Bobinas P4G
  • Login
  • Public

    • Public
    • Groups
    • Popular
    • People

Conversation

Notices

  1. asrafil@pod.geraspora.de (asrafil@pod.geraspora.de)'s status on Friday, 25-Jun-2021 17:59:27 UTC asrafil@pod.geraspora.de asrafil@pod.geraspora.de

    Abusando de las #capabilities para escalar #privilegios en #Linux

    En Linux un proceso ejecutándose con privilegios de superusuario o un ejecutable con el bit suid otorga muchas veces permisos demasiado altos durante la ejecución del programa. Es como un "todo o nada" y por lo tanto uno de los principales objetivos que intentará explotar cualquier hacker un poco avispado.

    Para paliar ésto simplemente se dividieron todas las posibles llamadas de kernel privilegiadas en grupos de funcionalidades relacionadas, las llamadas capabilities, que pueden asignarse a un ejecutable. De esa manera, cualquier posible problema de seguridad en un programa minimizará el impacto porque el atacante obtendrá sólo el subconjunto asignado de capacidades, no el acceso a todo el sistema.

    No obstante y como podéis imaginar, también podemos abusar de las capabilities. De hecho en algunos ejercicios nos podremos encontrar un escenario similar al siguiente, que nos permitirá escalar privilegios en máquinas boot2root.

    https://www.hackplayers.com/2021/06/abusando-de-las-capabilities-privesc.html
    #Ñ #gnu #linux #gnulinux #seguridad

    In conversation Friday, 25-Jun-2021 17:59:27 UTC from pod.geraspora.de permalink

    Attachments

    1. Abusando de las capabilities para escalar privilegios en Linux
      from vmotos vis0r
      En Linux un proceso ejecutándose con privilegios de superusuario o un ejecutable con el bit suid otorga muchas veces permisos demasiado alto...

    Feeds

    • Activity Streams
    • RSS 2.0
    • Atom
    • Help
    • About
    • FAQ
    • Privacy
    • Source
    • Version
    • Contact

    Bobinas P4G is a social network. It runs on GNU social, version 2.0.1-beta0, available under the GNU Affero General Public License.

    Creative Commons Attribution 3.0 All Bobinas P4G content and data are available under the Creative Commons Attribution 3.0 license.