Nessusは、クレデンシャルスキャンを実行すると、パッケージが脆弱性のない最新バージョンに更新されていないパッケージである場合、パッチレベルをチェックして脆弱性を返すことができます。
特権昇格の脆弱性を探すためにこれを行う良い方法は何ですか?制限されたユーザーアカウントでサーバーへのシェルアクセスを取得したが、rootに昇格したい場合はどうでしょうか。
dkpg --list
などのコマンドは、パッチレベルを列挙するためにUbuntuで使用できます。ただし、これは非常に手作業で時間のかかる作業です。
Linuxホストで権限昇格をスピードアップできるアプローチはありますか?便利な2つのテクニックは、 nix-privesc-check および linuxprivchecker.py などのスクリプトを実行することです。ただし、上記のようにパッチレベルを自動的にチェックすることはありません。後者はある方法で実行されますが、いくつかの基本的なチェックのみを実行し、維持されていないため、最新のホストに対してはそれほど有用ではないと私は考えています。
私が持っていた他の考えは、ホストマシンの資格情報ではなく自分の資格情報で保護された非特権ポートでSSHサーバーを効果的に実行するある種のバイナリを実行することです。これにより、Nessusは認証されたマシンのスキャンを完了することができます。
Nessusは、驚くべきことに、多くの場合、良い方法と悪い方法の両方で予期しない結果をもたらすことがよくあります。正しく構成していることを確認してください。資格のあるスキャンを正しく行うのは難しい場合があります。
OpenVAS にはNessusにはない多くのチェックがあり、非常によく似た方法で機能します。ただし、Nessusには大量のチェックがあります。最良の結果を得るには、OSまたは環境に依存する可能性があるため、両方を実行します。
CVEDetails は、特定の製品、バージョンなどに絞り込むことができる優れたソースです。多くの場合、他の、多くの場合は独自のリソースにリンクします。または、特定のエクスプロイトまたはMetasploitモジュール(use .*linux/gather/enum <tab>, <tab> <tab>
)。見つからない場合は、脆弱性名、番号付きのCVE、パッチ番号またはレベル、または exploitsearch.net でその他の関連情報を検索します。私は多くのシェルをつかむか、これら2つのWebサイトに毎日クエリを実行することで、新しい特権エスカレーションエクスプロイトのアイデアを得ます。
見方によっては、他の多くのツールが役立つ場合があります。ローカルネットワークポートで何かが実行されていますか? NeXposeまたはNmapそれらのポートを識別できますか?IPCまたはパイプについてはどうですか?vulscan NSEスクリプトは、デフォルト(-sC)およびさらに深いNSEの計画、構成、および分析。パケット分析(たとえば、pysharkはプログラム的なインターフェースを提供します)もここで使用できます。GitHubおよびおそらく他の場所でサードパーティが利用できるさまざまなターゲットプラットフォーム用のNSEスクリプトがたくさんあります。場合によっては、独自のNSEスクリプトを作成する必要があるかもしれません。NmapからMetasploitへの既知のポートまたはサービスのマッピングは、 metasploitHelper 。
Linuxprivchecker.py、 Linux_Exploit_Suggester 、 linux-exp-suggester などのツール、または見つけたさまざまなカーネルエクスプロイトを使用する場合は注意が必要です。他の手段から。注意すべき主な注意の1つは [〜#〜] smep [〜#〜] です。 SMEPの詳細については、クエリの方法を含め、この正確なフォーラムの回答 の1つ を参照してください。起動時に、 `nosmep 'のgrubパラメータを使用するか、 [〜#〜] lkm [〜#〜] を使用して無効にできます。 SMEPが有効になっている場合、変更なしでカーネルエクスプロイトを実行すると、カーネルパニックが発生する可能性があります。つまり、システムがクラッシュします。
CVE以外にも特権を昇格させる方法はたくさんあります。トピックに進む前に、独自の制御された環境へのターゲットの複製(詳細がすべてわからない場合は可能な限り近い)により、ターゲットを理解するためにrootとして実行できることがわかりますより良い。 cvechecker などのツールは、Nessus、OpenVAS、さらには CIS-CAT または ovaldi チェック。
LinEnum などの一部のツールは、おそらくunix-privesc-checkと同様に、rootとして実行するか、権限の低いユーザーとして実行するかに関係なく優れています。これらのツールをさまざまな環境(複製または所有)で使用することで、多くの助けを得ました。これらのように機能するいくつかの カスタムスクリプト (主にOffensive SecurityのPWKラボ用)を見てきましたが、強化を対象とする非特権のホスト列挙スクリプトについて言及することも価値があります Lynis 、 Bastille 、 LSAT/USAT など。 OSのデフォルトコマンド、外部ツール、テクニックの別の包括的なリストについては、必ずチェックアウトしてください- https://blog.g0tmi1k.com/2011/08/basic-linux-privilege-エスカレーション/
パスワードで保護されたルートと他の「ライブ」アカウントがあるターゲット環境では、資格情報を盗むためにIDと信頼関係を攻撃する多くの方法が存在する可能性があります。特権のエスカレーションの多く(これは過去50年間のコンピューターの使用と乱用に当てはまりました)は、関係(たとえば、known_hosts、authorized_keys2、hosts.equivなど)の推測、パスワードの解読(たとえば、ハッシュ)に関するものです)、ブルートフォースログイン、リモート(SSHキーなど)、またはsu/Sudoプロンプトなど。KaliLinuxやその他の場所でこれらのタスクを実行または支援するツールは多数あります。近年でも、多くの技術が開発されてきました。 sucrack と phrasendrescher は必ず知っておく必要があります。
パスワードの重要な点は再利用です。システム(または同じネットワークなどの近くのシステム)でファイル、サービス、または構成可能ファイルが見つかった場合-おそらく、Adobeなどの既存の資格情報ダンプから特定のユーザーのお気に入りのパスワードが見つかった場合など、さらに拡張されます。 、RockYou、Gawker、およびrecon-ngなどのツールで検出された他のもの)にパスワードが設定されている場合は、可能な限りどこでもそのパスワードを試す必要があります(特に論理的に意味がある場合)。これを行うことができるツールはありませんが、多くのツールは状況を少し変えるのに役立ちます。多くは、まっすぐなパスワード回復を提供するだけです。 1人のユーザーに対して1つのパスワードを回復すると、一番上のパスが見つかる場合があります。 Kali Linux では、 packプロジェクト は、dictstat、maskgen、policygenなどのツールを備えた優れた出発点です。 JohnとHashcatは、特に他のツール(metasploit-framework、LAIR-framework、KvasirSecurityなど)との統合、およびstatsprocessorなどの extensions との統合により、最高権威となりました。実際のアクションが発生しているネットワークでは、大量のクリアテキスト、弱い暗号化、またはシナリオ主導(つまり、MITM状態)の資格情報を取得できる場合があります。このスペースのツールは easy-creds と PCredz です。補助/サーバーおよび補助/スプーフ階層。資格情報は、ソーシャルエンジニアリングの手法でも取得できます。SETなどのツールの基本を忘れないでください。