلى صلاحية عن طريق Wildcard injection
شاكر لكم.
التعليقات (0)
لايوجد لديك حساب في عالم البرمجة؟
تحب تنضم لعالم البرمجة؟ وتنشئ عالمك الخاص، تنشر المقالات، الدورات، تشارك المبرمجين وتساعد الآخرين، اشترك الآن بخطوات يسيرة !