Introduction to Linux Privilege Escalation

Le compte root sur les systèmes Linux offre un accès administratif complet. Lors d’une box, il est fréquent d’obtenir un shell avec des privilèges limités et de devoir escalader les privilèges vers root. Cette compromission complète permettrait :

D’intercepter du trafic sensible.
D’accéder à des fichiers critiques.
D’étendre l’accès au sein de l’environnement.
D’obtenir le hachage NTLM si la machine est intégrée à un domaine Active Directory.

🔎 Énumération

L’énumération est la clé de l’escalade de privilèges. Des scripts comme LinEnum peuvent aider, mais il est essentiel de comprendre quoi chercher et comment analyser manuellement.

🖥️ Version du système et du noyau

Distribution : Ubuntu, Debian, Fedora, Red Hat, CentOS, etc.
Version du noyau : certaines versions disposent d’exploits publics connus. ⚠️ Les exploits de noyau peuvent provoquer des instabilités ou un crash complet.

⚙️ Services en cours d’exécution

Identifier les services fonctionnant en tant que root.
Exemples : Nagios, Exim, Samba, ProFTPd.
Certains services ont des vulnérabilités connues (ex : CVE-2016-9566 sur Nagios < 4.2.4).

ps aux | grep root

📦 Paquets installés et versions

Vérifier les logiciels obsolètes.
Exemple : Screen 4.05.00 est vulnérable et exploitable pour obtenir root.

👥 Utilisateurs connectés

Identifier les utilisateurs actifs pour envisager un mouvement latéral.

ps au

🏠 Répertoires personnels

Vérifier l’accessibilité des répertoires utilisateurs.
Rechercher :
- Clés SSH (.ssh/).
- Fichiers de configuration (contenant mots de passe ou tokens).
- .bash_history (commandes sensibles).

$ ls /home
backupsvc  bob.jones  cliff.moore  logger  mrb3n  shared  stacey.jenkins

$ ls -la /home/<user>

total 32
drwxr-xr-x 3 stacey.<user> stacey.<user> 4096 Aug 30 23:37 .
drwxr-xr-x 9 root           root           4096 Aug 30 23:33 ..
-rw------- 1 stacey.<user> stacey.<user> 41 Aug 30 23:35 .bash_history
-rw-r--r-- 1 stacey.<user> stacey.<user> 220 Sep  1  2015 .bash_logout
-rw-r--r-- 1 stacey.<user> stacey.<user> 3771 Sep  1  2015 .bashrc
-rw-r--r-- 1 stacey.<user> stacey.<user> 97 Aug 30 23:37 config.json
-rw-r--r-- 1 stacey.<user> stacey.<user> 655 May 16  2017 .profile
drwx------ 2 stacey.<user> stacey.<user> 4096 Aug 30 23:35 .ssh

Exemple de découverte de clés SSH :

ls -l ~/.ssh

total 8
-rw------- 1 mrb3n mrb3n 1679 Aug 30 23:37 id_rsa
-rw-r--r-- 1 mrb3n mrb3n  393 Aug 30 23:37 id_rsa.pub

📜 Historique des commandes

Peut contenir : mots de passe en clair, gestion de dépôts Git, configuration de cron jobs.

$ history

1  id
2  cd /home/cliff.moore
3  exit
4  touch backup.sh
5  tail /var/log/apache2/error.log
6  ssh ec2-user@dmz02.inlanefreight.local
7  history

🔑 Privilèges sudo

Vérifier si l’utilisateur peut exécuter des commandes avec sudo.
Les entrées NOPASSWD sont particulièrement critiques.

sudo -l

Matching Defaults entries for sysadm on NIX02:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User sysadm may run the following commands on NIX02:
    (root) NOPASSWD: /usr/sbin/tcpdump

⚙️ Fichiers de configuration

Les fichiers .conf ou .config peuvent contenir des identifiants.

🔒 /etc/shadow et /etc/passwd

Si /etc/shadow est lisible → récupération de hachages de mots de passe.
Parfois des hachages sont visibles directement dans /etc/passwd (rare, souvent sur des systèmes embarqués).

$ cat /etc/passwd

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
<...SNIP...>
dnsmasq:x:109:65534:dnsmasq,,,:/var/lib/misc:/bin/false
sshd:x:110:65534::/var/run/sshd:/usr/sbin/nologin
mrb3n:x:1000:1000:mrb3n,,,:/home/mrb3n:/bin/bash
colord:x:111:118:colord colour management daemon,,,:/var/lib/colord:/bin/false
backupsvc:x:1001:1001::/home/backupsvc:
bob.jones:x:1002:1002::/home/bob.jones:
cliff.moore:x:1003:1003::/home/cliff.moore:
logger:x:1004:1004::/home/logger:
shared:x:1005:1005::/home/shared:
stacey.jenkins:x:1006:1006::/home/stacey.jenkins:
sysadm:$6$vdH7vuQIv6anIBWg$Ysk.UZzI7WxYUBYt8WRIWF0EzWlksOElDE0HLYinee38QI1A.0HW7WZCrUhZ9wwDz13bPpkTjNuRoUGYhwFE11:1007:1007::/home/sysadm:

⏰ Cron jobs

Les tâches planifiées peuvent être exploitées si elles utilisent des chemins relatifs ou des fichiers accessibles.

$ ls -la /etc/cron.daily/

total 60
drwxr-xr-x  2 root root 4096 Aug 30 23:49 .
drwxr-xr-x 93 root root 4096 Aug 30 23:47 ..
-rwxr-xr-x  1 root root  376 Mar 31  2016 apport
-rwxr-xr-x  1 root root 1474 Sep 26  2017 apt-compat
-rwx--x--x  1 root root  379 Aug 30 23:49 backup
-rwxr-xr-x  1 root root  355 May 22  2012 bsdmainutils
-rwxr-xr-x  1 root root 1597 Nov 27  2015 dpkg
-rwxr-xr-x  1 root root  372 May  6  2015 logrotate
-rwxr-xr-x  1 root root 1293 Nov  6  2015 man-db
-rwxr-xr-x  1 root root  539 Jul 16  2014 mdadm
-rwxr-xr-x  1 root root  435 Nov 18  2014 mlocate
-rwxr-xr-x  1 root root  249 Nov 12  2015 passwd
-rw-r--r--  1 root root  102 Apr  5  2016 .placeholder
-rwxr-xr-x  1 root root 3449 Feb 26  2016 popularity-contest
-rwxr-xr-x  1 root root  214 May 24  2016 update-notifier-common

💾 Systèmes de fichiers et disques additionnels

Monter des partitions non montées peut révéler des sauvegardes ou des fichiers sensibles.

$ lsblk

NAME   MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT
sda      8:0    0   30G  0 disk 
├─sda1   8:1    0   29G  0 part /
├─sda2   8:2    0    1K  0 part 
└─sda5   8:5    0  975M  0 part [SWAP]
sr0     11:0    1  848M  0 rom

🛠️ Permissions SETUID et SETGID

Certains binaires permettent d’exécuter des commandes avec des privilèges root.

📂 Répertoires accessibles en écriture

Identifier où il est possible d’écrire pour déposer des outils ou exploiter un cron job vulnérable.

find / -path /proc -prune -o -type d -perm -o+w 2>/dev/null

/dmz-backups
/tmp
/tmp/VMwareDnD
/tmp/.XIM-unix
/tmp/.Test-unix
/tmp/.X11-unix
/tmp/systemd-private-8a2c51fcbad240d09578916b47b0bb17-systemd-timesyncd.service-TIecv0/tmp
/tmp/.font-unix
/tmp/.ICE-unix
/proc
/dev/mqueue
/dev/shm
/var/tmp
/var/tmp/systemd-private-8a2c51fcbad240d09578916b47b0bb17-systemd-timesyncd.service-hm6Qdl/tmp
/var/crash
/run/lock

📄 Fichiers accessibles en écriture

Scripts ou fichiers de configuration modifiables pouvant être exécutés en tant que root.

$ find / -path /proc -prune -o -type f -perm -o+w 2>/dev/null

/etc/cron.daily/backup
/dmz-backups/backup.sh
/proc
/sys/fs/cgroup/memory/init.scope/cgroup.event_control

[...]

/home/backupsvc/backup.sh

[...]

🚀 Conclusion

L’énumération manuelle permet de découvrir :

Services vulnérables.
Fichiers sensibles.
Mauvaises configurations.
Opportunités liées aux permissions.

Ces informations ouvrent la voie à des attaques locales d’escalade de privilèges, qui seront étudiées dans les sections suivantes.

PreviousSkills Assessment NextEnvironment Enumeration

Last updated 4 months ago

hashtag🔎 Énumération

hashtag🖥️ Version du système et du noyau

hashtag⚙️ Services en cours d’exécution

hashtag📦 Paquets installés et versions

hashtag👥 Utilisateurs connectés

hashtag🏠 Répertoires personnels

hashtag📜 Historique des commandes

hashtag🔑 Privilèges sudo

hashtag⚙️ Fichiers de configuration

hashtag🔒 /etc/shadow et /etc/passwd

hashtag⏰ Cron jobs

hashtag💾 Systèmes de fichiers et disques additionnels

hashtag🛠️ Permissions SETUID et SETGID

hashtag📂 Répertoires accessibles en écriture

hashtag📄 Fichiers accessibles en écriture

hashtag🚀 Conclusion