\nGTFOBins<\/a>
\n, le projet open source mont\u00e9 par Emilio Pinna et Andrea Cardaci, qui est devenu LE bookmark obligatoire de tout pentester Linux.<\/p>\n
Ce ne sont pas des exploits, hein, mais juste des fonctions parfaitement l\u00e9gitimes de programmes install\u00e9s partout, et qui dans le bon contexte (genre un bit SUID oubli\u00e9, qui fait tourner un binaire avec les droits du propri\u00e9taire, souvent root) permettent de spawner un shell, lire un fichier prot\u00e9g\u00e9, ou grimper d’un cran dans la hi\u00e9rarchie des privil\u00e8ges. Petit rappel quand m\u00eame, faut d\u00e9j\u00e0 avoir un pied sur la machine, ce n’est pas une porte d’entr\u00e9e magique depuis Internet.<\/p>\n
\n![\"\"](\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/gtfobins-binaires-unix-escalade-privileges\/gtfobins-binaires-unix-escalade-privileges-2.png\")
\n<\/p>\n
Une fois sur leur site, vous tapez le nom d’un binaire dans le moteur de filtre (ou vous cliquez sur une fonction), et hop, vous tombez sur les commandes exactes \u00e0 recopier-coller, et c’est pli\u00e9 en moins de dix secondes.<\/p>\n
Par exemple, si votre cible a un sudo find sans mot de passe, le site vous donne sur un plateau d’argent Un mawk qui tourne en SUID root ? Direct, C’est donc la fin des recherches d\u00e9sesp\u00e9r\u00e9es sur StackOverflow \u00e0 3h du matin pendant un CTF…<\/p>\n La philosophie de ce projet est claire… on ne casse rien, on d\u00e9tourne juste l’usage pr\u00e9vu. Le hic, c’est que la fronti\u00e8re entre d\u00e9tournement et exploitation est mince quand un sudoers mal \u00e9crit donne acc\u00e8s \u00e0 un binaire trop puissant.<\/p>\n \n Les 478 binaires sont rang\u00e9s selon 11 fonctions et 4 contextes d’ex\u00e9cution. C\u00f4t\u00e9 fonctions, vous avez : Shell (228 binaires permettent de spawner un shell, oui presque la moiti\u00e9 du catalogue), File-read (199), File-write (84), Inherit (71), Upload (34), Download (32), Command (30), Reverse-shell (21), Privilege-escalation (14), Library-load (11), et Bind-shell (7). C\u00f4t\u00e9 contextes : Unprivileged, Sudo, SUID, et Capabilities.<\/p>\n Et sur la page d’un binaire, chaque case du tableau vous dit super clairement “voil\u00e0 comment t’en sors selon ce que tu as sous la main<\/em>“.<\/p>\n Les champions toutes cat\u00e9gories ce sont les langages interpr\u00e9t\u00e9s et les shells eux-m\u00eames. zsh, socat, ruby, python, php, node, lua plus bash, tous cumulent 7 fonctions diff\u00e9rentes chacun. C’est logique, d\u00e8s que vous avez un interpr\u00e9teur sous la main vous pouvez faire \u00e0 peu pr\u00e8s tout (lire, \u00e9crire, ex\u00e9cuter, ouvrir une socket).<\/p>\n D’ailleurs c’est pour \u00e7a que les sysadmins parano\u00efaques tirent une t\u00eate bizarre quand on leur dit qu’on a install\u00e9 Python sur un serveur de prod sans cas d’usage explicite. Pfff… je les comprends, un Python qui tra\u00eene sur un serveur Debian avec un sudo NOPASSWD au-dessus, c’est game over en trois lignes.<\/p>\n Y’a un autre d\u00e9tail que je trouve cool \u00e9galement, c’est l’int\u00e9gration Donc pour les blue teams qui veulent justifier une r\u00e8gle de d\u00e9tection en r\u00e9union, c’est tout simplement cadeau !! Et pour ceux qui automatisent leurs scans, l’API JSON compl\u00e8te est dispo sur Bref, GTFOBins c’est aussi un cadeau pour les d\u00e9fenseurs, \u00e0 condition de retourner la logique du projet. Voil\u00e0, \u00e7a vaut le coup d’y passer dix minutes par mois sur un audit.<\/p>\n Pour les Windowsiens qui se sentent oubli\u00e9s, sachez que l’\u00e9quivalent existe et s’appelle Les deux projets se citent mutuellement et forment ensemble la cartographie communautaire des techniques de Living Off The Land cross-OS. Si vous bossez sur les deux c\u00f4t\u00e9s du foss\u00e9, gardez les deux onglets ouverts en permanence ^^ !<\/p>\n Maintenant si l’angle \u00e9l\u00e9vation de privil\u00e8ges via shell restreint vous int\u00e9resse, j’avais d\u00e9j\u00e0 couvert C\u00f4t\u00e9 admin, le r\u00e9flexe utile, \u00e0 vrai dire c’est de lister vos binaires SUID avec Si une entr\u00e9e matche, c’est qu’il y a une fuite potentielle \u00e0 boucher. Attention quand m\u00eame, l’absence dans GTFOBins ne valide pas une r\u00e8gle sudo ou un SUID custom (wildcards, variables d’env, paths inscriptibles peuvent toujours cr\u00e9er un chemin d’\u00e9vasion). Bref, c’est \u00e0 faire avant de filer le moindre sudo NOPASSWD \u00e0 quelqu’un !<\/p>\n","protected":false},"excerpt":{"rendered":" 478 binaires Unix peuvent servir \u00e0 devenir root sur un syst\u00e8me mal configur\u00e9. C’est ce que recense GTFOBins , le projet open source mont\u00e9 par Emilio Pinna et Andrea Cardaci, qui est devenu LE bookmark obligatoire de tout pentester Linux. Ce ne sont pas des exploits, hein, mais juste des fonctions parfaitement l\u00e9gitimes de programmes install\u00e9s partout, et qui dans le bon contexte (genre un bit SUID oubli\u00e9, qui fait tourner un binaire avec les droits du propri\u00e9taire, souvent root) permettent de spawner un shell, lire un fichier prot\u00e9g\u00e9, ou grimper d’un cran dans la hi\u00e9rarchie des privil\u00e8ges. Petit rappel quand m\u00eame, faut d\u00e9j\u00e0 avoir un pied sur la machine, ce n’est pas une porte d’entr\u00e9e magique depuis Internet. Une fois sur leur site, vous tapez le nom d’un binaire dans le moteur de filtre (ou vous cliquez sur une fonction), et hop, vous tombez sur les commandes exactes \u00e0 recopier-coller, et c’est pli\u00e9 en moins de dix secondes. Par exemple, si votre cible a un sudo find sans mot de passe, le site vous donne sur un plateau d’argent sudo find . -exec \/bin\/sh ; -quit. Un mawk qui tourne en SUID root ? Direct, mawk ‘BEGIN {system(“\/bin\/sh”)}’ et bonjour le shell privil\u00e9gi\u00e9. Un vim mal configur\u00e9 (compil\u00e9 avec le support Python ou Lua, ce qui est le cas dans la plupart des distros desktop) ? La page documente comment l’utiliser via :py ou :lua pour ex\u00e9cuter du code arbitraire et retomber sur ses pattes. C’est donc la fin des recherches d\u00e9sesp\u00e9r\u00e9es sur StackOverflow \u00e0 3h du matin pendant un CTF… La philosophie de ce projet est claire… on ne casse rien, on d\u00e9tourne juste l’usage pr\u00e9vu. Le hic, c’est que la fronti\u00e8re entre d\u00e9tournement et exploitation est mince quand un sudoers mal \u00e9crit donne acc\u00e8s \u00e0 un binaire trop puissant. Les 478 binaires sont rang\u00e9s selon 11 fonctions et 4 contextes d’ex\u00e9cution. C\u00f4t\u00e9 fonctions, vous avez : Shell (228 binaires permettent de spawner un shell, oui presque la moiti\u00e9 du catalogue), File-read (199), File-write (84), Inherit (71), Upload (34), Download (32), Command (30), Reverse-shell (21), Privilege-escalation (14), Library-load (11), et Bind-shell (7). C\u00f4t\u00e9 contextes : Unprivileged, Sudo, SUID, et Capabilities. Et sur la page d’un binaire, chaque case du tableau vous dit super clairement “voil\u00e0 comment t’en sors selon ce que tu as sous la main“. Les champions toutes cat\u00e9gories ce sont les langages interpr\u00e9t\u00e9s et les shells eux-m\u00eames. zsh, socat, ruby, python, php, node, lua plus bash, tous cumulent 7 fonctions diff\u00e9rentes chacun. C’est logique, d\u00e8s que vous avez un interpr\u00e9teur sous la main vous pouvez faire \u00e0 peu pr\u00e8s tout (lire, \u00e9crire, ex\u00e9cuter, ouvrir une socket). D’ailleurs c’est pour \u00e7a que les sysadmins parano\u00efaques tirent une t\u00eate bizarre quand on leur dit qu’on a install\u00e9 Python sur un serveur de prod sans cas d’usage explicite. Pfff… je les comprends, un Python qui tra\u00eene sur un serveur Debian avec un sudo NOPASSWD au-dessus, c’est game over en trois lignes. Y’a un autre d\u00e9tail que je trouve cool \u00e9galement, c’est l’int\u00e9gration MITRE ATT&CK . Chaque fonction du site est mapp\u00e9e \u00e0 une technique du framework officiel, accessible via \/mitre.json. Donc pour les blue teams qui veulent justifier une r\u00e8gle de d\u00e9tection en r\u00e9union, c’est tout simplement cadeau !! Et pour ceux qui automatisent leurs scans, l’API JSON compl\u00e8te est dispo sur \/api.json, du coup vous pouvez parser les 478 entr\u00e9es avec un jq ou un petit script Python pour g\u00e9n\u00e9rer des r\u00e8gles de monitoring custom. Bref, GTFOBins c’est aussi un cadeau pour les d\u00e9fenseurs, \u00e0 condition de retourner la logique du projet. Voil\u00e0, \u00e7a vaut le coup d’y passer dix minutes par mois sur un audit. Pour les Windowsiens qui se sentent oubli\u00e9s, sachez que l’\u00e9quivalent existe et s’appelle LOLBAS (Living Off The Land Binaries And Scripts), bien suivi par les analystes Windows depuis 2018. M\u00eame philosophie, m\u00eame format, m\u00eame utilit\u00e9, juste appliqu\u00e9 aux ex\u00e9cutables Microsoft sign\u00e9s que Windows installe par d\u00e9faut. Les deux projets se citent mutuellement et forment ensemble la cartographie communautaire des techniques de Living Off The Land cross-OS. Si vous bossez sur les deux c\u00f4t\u00e9s du foss\u00e9, gardez les deux onglets ouverts en permanence ^^ ! Maintenant si l’angle \u00e9l\u00e9vation de privil\u00e8ges via shell restreint vous int\u00e9resse, j’avais d\u00e9j\u00e0 couvert une vieille faille sudo qui permettait carr\u00e9ment de sortir d’un chroot , et plus largement la biblioth\u00e8que Payloads All The Things qui compl\u00e8te bien GTFOBins sur tout ce qui est exploitation web et post-exploitation. Les deux projets sont compl\u00e9mentaires, GTFOBins se concentre sur les binaires Unix et les abus locaux de fonctionnalit\u00e9s l\u00e9gitimes (shells, transferts, lectures, \u00e9l\u00e9vation conditionnelle), PayloadsAllTheThings ratisse plus large c\u00f4t\u00e9 exploitation web. C\u00f4t\u00e9 admin, le r\u00e9flexe utile, \u00e0 vrai dire c’est de lister vos binaires SUID avec find \/ -perm -4000 -type f 2>\/dev\/null, v\u00e9rifier \/etc\/sudoers plus les fichiers \/etc\/sudoers.d\/* avec sudo -l, puis de passer chaque candidat dans le filtre GTFOBins. Si une entr\u00e9e matche, c’est qu’il y a une fuite potentielle \u00e0 boucher. Attention quand m\u00eame, l’absence dans GTFOBins ne valide pas une r\u00e8gle sudo ou un SUID custom (wildcards, variables d’env, paths inscriptibles peuvent toujours cr\u00e9er un chemin d’\u00e9vasion). Bref, c’est \u00e0 faire avant de filer le moindre sudo NOPASSWD \u00e0 quelqu’un !<\/p>\n","protected":false},"author":1,"featured_media":2868,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-2867","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2867","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=2867"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2867\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/2868"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=2867"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}sudo find . -exec \/bin\/sh ; -quit<\/code>.<\/p>\nmawk 'BEGIN {system(\"\/bin\/sh\")}'<\/code> et bonjour le shell privil\u00e9gi\u00e9. Un vim mal configur\u00e9 (compil\u00e9 avec le support Python ou Lua, ce qui est le cas dans la plupart des distros desktop) ? La page documente comment l’utiliser via :py ou :lua pour ex\u00e9cuter du code arbitraire et retomber sur ses pattes.<\/p>\n![\"\"](\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/gtfobins-binaires-unix-escalade-privileges\/gtfobins-binaires-unix-escalade-privileges-3.png\")
\n<\/p>\n
\nMITRE ATT&CK<\/a>
\n. Chaque fonction du site est mapp\u00e9e \u00e0 une technique du framework officiel, accessible via \/mitre.json<\/code>.<\/p>\n\/api.json<\/code>, du coup vous pouvez parser les 478 entr\u00e9es avec un jq<\/code> ou un petit script Python pour g\u00e9n\u00e9rer des r\u00e8gles de monitoring custom.<\/p>\n
\nLOLBAS<\/a>
\n(Living Off The Land Binaries And Scripts), bien suivi par les analystes Windows depuis 2018. M\u00eame philosophie, m\u00eame format, m\u00eame utilit\u00e9, juste appliqu\u00e9 aux ex\u00e9cutables Microsoft sign\u00e9s que Windows installe par d\u00e9faut.<\/p>\n![\"\"](\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/gtfobins-binaires-unix-escalade-privileges\/gtfobins-binaires-unix-escalade-privileges-4.png\")
<\/p>\n
\nune vieille faille sudo qui permettait carr\u00e9ment de sortir d’un chroot<\/a>
\n, et plus largement la
\nbiblioth\u00e8que Payloads All The Things<\/a>
\nqui compl\u00e8te bien GTFOBins sur tout ce qui est exploitation web et post-exploitation. Les deux projets sont compl\u00e9mentaires, GTFOBins se concentre sur les binaires Unix et les abus locaux de fonctionnalit\u00e9s l\u00e9gitimes (shells, transferts, lectures, \u00e9l\u00e9vation conditionnelle), PayloadsAllTheThings ratisse plus large c\u00f4t\u00e9 exploitation web.<\/p>\nfind \/ -perm -4000 -type f 2>\/dev\/null<\/code>, v\u00e9rifier \/etc\/sudoers<\/code> plus les fichiers \/etc\/sudoers.d\/*<\/code> avec sudo -l<\/code>, puis de passer chaque candidat dans le filtre GTFOBins.<\/p>\n