Interesting Groups - Linux Privesc

Sudo/Admin 组

PE - 方法1

有时，默认情况下（或因为某些软件需要），您可以在**/etc/sudoers**文件中找到以下一些行：

# Allow members of group sudo to execute any command
%sudo	ALL=(ALL:ALL) ALL

# Allow members of group admin to execute any command
%admin 	ALL=(ALL:ALL) ALL

这意味着任何属于sudo或admin组的用户都可以作为sudo执行任何操作。

如果是这种情况，要成为root用户，只需执行：

sudo su

提权 - 方法 2

查找所有suid二进制文件，并检查是否存在二进制文件Pkexec：

如果发现二进制文件 pkexec 是 SUID 二进制文件，并且你属于 sudo 或 admin 组，你可能可以使用 pkexec 以 sudo 权限执行二进制文件。 这是因为通常这些组是 polkit 策略 中的组。该策略基本上标识了哪些组可以使用 pkexec。使用以下命令检查：

在这里，您将找到有权执行pkexec和默认情况下在某些Linux发行版中出现的sudo和admin组。

要成为root用户，您可以执行：

如果尝试执行pkexec时出现以下错误：

这不是因为您没有权限，而是因为您没有连接到图形界面。这里有一个解决此问题的方法：https://github.com/NixOS/nixpkgs/issues/18012#issuecomment-335350903。您需要2个不同的ssh会话：

Wheel Group

有时候，默认情况下，您可以在**/etc/sudoers**文件中找到这行：

这意味着任何属于wheel组的用户都可以作为sudo执行任何操作。

如果是这种情况，要成为root用户，只需执行：

阴影组

来自阴影组的用户可以读取/etc/shadow文件：

Staff Group

staff: 允许用户在不需要 root 权限的情况下向系统 (/usr/local) 添加本地修改（请注意，/usr/local/bin 中的可执行文件在任何用户的 PATH 变量中，它们可能会“覆盖”具有相同名称的 /bin 和 /usr/bin 中的可执行文件）。与与监控/安全更相关的组 "adm" 进行比较。 [来源]

在 debian 发行版中，$PATH 变量显示 /usr/local/ 将作为最高优先级运行，无论您是特权用户还是非特权用户。

如果我们能劫持/usr/local目录中的一些程序，就很容易获取root权限。

劫持run-parts程序是一种轻松获取root权限的方法，因为大多数程序会运行类似run-parts的程序（比如crontab，在ssh登录时）。

或者当一个新的ssh会话登录时。

利用

磁盘组

这个权限几乎等同于 root 访问权限，因为您可以访问机器内的所有数据。

文件：/dev/sd[a-z][1-9]

请注意，使用debugfs，您也可以写入文件。例如，要将/tmp/asd1.txt复制到/tmp/asd2.txt，您可以执行以下操作：

然而，如果您尝试编写属于root的文件（如/etc/shadow或/etc/passwd），您将收到“Permission denied”错误。

视频组

使用命令w，您可以找到谁登录到系统，并且它将显示以下输出：

tty1 表示用户 yossi 物理登录 到机器上的终端。

video 组 具有查看屏幕输出的权限。基本上，您可以观察屏幕。为了做到这一点，您需要 获取屏幕上的当前图像 的原始数据，并获取屏幕正在使用的分辨率。屏幕数据可以保存在 /dev/fb0 中，您可以在 /sys/class/graphics/fb0/virtual_size 中找到此屏幕的分辨率。

打开原始图像，您可以使用GIMP，选择**screen.raw **文件，并选择文件类型为原始图像数据：

然后修改宽度和高度为屏幕上使用的值，并检查不同的图像类型（选择显示屏幕效果最好的那种）：

Root组

看起来默认情况下root组的成员可以访问修改一些服务配置文件或一些库文件或其他有趣的东西，这些可能被用于提升权限...

检查root成员可以修改哪些文件：

Docker 组

您可以将主机机器的根文件系统挂载到实例的卷上，因此当实例启动时，它会立即将 chroot 加载到该卷中。这实际上让您在该机器上获得了 root 权限。

有趣的Linux特权升级组

最后，如果您不喜欢之前的任何建议，或者由于某种原因（比如docker api防火墙？），您可以尝试运行一个特权容器并从中逃逸，如此处所述：

如果您对docker套接字具有写权限，请阅读关于如何滥用docker套接字提升权限的文章。

GitHub - KrustyHack/docker-privilege-escalation: A docker example for privilege escalationGitHub

Privilege escalation via Dockerchrisfosterelli

lxc/lxd组

Adm组

通常，adm组的成员具有读取位于 /var/log/ 中的日志文件的权限。 因此，如果您已经入侵了此组中的用户，您应该绝对查看日志。

Auth组

在OpenBSD中，auth组通常可以写入 /etc/skey 和 /var/db/yubikey 文件夹（如果使用）。 可以使用以下漏洞利用来滥用这些权限以提升权限至root：https://raw.githubusercontent.com/bcoles/local-exploits/master/CVE-2019-19520/openbsd-authroot