Tutorials

Guida Approfondita: Privilege Escalation tramite Linux Kernel Exploits

Nel contesto di una compromissione iniziale su una macchina Linux, una delle tecniche più potenti per ottenere privilegi root è l'abuso di vulnerabilità nel kernel. Questo approccio consente di bypass

#exploitation#post-exploitation#linux#privesc

Guida Approfondita: Privilege Escalation tramite Linux Kernel Exploits

Introduzione

Nel contesto di una compromissione iniziale su una macchina Linux, una delle tecniche più potenti per ottenere privilegi root è l'abuso di vulnerabilità nel kernel. Questo approccio consente di bypassare completamente le restrizioni utente e ottenere accesso completo al sistema.

Cos'è un Kernel Exploit

Un kernel exploit sfrutta vulnerabilità nella componente centrale del sistema operativo (il kernel). Poiché il kernel opera a livello privilegiato, una sua compromissione consente di:

  • Eseguire comandi come root
  • Caricare moduli malevoli
  • Accedere/alterare la memoria e i processi del sistema

Quando Utilizzare un Kernel Exploit

  • Accesso limitato come utente non privilegiato
  • Nessun sudo disponibile
  • Nessun setuid/setgid utile
  • Nessun binario vulnerabile (GTFOBins) o misconfiguration sfruttabile

Raccolta Informazioni Preliminari

Per identificare un exploit adatto, bisogna raccogliere le seguenti informazioni:

Comandi fondamentali

bash
uname -a               # Versione del kernel
cat /etc/os-release     # Distribuzione Linux
id                      # Verifica privilegi attuali
lsblk / df -h           # Verifica dei filesystem (utile per capire se è un container)

Strumenti di Automazione

  • linux-exploit-suggester o LES2: fornisce una lista di exploit potenzialmente funzionanti basati sulla versione del kernel.
  • searchsploit: cerca manualmente nel database Exploit-DB.
bash
searchsploit linux kernel 4.4

Esempi di Kernel Exploit

1. Dirty COW (CVE-2016-5195)

  • Descrizione: Race condition nella gestione della memoria copy-on-write
  • Effetto: Escalation a root
  • Comando di esecuzione:
bash
gcc -pthread dirtycow.c -o dirtycow
./dirtycow

2. OverlayFS (CVE-2015-1328)

  • Specifico per Ubuntu
  • Consente scrittura arbitraria su file con privilegi elevati

3. CVE-2022-0847 (Dirty Pipe)

  • Colpisce kernel 5.8+ fino a 5.16.11
  • Permette di sovrascrivere file in sola lettura
  • Estremamente efficace in ambienti moderni

Passaggi per Utilizzo di un Exploit

1. Scaricare l’exploit da Exploit-DB o GitHub 2. Compilarlo (se in C)

bash
gcc exploit.c -o exploit -static

3. Eseguirlo:

bash
./exploit

4. Verificare se si è root:

bash
id
whoami

Risorse Utili