037 911 2905
43/44 Đỗ Thừa Luông, Phường Tân Quý, Quận Tân Phú, TP HCM
csdtech656@gmail.com

Blog Details

Đặc Quyền Trên Linux

Leo Thang Đặc Quyền Trên Linux: Sổ Tay Của Kẻ Tấn Công

Leo Thang Đặc Quyền Trên Linux: Sổ Tay Của Kẻ Tấn Công

1. Giới thiệu: Con Đường Leo Thang Của Kẻ Tấn Công Trên Linux

Định Nghĩa Leo Thang Đặc Quyền Từ Góc Nhìn Đội Đỏ

Từ góc nhìn của kẻ tấn công hoặc đội đỏ (red team), leo thang đặc quyền (privilege escalation) không chỉ đơn thuần là việc giành được quyền truy cập cao hơn. Đây là một chiến thuật then chốt, được sử dụng sau khi đã xâm nhập ban đầu vào hệ thống, nhằm đạt được các mục tiêu lớn hơn.1 Quá trình này là sự chuyển đổi từ một vị thế truy cập hạn chế (ví dụ: người dùng thông thường, web shell) sang một vị thế có quyền lực đáng kể, thường là quyền quản trị cao nhất.5

Có hai loại leo thang đặc quyền chính:

  • Leo thang đặc quyền theo chiều dọc (Vertical Privilege Escalation): Đây là hình thức phổ biến nhất và là mục tiêu chính của kẻ tấn công, bao gồm việc một người dùng với quyền hạn thấp giành được quyền hạn cao hơn, ví dụ từ người dùng thông thường lên quyền root.5
  • Leo thang đặc quyền theo chiều ngang (Horizontal Privilege Escalation): Xảy ra khi một người dùng giành được quyền truy cập của một người dùng khác có cùng cấp độ quyền hạn.6 Mặc dù ít trực tiếp dẫn đến quyền root, nó có thể là một bước đệm để thu thập thêm thông tin hoặc tìm kiếm tài khoản có quyền cao hơn.

Điều quan trọng cần nhấn mạnh là leo thang đặc quyền hiếm khi là mục tiêu cuối cùng. Nó là một phương tiện để đạt được mục đích.5 Quyền hạn cao hơn mở ra cánh cửa cho hàng loạt hành động độc hại khác như đánh cắp dữ liệu nhạy cảm, thiết lập cơ chế duy trì truy cập (persistence), di chuyển ngang trong mạng lưới nội bộ, hoặc triển khai mã độc tống tiền (ransomware).2

Mục Tiêu Cuối Cùng: Đạt Quyền Root và Hơn Thế Nữa

Trên hệ điều hành Linux, việc giành được quyền root (người dùng có User ID là 0) đồng nghĩa với việc có được quyền kiểm soát quản trị tuyệt đối đối với hệ thống.1 Quyền root được khao khát bởi vì nó cho phép kẻ tấn công:

  • Đọc/ghi bất kỳ tệp nào trên hệ thống, bao gồm dữ liệu nhạy cảm, tệp cấu hình quan trọng như /etc/shadow (chứa hash mật khẩu người dùng).14
  • Cài đặt các cửa hậu (backdoor) hoặc rootkit để duy trì truy cập lâu dài và ẩn mình.14
  • Vượt qua các cơ chế kiểm soát bảo mật hiện có.
  • Thao túng hoặc xóa bỏ log hệ thống để che giấu dấu vết hoạt động.9
  • Nghe lén lưu lượng mạng đi qua hệ thống.2
  • Tương tác trực tiếp với phần cứng.
  • Sử dụng hệ thống bị xâm nhập làm bàn đạp để tấn công các hệ thống khác trong cùng mạng lưới (di chuyển ngang).2

Vai Trò Sống Còn Của Việc Rà Soát (Enumeration)

Rà soát, hay thu thập thông tin (enumeration), là giai đoạn nền tảng và có vai trò quyết định trong quá trình leo thang đặc quyền.2 Đây là quá trình thu thập một cách có hệ thống mọi thông tin liên quan đến hệ thống mục tiêu đã bị xâm nhập nhằm xác định các điểm yếu tiềm ẩn.13

Nếu không thực hiện rà soát kỹ lưỡng, mọi nỗ lực khai thác sau đó chỉ đơn thuần là những phỏng đoán mò mẫm. Kẻ tấn công bắt buộc phải hiểu rõ môi trường mục tiêu – phiên bản hệ điều hành, phiên bản kernel, các dịch vụ đang chạy, danh sách người dùng, quyền hạn, cấu hình hệ thống – để có thể lựa chọn vector tấn công phù hợp và hiệu quả nhất.2 Mức độ thành công của một cuộc tấn công leo thang đặc quyền thường phụ thuộc hoàn toàn vào chất lượng và chiều sâu của giai đoạn rà soát ban đầu.2 Việc bỏ sót một cấu hình sai tinh vi hoặc một lỗ hổng bảo mật trong quá trình này đồng nghĩa với việc bỏ lỡ con đường tiềm năng dẫn đến quyền root. Hiệu quả của toàn bộ quá trình leo thang đặc quyền tỷ lệ thuận trực tiếp với sự kỹ lưỡng của giai đoạn rà soát. Một giai đoạn rà soát vội vã hoặc không đầy đủ sẽ làm giảm đáng kể cơ hội thành công.5

2. Giai Đoạn Trinh Sát: Rà Soát Hệ Thống Linux

Sau khi có được quyền truy cập ban đầu (dù chỉ là người dùng thường), kẻ tấn công sẽ bắt đầu giai đoạn rà soát hệ thống một cách tỉ mỉ. Giai đoạn này có thể thực hiện thủ công hoặc tự động hóa bằng các công cụ chuyên dụng.

Thăm Dò Thủ Công: Các Lệnh Thu Thập Thông Tin Chính

Kẻ tấn công sử dụng một loạt các lệnh Linux cơ bản để thu thập thông tin quan trọng về hệ thống. Việc hiểu rõ mục đích của từng lệnh là rất cần thiết:

Bảng 1: Các Lệnh Rà Soát Thủ Công Phổ Biến

Danh Mục Lệnh Mục Đích Của Kẻ Tấn Công
Thông Tin Hệ Thống uname -a Xác định phiên bản kernel để tìm kiếm exploit tương ứng.3
cat /etc/os-release, lsb_release -a Xác định bản phân phối Linux (Ubuntu, CentOS,…) để biết các công cụ/lỗ hổng đặc thù.21
hostname Xác định tên máy, có thể gợi ý về vai trò của máy trong mạng.7
Thông Tin Người Dùng whoami, id Biết được người dùng hiện tại và các nhóm thuộc về, xác định quyền hạn ban đầu.7
who, w Xem những người dùng khác đang đăng nhập, tiềm năng cho di chuyển ngang hoặc tìm tài khoản khác.2
cat /etc/passwd Liệt kê tất cả tài khoản người dùng trên hệ thống.24
Thông Tin Tiến Trình ps aux, ps -ef Xem các dịch vụ đang chạy, người dùng nào đang chạy chúng, phát hiện các tiến trình có thể khai thác.2
Thông Tin Mạng netstat -antup, ss -tulnp Liệt kê các cổng đang lắng nghe, đặc biệt là các dịch vụ chỉ chạy cục bộ (localhost).14
ip a, ifconfig Xem cấu hình các giao diện mạng.7
Quyền Sudo sudo -l Kiểm tra cực kỳ quan trọng để phát hiện cấu hình sai sudo, một vector leo thang phổ biến.3
Hệ Thống Tệp & Quyền ls -la /path/to/dir Kiểm tra quyền truy cập chi tiết của tệp/thư mục.
find / -perm -u=s -type f 2>/dev/null Tìm các tệp nhị phân có quyền SUID (thường thuộc sở hữu của root).7
find / -perm -g=s -type f 2>/dev/null Tìm các tệp nhị phân có quyền SGID.7
find / -writable -type d 2>/dev/null, find / -perm -o+w… Tìm các thư mục/tệp có quyền ghi cho mọi người (world-writable), có thể bị lạm dụng.14
mount Xem các hệ thống tệp đang được mount.29
cat /etc/fstab Xem cấu hình mount các hệ thống tệp.
Credentials & Lịch Sử cat ~/.bash_history Tìm kiếm mật khẩu, lệnh nhạy cảm đã được gõ trước đó.2
grep -Ri password /etc /home Tìm kiếm chuỗi “password” trong các tệp cấu hình hoặc thư mục người dùng.2
cat /etc/shadow Đọc hash mật khẩu nếu tệp này có quyền đọc (hiếm gặp nhưng rất giá trị).2

Quét Tự Động: Tận Dụng LinPEAS và LinEnum

Để tăng tốc quá trình rà soát và đảm bảo không bỏ sót các điểm yếu phổ biến, kẻ tấn công thường sử dụng các script tự động như LinPEAS (Linux Privilege Escalation Awesome Script)24LinEnum.2 Mục đích của chúng là thực hiện nhanh chóng hàng loạt các kiểm tra, bao phủ hầu hết các kỹ thuật rà soát thủ công.24

Các script này tự động hóa việc kiểm tra:

  • Thông tin hệ điều hành và kernel.
  • Thông tin người dùng và nhóm.
  • Các dịch vụ mạng đang lắng nghe.
  • Quyền sudo của người dùng hiện tại.
  • Các tệp có quyền SUID/SGID.
  • Các tệp và thư mục có quyền ghi bất thường.
  • Các cron job đã được cấu hình.
  • Các tệp nhạy cảm (chứa mật khẩu, khóa SSH).
  • Các lỗ hổng kernel tiềm năng dựa trên phiên bản.
  • Linux Capabilities được gán cho các tệp.
  • Thông tin về Docker/container nếu có.
  • Và nhiều kiểm tra khác.26

Một đặc điểm nổi bật của LinPEAS là việc sử dụng mã màu để làm nổi bật kết quả34:

  • Màu Đỏ/Vàng: Chỉ ra các phát hiện có khả năng khai thác cao, các cấu hình sai hoặc lỗ hổng nghiêm trọng. Đây là những điểm mà kẻ tấn công sẽ ưu tiên điều tra ngay lập tức.34
  • Màu Xanh Lá: Thường biểu thị các phát hiện ít nghiêm trọng hơn.
  • Màu Xanh Dương: Cung cấp thông tin tham khảo.34

Các công cụ tự động như LinPEAS tạo ra một lượng lớn dữ liệu.35 Kỹ năng của kẻ tấn công không chỉ nằm ở việc chạy công cụ, mà còn ở khả năng phân tích hiệu quả đầu ra, ưu tiên các phát hiện có tác động cao (được đánh dấu màu đỏ/vàng34), và liên kết các mẩu thông tin khác nhau để xác định một con đường leo thang khả thi. Những kẻ tấn công thiếu kinh nghiệm có thể bị lạc trong “biển” thông tin này.35 Công cụ cung cấp dữ liệu thô, nhưng chuyên môn của kẻ tấn công là cần thiết để lọc, diễn giải và kết nối các điểm dữ liệu rời rạc mà script đánh dấu để hình thành một kế hoạch tấn công mạch lạc. Mã màu là một trợ giúp quan trọng trong quá trình lọc này.

Hơn nữa, việc chỉ dựa vào việc phát hiện tên script (linpeas.sh, LinEnum.sh) là không đủ để phòng thủ. Kẻ tấn công có thể dễ dàng đổi tên script hoặc thậm chí thực thi chúng trực tiếp thông qua curl hoặc wget mà không cần lưu vào đĩa (curl… | sh).26 Do đó, việc phát hiện nên tập trung vào hành vi – sự thực thi nhanh chóng của nhiều lệnh rà soát nối tiếp nhau (như id32, find, ps, netstat, v.v.). Việc phát hiện dựa trên hành vi, tập trung vào mẫu lệnh được thực thi bởi các script này, sẽ mạnh mẽ hơn so với việc phát hiện dựa trên chữ ký của chính tệp script.1

3. Các Con Đường Khai Thác Phổ Biến

Sau khi hoàn tất giai đoạn rà soát, kẻ tấn công sẽ phân tích thông tin thu thập được để xác định và khai thác các vector leo thang đặc quyền tiềm năng. Dưới đây là một số kỹ thuật phổ biến nhất.

Khai Thác Lỗ Hổng Kernel: Rủi Ro Cao, Phần Thưởng Lớn

  • Cơ chế: Kỹ thuật này nhắm vào các lỗ hổng bảo mật tồn tại ngay trong nhân (kernel) của hệ điều hành Linux.6 Khai thác thành công thường dẫn đến quyền root ngay lập tức, vì nó cho phép thực thi mã ở chế độ kernel hoặc thao túng các cấu trúc dữ liệu quan trọng của kernel.14
  • Rà soát: Xác định chính xác phiên bản kernel đang chạy bằng lệnh uname -a.14 Sau đó, tìm kiếm các cơ sở dữ liệu lỗ hổng công khai (ví dụ: Exploit-DB thông qua công cụ searchsploit14, hoặc sử dụng các script như Linux Exploit Suggester3) để tìm các mã khai thác (exploit) tương ứng với phiên bản kernel đó.
  • Khai thác: Quy trình điển hình bao gồm việc chuyển mã khai thác lên hệ thống mục tiêu (nếu cần), biên dịch mã khai thác (nếu nó ở dạng mã nguồn), và cuối cùng là thực thi nó.5
  • Ví dụ (Dirty COW – CVE-2016-5195): Được đề cập trong nhiều nguồn10, Dirty COW khai thác một điều kiện tranh chấp (race condition) trong cơ chế Copy-on-Write (COW) của kernel. Lỗ hổng này cho phép người dùng không có đặc quyền ghi vào các vùng nhớ chỉ đọc, từ đó có thể sửa đổi các tệp hệ thống quan trọng như /etc/passwd để tạo người dùng root mới hoặc sửa đổi các tệp nhị phân có quyền SUID.14
  • Cân nhắc của Kẻ tấn công: Phần thưởng rất lớn (quyền root), nhưng đi kèm với rủi ro đáng kể: hệ thống có thể bị treo hoặc khởi động lại, mã khai thác có thể không hoạt động ổn định, và việc thực thi có thể để lại dấu vết hoặc log dễ bị phát hiện.14 Do đó, đây thường được coi là phương án cuối cùng nếu các phương pháp dễ dàng và an toàn hơn thất bại.14

Lạm Dụng Quyền SUID/SGID: Khai Thác Quyền Thực Thi Nâng Cao

  • Cơ chế: Quyền SUID (Set User ID) và SGID (Set Group ID) là các bit đặc biệt trên tệp nhị phân. Khi một tệp nhị phân có bit SUID được thực thi, nó sẽ chạy với quyền của người sở hữu tệp (thường là root) thay vì quyền của người dùng thực thi nó. Tương tự với SGID là quyền của nhóm sở hữu.1 Các tệp nhị phân SUID/SGID bị cấu hình sai hoặc có chức năng có thể bị lạm dụng là những vector leo thang phổ biến.
  • Rà soát: Sử dụng lệnh find để tìm kiếm các tệp có bit SUID (-perm -u=s hoặc -perm -4000) và SGID (-perm -g=s hoặc -perm -2000).2 Các công cụ tự động như LinPEAS/LinEnum cũng thực hiện kiểm tra này.26
  • Khai thác: Sau khi xác định được các tệp nhị phân SUID/SGID đáng ngờ, kẻ tấn công sẽ tìm cách khai thác chúng:
    • GTFOBins: Đây là một tài nguyên cực kỳ quan trọng26, liệt kê các tệp nhị phân Unix tiêu chuẩn có thể bị lạm dụng để leo thang đặc quyền nếu chúng có quyền SUID/SGID. Ví dụ bao gồm các lệnh như find, nmap, vim, python, bash, cp, mv, less, more, v.v.
    • Ví dụ (Nmap): Các phiên bản nmap cũ hơn nếu được cấp quyền SUID root có thể bị khai thác thông qua chế độ tương tác (nmap –interactive), cho phép người dùng thoát ra shell hệ thống (!sh) với quyền root.14
    • Ví dụ (find): Nếu find có quyền SUID, lệnh find. -exec /bin/sh \; -quit có thể được sử dụng để mở một shell root.14
    • Ví dụ (Shared Object Hijacking): Nếu một tệp nhị phân SUID tải một thư viện chia sẻ (shared object – .so) từ một đường dẫn mà người dùng có quyền ghi, kẻ tấn công có thể tạo một tệp .so độc hại với cùng tên và đặt nó vào đường dẫn đó. Khi tệp nhị phân SUID được chạy, nó sẽ tải thư viện độc hại, cho phép thực thi mã với quyền của tệp nhị phân đó.27
  • Cân nhắc của Kẻ tấn công: Kỹ thuật này tương đối phổ biến, thường đáng tin cậy và tận dụng các chức năng hợp pháp theo những cách không mong muốn. GTFOBins là công cụ/tài liệu tham khảo không thể thiếu.

Cấu Hình Sai Sudo: Tận Dụng Các Quy Tắc Quá Rộng Rãi

  • Cơ chế: Lệnh sudo cho phép người dùng thông thường thực thi các lệnh với quyền của người dùng khác (thường là root), dựa trên các quy tắc được định nghĩa trong tệp /etc/sudoers. Các cấu hình sai trong tệp này có thể vô tình cấp quyền quá mức cần thiết, tạo cơ hội cho kẻ tấn công.6
  • Rà soát: Chạy lệnh sudo -l là bước đầu tiên và quan trọng nhất. Lệnh này liệt kê các lệnh mà người dùng hiện tại được phép chạy thông qua sudo.3 LinPEAS tự động kiểm tra điều này. Kẻ tấn công đặc biệt chú ý đến các dòng như (ALL) NOPASSWD: ALL (cho phép chạy mọi lệnh với quyền root mà không cần mật khẩu) hoặc các lệnh cụ thể được liệt kê, nhất là những lệnh cho phép thoát ra shell hoặc thao tác tệp (ví dụ: vim, less, find, cp, mv).3 Một cấu hình nguy hiểm khác cần tìm là env_keep += LD_PRELOAD.22
  • Khai thác:
    • Shell Root Trực Tiếp: Nếu sudo su, sudo -i, hoặc sudo /bin/bash được phép.
    • Lạm Dụng Lệnh Cụ Thể (GTFOBins): Nhiều tiện ích hệ thống tiêu chuẩn có thể bị lạm dụng để sinh ra một shell nếu được chạy qua sudo. Ví dụ: sudo find… -exec sh \;, sudo vim sau đó gõ :!sh, sudo less sau đó gõ !sh, sudo python -c ‘import os; os.system(“/bin/bash”)’.3
    • Khai Thác LD_PRELOAD: Nếu sudo -l hiển thị tùy chọn env_keep += LD_PRELOAD, kẻ tấn công có thể biên dịch một thư viện chia sẻ độc hại (.so) và sử dụng biến môi trường LD_PRELOAD khi chạy một lệnh sudo được phép để thực thi mã tùy ý với quyền root.22
  • Cân nhắc của Kẻ tấn công: Đây là một trong những vector leo thang phổ biến nhất. sudo -l là một trong những lệnh đầu tiên kẻ tấn công chạy sau khi xâm nhập. Việc khai thác thường dựa vào danh sách trên GTFOBins.

Khai Thác Cron Job: Chiếm Quyền Điều Khiển Tác Vụ Lập Lịch

  • Cơ chế: Cron job là các tác vụ được tự động thực thi theo lịch trình định sẵn. Các tác vụ này thường chạy với quyền của người dùng đã cấu hình chúng, và rất nhiều cron job hệ thống chạy với quyền root.7 Kẻ tấn công tìm cách khai thác các cấu hình sai như script có quyền ghi không an toàn, sử dụng đường dẫn tương đối, hoặc lạm dụng ký tự đại diện (wildcard).
  • Rà soát: Kiểm tra crontab hệ thống (/etc/crontab), các thư mục cron (/etc/cron.d/, /etc/cron.hourly/, /etc/cron.daily/, etc.), và crontab của người dùng hiện tại (crontab -l).2 Xác định các script hoặc lệnh được thực thi bởi cron job. Kiểm tra quyền ghi (ls -l) của các script này và các thư mục chứa chúng. Kiểm tra biến PATH được định nghĩa trong /etc/crontab. Tìm kiếm việc sử dụng ký tự đại diện (*) trong các lệnh cron job, đặc biệt là với các lệnh như tar hoặc rsync.22 LinPEAS cũng kiểm tra các cron job.34
  • Khai thác:
    • Script Có Quyền Ghi: Nếu một script được thực thi bởi một cron job của root mà kẻ tấn công có quyền ghi vào, họ có thể chèn các lệnh độc hại (ví dụ: tạo reverse shell, tạo tệp nhị phân SUID) vào script đó. Khi cron job chạy, mã độc sẽ được thực thi với quyền root.14
    • Thư Mục Cron Có Quyền Ghi: Nếu các thư mục như /etc/cron.d có quyền ghi cho mọi người, kẻ tấn công có thể đặt tệp cron job của riêng mình vào đó.14
    • Lạm Dụng PATH: Nếu một cron job thực thi một lệnh mà không chỉ định đường dẫn đầy đủ (ví dụ: backup.sh thay vì /usr/local/bin/backup.sh) và biến PATH trong /etc/crontab bao gồm một thư mục có quyền ghi cho mọi người (như /tmp), kẻ tấn công có thể tạo một script độc hại tên là backup.sh trong /tmp. Cron job sẽ thực thi script độc hại này với quyền root.22
    • Wildcard Injection: Nếu một cron job sử dụng ký tự đại diện với các lệnh như tar hoặc rsync trong một thư mục mà kẻ tấn công có quyền ghi (ví dụ: tar czf /backups/archive.tgz /home/user/*), kẻ tấn công có thể tạo các tệp có tên đặc biệt như –checkpoint-action=exec=sh shell.sh hoặc –use-compress-program=./payload.sh. Khi lệnh tar (hoặc tương tự) xử lý các tệp này, nó sẽ thực thi lệnh hoặc script do kẻ tấn công kiểm soát.22
  • Cân nhắc của Kẻ tấn công: Đòi hỏi sự kiên nhẫn (phải chờ cron job chạy), nhưng có thể cung cấp quyền thực thi root đáng tin cậy nếu tồn tại cấu hình sai. Các vấn đề về PATH và wildcard thường tinh vi hơn và dễ bị bỏ qua.

Quyền Truy Cập Tệp Yếu & Cấu Hình Sai Dịch Vụ: Tìm Kiếm Các Khe Hở

  • Cơ chế: Quyền truy cập quá rộng rãi đối với các tệp/thư mục hoặc các dịch vụ hệ thống được cấu hình không an toàn và chạy với đặc quyền cao là những con đường leo thang phổ biến khác.6
  • Rà soát:
    • Tệp/Thư mục: Sử dụng find / -perm -o+w 2>/dev/null để tìm tệp/thư mục có quyền ghi cho mọi người2, find / -perm -g+w 2>/dev/null cho quyền ghi nhóm. Kiểm tra quyền của các tệp/thư mục quan trọng như /etc/shadow (nếu có thể đọc)2, /etc/passwd (nếu có thể ghi)24, các thư mục cấu hình (/etc/), các tệp nhị phân của dịch vụ.
    • Dịch vụ: Dùng ps aux | grep root để xem các dịch vụ đang chạy với quyền root14, netstat -antup hoặc ss -tulnp để xem các dịch vụ đang lắng nghe.14 Kiểm tra các tệp cấu hình của dịch vụ (ví dụ: web server, database server) để tìm điểm yếu như mật khẩu mặc định, cài đặt không an toàn.
  • Khai thác:
    • /etc/shadow Có Thể Đọc: Kẻ tấn công sao chép hash mật khẩu và cố gắng bẻ khóa ngoại tuyến bằng các công cụ như John the Ripper hoặc Hashcat.2 Nếu thành công, họ có thể dùng lệnh su để chuyển sang người dùng root.
    • /etc/passwd Có Thể Ghi: Kẻ tấn công có thể thêm một người dùng mới với UID 0 (quyền root) hoặc thay đổi hash mật khẩu của người dùng root hiện có.44
    • Tệp Nhị Phân/Cấu Hình Dịch Vụ Có Thể Ghi: Thay thế tệp nhị phân hợp pháp bằng một tệp độc hại, hoặc sửa đổi cấu hình để tải các thành phần độc hại hoặc thay đổi tham số thực thi.11
    • Dịch Vụ Có Thể Khai Thác: Nếu một dịch vụ chạy với quyền root có lỗ hổng đã biết (ví dụ: command injection, xử lý tệp không an toàn), kẻ tấn công có thể khai thác trực tiếp lỗ hổng đó để thực thi mã với quyền root.14 Ví dụ: Khai thác MySQL UDF nếu MySQL chạy với quyền root.14
    • Lạm Dụng PATH: Nếu một người dùng có đặc quyền (ví dụ: root) có thư mục hiện tại (.) trong biến môi trường PATH của họ, kẻ tấn công có thể tạo một script độc hại có tên giống một lệnh phổ biến (ví dụ: ls) trong một thư mục mà người dùng đặc quyền đó có thể sẽ thực thi lệnh. Khi người dùng đặc quyền chạy lệnh ls từ thư mục đó, script độc hại sẽ được thực thi với quyền của họ.14
  • Cân nhắc của Kẻ tấn công: Rất phổ biến. Các cấu hình sai thường dễ khai thác và ít rủi ro hơn so với lỗ hổng kernel. Đòi hỏi rà soát cẩn thận.

Nhiều kỹ thuật phổ biến thường liên kết với nhau. Quyền truy cập tệp yếu có thể tạo điều kiện cho việc khai thác Cron Job (script có thể ghi) hoặc lạm dụng SUID (đường dẫn thư viện chia sẻ có thể ghi). Cấu hình sai Sudo thường liên quan đến việc lạm dụng các tệp nhị phân tiêu chuẩn (GTFOBins), kết nối khái niệm lạm dụng Sudo và SUID. Cấu hình sai dịch vụ có thể xuất phát từ quyền truy cập tệp yếu trên tệp nhị phân/cấu hình hoặc việc chạy dịch vụ với quyền root không cần thiết.3 Do đó, kẻ tấn công không xem xét các kỹ thuật này một cách cô lập mà tìm kiếm các chuỗi liên kết, nơi một điểm yếu này tạo điều kiện khai thác một điểm yếu khác. Điều này nhấn mạnh sự cần thiết của việc phòng thủ theo chiều sâu.

4. Các Vector Leo Thang Nâng Cao

Ngoài các kỹ thuật phổ biến, kẻ tấn công còn có thể sử dụng các phương pháp phức tạp hơn để leo thang đặc quyền.

Linux Capabilities: Quyền Hạn Chi Tiết, Tác Động Lớn

  • Cơ chế: Linux Capabilities chia nhỏ quyền lực của root thành các đặc quyền riêng lẻ có thể gán cho từng tiến trình.36 Nếu một tệp nhị phân được gán các capabilities không cần thiết hoặc nguy hiểm, kẻ tấn công có thể lạm dụng chúng.7 Trọng tâm là các capabilities trong tập Effective (e – có hiệu lực) và Permitted (p – được phép).36
  • Rà soát: Sử dụng getcap -r / 2>/dev/null để tìm các tệp nhị phân có capabilities được thiết lập.36 Sử dụng capsh –print để kiểm tra capabilities của tiến trình hiện tại.29 LinPEAS cũng bao gồm kiểm tra capabilities. Tìm kiếm các tệp nhị phân có capabilities dạng +ep (effective và permitted).36

Bảng 2: Các Linux Capabilities Có Thể Khai Thác

Capability Mô tả Ngắn Gọn Vector Khai Thác Của Kẻ Tấn Công
CAP_SYS_ADMIN Quyền quản trị hệ thống cực kỳ mạnh36 Gắn hệ thống tệp độc hại, tải module kernel (có thể), thực thi các tác vụ quản trị khác để leo thang.36
CAP_SYS_MODULE Cho phép tải/dỡ bỏ module kernel38 Tải module kernel độc hại (ví dụ: reverse shell, cấp quyền) thông qua tệp nhị phân có capability này.48
CAP_SETUID Cho phép thay đổi User ID của tiến trình36 Nếu tệp nhị phân (như python, perl) có cap_setuid+ep, sử dụng lệnh scripting để đặt UID thành 0 (root) (os.setuid(0) trong Python).36
CAP_SETGID Cho phép thay đổi Group ID của tiến trình36 Tương tự CAP_SETUID, nhưng cho GID.
CAP_CHOWN Cho phép thay đổi quyền sở hữu tệp36 Chiếm quyền sở hữu các tệp quan trọng như /etc/shadow hoặc các tệp nhị phân SUID.
CAP_DAC_OVERRIDE Vượt qua kiểm tra quyền ghi/thực thi tệp36 Ghi đè lên các tệp được bảo vệ (ví dụ: /etc/passwd, script cron).
CAP_DAC_READ_SEARCH Vượt qua kiểm tra quyền đọc/tìm kiếm tệp36 Đọc các tệp nhạy cảm như /etc/shadow.
CAP_NET_BIND_SERVICE Bind vào các cổng đặc quyền (<1024)46 Có thể dùng để chạy dịch vụ giả mạo trên cổng chuẩn.
CAP_NET_RAW Sử dụng RAW và PACKET sockets46 Có thể dùng để giả mạo gói tin hoặc nghe lén mạng.
CAP_SYS_CHROOT Sử dụng syscall chroot(2)46 Có thể dùng để thoát khỏi môi trường chroot bị giới hạn.
CAP_SYS_PTRACE Theo dõi/điều khiển tiến trình khác Có thể dùng để inject mã vào tiến trình có quyền cao hơn (đòi hỏi thêm điều kiện).

* Tích hợp GTFOBins: Nhiều mục trên GTFOBins hiện bao gồm các phương pháp khai thác capabilities.36 Ví dụ, vim với cap_setuid+ep có thể được dùng để lấy quyền root thông qua :py3 import os; os.setuid(0); os.execl(…).36

Cân nhắc của Kẻ tấn công: Ít phổ biến hơn SUID/sudo nhưng rất mạnh mẽ. Đòi hỏi hiểu biết về các capabilities cụ thể. Việc khai thác thường tương tự như lạm dụng SUID thông qua GTFOBins. CAP_SYS_MODULE đặc biệt nguy hiểm.

Tiêm Nhiễm Shared Object: Kỹ Thuật LD_PRELOAD

  • Cơ chế: Biến môi trường LD_PRELOAD buộc hệ thống tải một thư viện chia sẻ (.so) cụ thể trước các thư viện khác khi một chương trình khởi động. Nếu kẻ tấn công có thể kiểm soát biến này cho một tiến trình chạy với quyền cao hơn (thường thông qua tùy chọn env_keep của sudo), họ có thể tiêm mã độc vào tiến trình đó.22
  • Rà soát: Kiểm tra kết quả sudo -l để tìm dòng env_keep+=LD_PRELOAD.22 Kiểm tra xem có tệp nhị phân SUID nào tải thư viện từ các vị trí người dùng có thể ghi không (ít phổ biến hơn cho chính LD_PRELOAD).
  • Khai thác:
    1. Viết mã C đơn giản chứa một hàm khởi tạo (__attribute__((constructor))) thực thi payload mong muốn (ví dụ: setuid(0); setgid(0); system(“/bin/bash”);).27
    2. Biên dịch mã C này thành một tệp thư viện chia sẻ (gcc -shared -fPIC -o malicious.so malicious.c -nostartfiles).22
    3. Thực thi lệnh mục tiêu có đặc quyền (ví dụ: lệnh được phép qua sudo) đồng thời đặt biến LD_PRELOAD trỏ đến tệp .so độc hại (sudo LD_PRELOAD=/path/to/malicious.so /usr/bin/allowed_command).22
  • Cân nhắc của Kẻ tấn công: Phụ thuộc vào điều kiện cụ thể (env_keep+=LD_PRELOAD trong sudoers) nhưng dẫn trực tiếp đến việc thực thi mã với quyền của lệnh mục tiêu. Khai thác tương đối đơn giản nếu điều kiện được đáp ứng.

Thoát Khỏi Container: Phá Vỡ Các Bức Tường Giam Hãm

  • Cơ chế: Khai thác các cấu hình sai hoặc lỗ hổng trong các trình quản lý container (Docker, containerd) hoặc các hệ thống điều phối (Kubernetes) để thoát khỏi sự cô lập của container và giành quyền truy cập vào hệ thống máy chủ (host) bên dưới, thường là với quyền hạn nâng cao.29
  • Rà soát (Bên trong Container): Kiểm tra cờ –privileged (thường qua capsh –print hiển thị đầy đủ capabilities29), kiểm tra xem Docker socket (/var/run/docker.sock) có được mount vào không50, tìm các HostPath mount nhạy cảm (lệnh mount29), kiểm tra các capabilities được cấp quá mức (capsh –print47), tìm token của Kubernetes service account (/var/run/secrets/kubernetes.io/serviceaccount/token).
  • Khai thác:
    • Container Đặc Quyền (Privileged Container): Nếu cờ –privileged (Docker46) hoặc securityContext.privileged: true (Kubernetes29) được thiết lập, container có quyền truy cập tương đương root trên host. Việc thoát ra thường đơn giản, ví dụ: mount hệ thống tệp của host (mount /dev/sda1 /host) hoặc sử dụng nsenter để vào namespace của host. 29 minh họa việc thoát ra bằng chroot /host-system khi thư mục gốc của host được mount vào.
    • Mount Docker Socket: Nếu /var/run/docker.sock được mount vào container, kẻ tấn công có thể cài đặt Docker CLI bên trong container và sử dụng nó để chạy một container mới có đặc quyền trên host: docker run -v /:/host –privileged -it alpine chroot /host /bin/sh.50
    • Lạm Dụng Volume HostPath: Nếu một thư mục nhạy cảm của host (ví dụ: /etc, /root, /var/lib/kubelet) được mount vào container với quyền ghi thông qua hostPath (Kubernetes29) hoặc cờ -v (Docker), kẻ tấn công có thể sửa đổi các tệp quan trọng của host (ví dụ: thêm khóa SSH vào /root/.ssh/authorized_keys, thêm cron job, sửa đổi /etc/shadow). 29 cho thấy việc truy cập /etc/kubernetes/admin.conf thông qua host mount.
    • Lạm Dụng Capabilities: Các capabilities cụ thể được cấp cho container (ví dụ: CAP_SYS_ADMIN, CAP_SYS_MODULE) có thể bị lạm dụng tương tự như khai thác capabilities trên host, có khả năng cho phép tương tác với host.46
    • Lỗ Hổng Runtime: Khai thác các CVE trong chính trình quản lý container (ví dụ: runC CVE-2019-573649).
    • Đặc Thù Kubernetes: Lạm dụng các vai trò RBAC quá rộng rãi được gán cho service account của container, khai thác các admission controller được cấu hình sai51, hoặc các lỗ hổng trong các thành phần cluster (ví dụ: Kubelet API, etcd52).
  • Cân nhắc của Kẻ tấn công: Ngày càng trở nên quan trọng do sự phổ biến của container. Cấu hình sai rất phổ biến. Thành công thường mang lại quyền root trên host hoặc quyền quản trị cluster. Đòi hỏi hiểu biết về các khái niệm container/Kubernetes.

Việc sử dụng container đã thay đổi chiến trường leo thang đặc quyền. Nó giới thiệu các lớp và giao diện mới (daemon runtime, API điều phối, service account, CNI) trở thành mục tiêu tấn công. Kẻ tấn công tận dụng các cấu hình sai tại các giao diện này (cờ privileged, mount socket, HostPath, RBAC) để vượt qua các kiểm soát cấp hệ điều hành truyền thống bên trong container.29 Do đó, bảo mật container đòi hỏi phải bảo vệ không chỉ image container mà còn cả cấu hình runtime, chính sách điều phối và môi trường host, vì kẻ tấn công nhắm vào sự tương tác giữa các lớp này.

Điều Kiện Tranh Chấp (Race Conditions): Khai Thác Lỗi Thời Gian

  • Cơ chế: Khai thác các lỗi trong đó kết quả của một hoạt động phụ thuộc vào thứ tự thời gian không thể đoán trước của các sự kiện đồng thời (luồng/tiến trình). Kẻ tấn công thao túng thời gian để vượt qua các kiểm tra bảo mật hoặc làm hỏng dữ liệu/trạng thái, thường là giữa thời điểm kiểm tra (ví dụ: quyền) và thời điểm sử dụng (ví dụ: truy cập tệp) – còn gọi là TOCTOU (Time-of-Check to Time-of-Use).17
  • Rà soát: Khó rà soát trực tiếp. Thường được phát hiện thông qua phân tích mã nguồn hoặc fuzzing. Đôi khi liên quan đến việc xử lý tệp tạm thời (/tmp, /var/tmp55) hoặc các hệ thống con cụ thể của kernel (quản lý bộ nhớ, IPC).
  • Khai thác (Ví dụ):
    • Dirty COW (CVE-2016-5195): Điều kiện tranh chấp trong xử lý bộ nhớ Copy-on-Write (COW) của kernel. Cho phép ghi vào các vùng nhớ chỉ đọc bằng cách chạy đua giữa madvise(MADV_DONTNEED) và việc ghi vào /proc/self/mem.10 Tác động: Sửa đổi tệp nhị phân SUID hoặc /etc/passwd.
    • Dirty Pipe (CVE-2022-0847): Lỗi trong việc khởi tạo cờ của bộ đệm pipe (PIPE_BUF_FLAG_CAN_MERGE) cho phép ghi vào các tệp chỉ đọc tùy ý thông qua syscall splice().17 Tác động: Sửa đổi tệp nhị phân SUID, /etc/passwd, tệp cron, khóa SSH.61 Yêu cầu quyền đọc đối với tệp mục tiêu.66
    • PwnKit (CVE-2021-4034): Lỗi hỏng bộ nhớ trong pkexec do xử lý sai trường hợp argc=0. Cho phép ghi ra ngoài giới hạn (out-of-bounds write) để đưa các biến môi trường không an toàn (như LD_PRELOAD) trở lại môi trường của pkexec, dẫn đến thực thi mã với quyền root.69
    • Nimbuspwn (CVE-2022-29799, CVE-2022-29800): Kết hợp lỗi duyệt thư mục, symlink race và TOCTOU trong networkd-dispatcher. Cho phép kẻ tấn công kiểm soát một dịch vụ D-Bus chạy các script với quyền root bằng cách chiến thắng điều kiện tranh chấp giữa việc phát hiện script và thực thi script.18
    • Apport PID Race (CVE-2021-32557): Điều kiện tranh chấp trong trình xử lý sự cố Apport của Ubuntu. Nếu một tiến trình đặc quyền bị lỗi và Apport xử lý nó, kẻ tấn công có thể chạy đua để tái sử dụng PID của tiến trình bị lỗi trước khi Apport đọc xong thông tin từ /proc/[PID]/. Điều này khiến Apport đọc thông tin (như cwd) từ tiến trình mới của kẻ tấn công, dẫn đến việc ghi tệp core dump (thuộc sở hữu của kẻ tấn công) vào thư mục làm việc của tiến trình đặc quyền, có thể khai thác thông qua logrotate.59
  • Cân nhắc của Kẻ tấn công: Các mã khai thác có thể phức tạp nhưng tác động rất lớn (thường là root trực tiếp). Các lỗ hổng nổi tiếng như Dirty Pipe và PwnKit có sẵn mã khai thác dễ sử dụng. Độ tin cậy có thể thay đổi; một số cuộc đua rất khó để chiến thắng một cách nhất quán.57

Sự xuất hiện của các lỗ hổng có tác động lớn và dễ khai thác như Dirty Pipe và PwnKit đã thúc đẩy việc vá lỗi nhanh chóng trên các bản phân phối.61 Tuy nhiên, chính sự tồn tại của những lỗi này (PwnKit đã tồn tại hơn 12 năm71) cho thấy rằng các lỗ hổng chưa được biết đến có khả năng vẫn còn tồn tại. Điều này ngụ ý rằng việc chỉ dựa vào vá lỗi là không đủ; các biện pháp phòng thủ chủ động như làm cứng hệ thống (nguyên tắc đặc quyền tối thiểu, quản lý cấu hình, giám sát) và giả định rằng hệ thống có thể bị xâm nhập là những tư thế phòng thủ cần thiết.5

5. Kết Luận: Trò Chơi Leo Thang Không Hồi Kết

Quá trình leo thang đặc quyền trên Linux, từ góc nhìn của kẻ tấn công, là một hành trình có phương pháp: bắt đầu bằng việc giành quyền truy cập ban đầu, tiếp theo là rà soát hệ thống một cách tỉ mỉ để tìm ra điểm yếu, sau đó lựa chọn và thực thi vector tấn công phù hợp (dù là cấu hình sai hay lỗ hổng bảo mật), và cuối cùng là đạt được đặc quyền nâng cao (thường là root) để thực hiện các mục tiêu cuối cùng như duy trì truy cập, đánh cắp dữ liệu hoặc di chuyển sang các hệ thống khác.

Đây là một cuộc rượt đuổi không ngừng nghỉ. Lực lượng phòng thủ liên tục vá lỗi và tăng cường bảo mật hệ thống5, trong khi kẻ tấn công không ngừng nghiên cứu các kỹ thuật mới, tìm kiếm lỗ hổng zero-day hoặc khai thác những cấu hình sai bị bỏ sót.12 Bối cảnh bảo mật liên tục thay đổi với sự xuất hiện của các công nghệ mới như container, mở ra những mặt trận mới cho cuộc chiến này.54

Đối với đội đỏ hoặc kẻ tấn công, thành công phụ thuộc vào sự kết hợp của việc rà soát kỹ lưỡng, khả năng giải quyết vấn đề một cách sáng tạo và khả năng thích ứng các kỹ thuật với môi trường mục tiêu cụ thể. Việc hiểu rõ tại sao đằng sau mỗi bước đi cũng quan trọng không kém việc biết cách thực hiện nó. Cuộc chơi leo thang đặc quyền trên Linux đòi hỏi sự kiên nhẫn, kỹ năng và một tư duy không ngừng tìm tòi, khai thác.

Works cited

  • Privilege Escalation, Tactic TA0004 – Enterprise – MITRE ATT&CK®, accessed on April 14, 2025, https://attack.mitre.org/tactics/TA0004/
  • Linux Privilege Escalation Course – HTB Academy, accessed on April 14, 2025, https://academy.hackthebox.com/course/preview/linux-privilege-escalation
  • Linux Red Team Privilege Escalation Techniques | Linode Docs, accessed on April 14, 2025, https://www.linode.com/docs/guides/linux-red-team-privilege-escalation-techniques/
  • Privilege Escalation Attacks | Types, Examples and Defense – Cyphere, accessed on April 14, 2025, https://thecyphere.com/blog/privilege-escalation-attacks/
  • What Is Privilege Escalation? – Cynet, accessed on April 14, 2025, https://www.cynet.com/network-attacks/privilege-escalation/
  • What is Privilege Escalation | Prevention Techniques – Imperva, accessed on April 14, 2025, https://www.imperva.com/learn/data-security/privilege-escalation/
  • Privilege Escalation on Linux (With Examples) – Delinea, accessed on April 14, 2025, https://delinea.com/blog/linux-privilege-escalation
  • Testing for Privilege Escalation – OWASP Foundation, accessed on April 14, 2025, https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/05-Authorization_Testing/03-Testing_for_Privilege_Escalation
  • What is Privilege Escalation? – CrowdStrike, accessed on April 14, 2025, https://www.crowdstrike.com/en-us/cybersecurity-101/cyberattacks/privilege-escalation/
  • Mitigating Privilege Escalation Vulnerabilities in the Linux Kernel – TuxCare, accessed on April 14, 2025, https://tuxcare.com/blog/understanding-and-mitigating-privilege-escalation-vulnerabilities-in-the-linux-kernel/
  • Privilege Escalation on Windows (With Examples) – Delinea, accessed on April 14, 2025, https://delinea.com/blog/windows-privilege-escalation
  • Privilege Escalation Attacks: Types, Examples, And Prevention – PurpleSec, accessed on April 14, 2025, https://purplesec.us/learn/privilege-escalation-attacks/
  • Privilege Escalation in Windows, Linux, and K8s – Aqua Security, accessed on April 14, 2025, https://www.aquasec.com/cloud-native-academy/supply-chain-security/privilege-escalation/
  • Linux Privilege Escalation Guide (Updated for 2024) – Payatu, accessed on April 14, 2025, https://payatu.com/blog/a-guide-to-linux-privilege-escalation/
  • Privilege Escalation: How Attackers Level Up – Red Canary, accessed on April 14, 2025, https://redcanary.com/resources/webinars/privilege-escalation/
  • Pen Test Like a Red Teamer – Beyond the Checklist – IOActive, accessed on April 14, 2025, https://ioactive.com/pen-test-like-a-red-teamer-beyond-the-checklist/
  • What is the Dirty COW exploit, and how to prevent it – Spectral, accessed on April 14, 2025, https://spectralops.io/blog/what-is-the-dirty-cow-exploit-and-how-to-prevent-it/
  • Microsoft Discovers New Privilege Escalation Flaws in Linux Operating System, accessed on April 14, 2025, https://thehackernews.com/2022/04/microsoft-discovers-new-privilege.html
  • Nimbuspwn: New Root Privilege Escalation Found in Linux | eSecurity Planet, accessed on April 14, 2025, https://www.esecurityplanet.com/threats/nimbuspwn-root-privilege-escalation-linux/
  • Microsoft finds new elevation of privilege Linux vulnerability, Nimbuspwn, accessed on April 14, 2025, https://www.microsoft.com/en-us/security/blog/2022/04/26/microsoft-finds-new-elevation-of-privilege-linux-vulnerability-nimbuspwn/
  • Linux Red Team Exploitation Techniques | Linode Docs, accessed on April 14, 2025, https://www.linode.com/docs/guides/linux-red-team-exploitation-techniques/
  • Linux Privilege Escalation – TryHackMe, accessed on April 14, 2025, https://tryhackme.com/room/linprivesc
  • Windows Privilege Escalation Course – HTB Academy, accessed on April 14, 2025, https://academy.hackthebox.com/course/preview/windows-privilege-escalation
  • Linux Privilege Escalation: Techniques, Prevention & More – StrongDM, accessed on April 14, 2025, https://www.strongdm.com/blog/linux-privilege-escalation
  • A hands-on approach to Linux Privilege Escalation | Safe Security, accessed on April 14, 2025, https://safe.security/wp-content/uploads/a-hands-on-approach-to-linux-privilege-escalation.pdf
  • Linux Post-Exploit Cheat Sheet – Pacific Cybersecurity, accessed on April 14, 2025, https://cyberlab.pacific.edu/resources/linux-post-exploit-cheat-sheet
  • Linux PrivEsc Arena – TryHackMe, accessed on April 14, 2025, https://tryhackme.com/room/linuxprivescarena
  • AI-Augmented Ethical Hacking: A Practical Examination of Manual Exploitation and Privilege Escalation in Linux Environments – arXiv, accessed on April 14, 2025, https://arxiv.org/html/2411.17539v1
  • Container escape to the host system | Kubernetes Goat – Madhu Akula, accessed on April 14, 2025, https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-4/container-escape-to-the-host-system-in-kubernetes-containers/welcome
  • Linux PrivEsc – TryHackMe, accessed on April 14, 2025, https://tryhackme.com/room/linuxprivesc
  • OSCP Notes – LinkedIn, accessed on April 14, 2025, https://media.licdn.com/dms/document/media/v2/D4D1FAQGQw80dMN_xCg/feedshare-document-pdf-analyzed/B4DZR6EdCnG8Ak-/0/1737214798731?e=1741219200&v=beta&t=gjeqHXZOI5frLpO7BrGu9p8v5PnBbGZvR5KruRQt3vo
  • Unusual User Privilege Enumeration via id | Elastic Security Solution [8.17], accessed on April 14, 2025, https://www.elastic.co/guide/en/security/current/unusual-user-privilege-enumeration-via-id.html
  • Analytics Story: Linux Post-Exploitation – Splunk Security Content, accessed on April 14, 2025, https://research.splunk.com/stories/linux_post-exploitation/
  • Linpeas For Linux Security – Lesson and Lab – YouTube, accessed on April 14, 2025, https://www.youtube.com/watch?v=GY7dtgDgDKg
  • Linux Privilege Escalation: Understanding LinEnum – YouTube, accessed on April 14, 2025, https://m.youtube.com/watch?v=E4_n_RbyoxQ
  • Linux Privilege Escalation using Capabilities – Securium Solutions, accessed on April 14, 2025, https://securiumsolutions.com/linux-privilege-escalation-using-capabilities/
  • Linux Privilege Escalation: Techniques and Security Tips – Vaadata, accessed on April 14, 2025, https://www.vaadata.com/blog/linux-privilege-escalation-techniques-and-security-tips/
  • Unlocking Power Safely: Privilege Escalation via Linux Process …, accessed on April 14, 2025, https://www.elastic.co/security-labs/unlocking-power-safely-privilege-escalation-via-linux-process-capabilities
  • Linux Privilege Escalation: Sudo + LD_PRELOAD – YouTube, accessed on April 14, 2025, https://www.youtube.com/watch?v=bzjnIi5u9OQ
  • OSCP – Linux Privilege Escalation Methodology – YouTube, accessed on April 14, 2025, https://www.youtube.com/watch?v=VpNaPAh93vE
  • LLMs as Hackers: Autonomous Linux Privilege Escalation Attacks – arXiv, accessed on April 14, 2025, https://arxiv.org/html/2310.11409v3
  • CWE-732: Incorrect Permission Assignment for Critical Resource – MITRE Corporation, accessed on April 14, 2025, https://cwe.mitre.org/data/definitions/732.html
  • The Most Common Security Weaknesses: CWE Top 25 and OWASP Top 10, accessed on April 14, 2025, https://www.picussecurity.com/resource/blog/the-most-common-security-weaknesses-cwe-top-25-and-owasp-top-10
  • [VulnHub] Basic Pentesting 1 Walkthrough – razrsec, accessed on April 14, 2025, https://blog.razrsec.uk/basic-pentesting-1-walkthrough/
  • Pentesting Cheatsheets – Red Team Notes, accessed on April 14, 2025, https://www.ired.team/offensive-security-experiments/offensive-security-cheetsheets
  • Privilege Escalation in Docker | SecureFlag Security Knowledge Base, accessed on April 14, 2025, https://knowledge-base.secureflag.com/vulnerabilities/broken_authorization/privilege_escalation_docker.html
  • Container Escape: All You Need is Cap (Capabilities) – Cybereason, accessed on April 14, 2025, https://www.cybereason.com/blog/container-escape-all-you-need-is-cap-capabilities
  • Exploiting Linux Capabilities: CAP_SYS_MODULE – Redfox Security, accessed on April 14, 2025, https://redfoxsec.com/blog/exploiting-linux-capabilities-capsysmodule-exploits/
  • Container Breakouts: Escape Techniques in Cloud Environments, accessed on April 14, 2025, https://unit42.paloaltonetworks.com/container-escape-techniques/
  • Docker Security – OWASP Cheat Sheet Series, accessed on April 14, 2025, https://cheatsheetseries.owasp.org/cheatsheets/Docker_Security_Cheat_Sheet.html
  • Kubernetes Security – OWASP Cheat Sheet Series, accessed on April 14, 2025, https://cheatsheetseries.owasp.org/cheatsheets/Kubernetes_Security_Cheat_Sheet.html
  • OWASP Kubernetes Top 10 – Sysdig, accessed on April 14, 2025, https://sysdig.com/blog/top-owasp-kubernetes/
  • Docker – Internal All The Things, accessed on April 14, 2025, https://swisskyrepo.github.io/InternalAllTheThings/containers/docker/
  • Security in Kubernetes using OWASP – Avisi Cloud, accessed on April 14, 2025, https://docs.avisi.cloud/blog/k8s-security-principles
  • Study of Race Condition: A Privilege Escalation Vulnerability – International Institute of Informatics and Cybernetics, accessed on April 14, 2025, https://www.iiisci.org/journal/pdv/sci/pdfs/SA025BU17.pdf
  • Study of Race Condition: A Privilege Escalation Vulnerability – International Institute of Informatics and Systemics, accessed on April 14, 2025, https://www.iiis.org/CDs2017/CD2017Summer/papers/SA025BU.pdf
  • EXPRACE: Exploiting Kernel Races through Raising Interrupts – USENIX, accessed on April 14, 2025, https://www.usenix.org/system/files/sec21fall-lee-yoochan.pdf
  • Nimbuspwn: Leveraging vulnerabilities to exploit Linux via Privilege Escalation – Elastic, accessed on April 14, 2025, https://www.elastic.co/es/security-labs/nimbuspwn-leveraging-vulnerabilities-to-exploit-linux-via-privilege-escalation
  • CVE-2020–15702 Race Condition vulnerability in handling of PID by apport – Flatt Security, accessed on April 14, 2025, https://flatt.tech/research/posts/race-condition-vulnerability-in-handling-of-pid-by-apport/
  • The Dirty Pipe (CVE-2022-0847) Explained – SecQuest, accessed on April 14, 2025, https://www.secquest.co.uk/white-papers/dirty-pipe-cve-2022-0847
  • CVE-2022-0847: “Dirty Pipe” Linux Local Privilege Escalation | Sysdig, accessed on April 14, 2025, https://sysdig.com/blog/cve-2022-0847-dirty-pipe-sysdig/
  • Containerized Applications and the Dirty Pipe Exploit (CVE-2022-0847) | Snyk, accessed on April 14, 2025, https://snyk.io/blog/dirty-pipe-vulnerability-cve-2022-0847-containerized-applications/
  • Linux “Dirty Pipe” CVE-2022-0847 Vulnerability Exploitation Explained – Picus Security, accessed on April 14, 2025, https://www.picussecurity.com/resource/linux-dirty-pipe-cve-2022-0847-vulnerability-exploitation-explained
  • Mitigating CVE-2022-0847 (The Dirty Pipe Vulnerability) – Ivanti, accessed on April 14, 2025, https://www.ivanti.com/blog/how-to-mitigate-cve-2022-0847-the-dirty-pipe-vulnerability
  • Detecting and responding to Dirty Pipe with Elastic — Elastic Security Labs, accessed on April 14, 2025, https://www.elastic.co/security-labs/detecting-and-responding-to-dirty-pipe-with-elastic
  • Dirty Pipe Explained – CVE-2022-0847 – HackTheBox, accessed on April 14, 2025, https://www.hackthebox.com/blog/Dirty-Pipe-Explained-CVE-2022-0847
  • Dirty Pipe Makes Linux Privilege Escalation Easy | eSecurity Planet, accessed on April 14, 2025, https://www.esecurityplanet.com/threats/dirty-pipe-linux-privilege-escalation/
  • Exploiting Dirty Pipe (CVE-2022-0847) – Raxis, accessed on April 14, 2025, https://raxis.com/blog/exploiting-dirty-pipe-cve-2022-0847/
  • CVE-2021-4034 – Arctic Wolf, accessed on April 14, 2025, https://arcticwolf.com/resources/blog/cve-2021-4034/
  • CVE-2021-4034: A Walkthrough of Pwnkit — the Latest Linux Privileges Escalation Vulnerability – Mend.io, accessed on April 14, 2025, https://www.mend.io/blog/polkit-pkexec-vulnerability-cve-2021-4034/
  • The tale of CVE-2021-4034 AKA PwnKit, The 13-Year Old Bug – HackTheBox, accessed on April 14, 2025, https://www.hackthebox.com/blog/The-tale-of-CVE-2021-4034-AKA-PwnKit-The-13-Year-Old-Bug
  • Trustwave Action Response: Polkit Privilege Escalation Vulnerability – PwnKit (CVE-2021-4034), accessed on April 14, 2025, https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/trustwave-action-response-polkit-privilege-escalation-vulnerability-pwnkit-cve-2021-4034/
  • Qualys Security Advisory pwnkit: Local Privilege Escalation in polkit’s pkexec (CVE-2021-4034), accessed on April 14, 2025, https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt
  • PwnKit: Local Privilege Escalation Vulnerability Discovered in polkit’s pkexec (CVE-2021-4034) | Qualys Security Blog, accessed on April 14, 2025, https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034
  • Pwnkit Exploitation Guide: Unveiling CVE-2021-4034 Insights – INE, accessed on April 14, 2025, https://ine.com/blog/exploiting-pwnkit-cve-20214034
  • Checking for Vulnerable Systems for CVE-2021-4034 with PwnKit-Hunter – CyberArk, accessed on April 14, 2025, https://www.cyberark.com/resources/threat-research-blog/checking-for-vulnerable-systems-for-cve-2021-4034-with-pwnkit-hunter
  • Nimbuspwn Vulnerability Discovered By Microsoft – PurpleSec, accessed on April 14, 2025, https://purplesec.us/breach-report/nimbuspwn-vulnerability/
  • Privilege escalation vulnerabilities discovered in Linux known as Nimbuspwn, accessed on April 14, 2025, https://fourcore.io/blogs/nimbuspwn-linux-vulnerabilities-allows-root-access-cve-2022-29799-and-cve-2022-29800
  • CVE-2022-29799 and CVE-2022-29800 Detection: Novel Privilege Escalation Vulnerabilities in Linux OS Known as Nimbuspwn – SOC Prime, accessed on April 14, 2025, https://socprime.com/blog/cve-2022-29799-and-cve-2022-29800-detection-novel-privilege-escalation-vulnerabilities-in-linux-os-known-as-nimbuspwn/
  • Microsoft points out privilege-escalation flaws in Linux – The Register, accessed on April 14, 2025, https://www.theregister.com/2022/04/27/microsoft-linux-vulnerability/
  • Nimbuspwn: Leveraging vulnerabilities to exploit Linux via Privilege Escalation – Elastic, accessed on April 14, 2025, https://www.elastic.co/security-labs/nimbuspwn-leveraging-vulnerabilities-to-exploit-linux-via-privilege-escalation
  • Dirty Pipe: Linux Kernel Vulnerability Could Lead to Root Privileges – CVE-2022-0847 – Arctic Wolf, accessed on April 14, 2025, https://arcticwolf.com/resources/blog/dirty-pipe-linux-kernel-vulnerability-could-lead-to-root-privileges-cve-2022-0847/
  • Linux Privilege Escalation Exploit Vulnerability – Blackswan Cybersecurity, accessed on April 14, 2025, https://blackswan-cybersecurity.com/linux-privilege-escalation-exploit-vulnerability/
  • LLMs as Hackers: Autonomous Linux Privilege Escalation Attacks – arXiv, accessed on April 14, 2025, https://arxiv.org/html/2310.11409v5
  • Privilege Escalation Using HackTricks with Carlos Polop – Delinea, accessed on April 14, 2025, https://delinea.com/events/podcasts/51-privilege-escalation-hack-tricks-carlos-polop
  • HackTricks with Carlos Polop | Podcast Ep. 106 – YouTube, accessed on April 14, 2025, https://www.youtube.com/watch?v=kWADSiXLYwc
  • Privilege escalation with polkit: How to get root on Linux with a seven-year-old bug, accessed on April 14, 2025, https://github.blog/security/vulnerability-research/privilege-escalation-polkit-root-on-linux-with-bug/
Previous Post
Kỹ Sư Ra Lệnh (Prompt Engineer) Đang “Biến Mất”: Thị Trường AI Đang Thay Đổi Chóng Mặt
Next Post
MITM là gì? Hiểu rõ Tấn Công Man-in-the-Middle và Cách Phòng Tránh

Leave A Comment

Lưu trữ

Danh mục

Cart
Select the fields to be shown. Others will be hidden. Drag and drop to rearrange the order.
  • Image
  • SKU
  • Rating
  • Price
  • Stock
  • Availability
  • Add to cart
  • Description
  • Content
  • Weight
  • Dimensions
  • Additional information
Click outside to hide the comparison bar
Compare