Andrey_Biryukov17 июл 2025 в 18:12

Получаем root через iptables

9 мин

30K

Блог компании OTUSИнформационная безопасность * CTF * Реверс-инжиниринг *

+24

Комментарии 7

Spider55 17 июл 2025 в 18:52

А как все же правильно? Выполнимым или выполняемым в контексте прав файла?

По мне так выполнимая может быть задача или невыполнимая, а файл все же выполняемый.

censor2005 18 июл 2025 в 05:11

Исполняемый?

Yami-no-Ryuu 17 июл 2025 в 21:57

Ну как бы by design. Нечего юзеру напрямую iptables дергать. RSBAC в помощь, если нужны под-админы.

sergio_nsk 18 июл 2025 в 04:12

Много путаницы с - и _.

apevzner 18 июл 2025 в 11:36

В итоге, если мы можем запустить iptables от имени root (то есть, помощью sudo), мы можем использовать его для выполнения произвольных системных команд.

Я что-то не понимаю. Если у нас есть возможность что-то запускать от имени root, то вроде у нас все права уже и без того есть. Зачем к этой конструкции привлекать еще и iptables

Установим iptables и в файл /etc/sudoers добавим следующее:

Ну да. Если ослабить правила sudo, они будут ослабленными :-) В этом вроде нет ничего неожиданного.

Если какая-то команда выглядит безобидно, но требует рутовых прав, может, она не столь уж и безобидна? Может не надо ее всем пользователям подряд так вот бездумно открывать?

clackx 18 июл 2025 в 12:01

что-то запускать от имени root, то вроде у нас все права уже и без того есть.

В файле sudoers разрешено выполнение только двух команд: iptables и iptables-save

13werwolf13 18 июл 2025 в 19:38

Представим ситуацию. В контору нанят некий персонаж, его ответственность на некоторых конкретных серверах заканчивается исключительно на изменении правил iptables. Вот ему админы и разрешили sudo только для iptables. А он оказался нечистым на руку или попросту мудаком, вот вам и вектор атаки.

Нечто подобное мои знакомые проходили выдав девочке из HR права на создание учёток и выдачу им прав доступа через добавление в определённые группы (не в консольке разумеется, а через самописный web ui с аутентификацией через pam). Как выяснилось позже в дёргаемом вебмордой скрипте не хватало проверки на дурака, чем и воспользовался некий шутник выдав себе группу админов и поменяв всей конторе обои на какую-то дрянь. Подробностей увы не помню.

Суть статьи в том что некоторые утилиты позволяют нехитрыми методами сделать больше чем ты думаешь если включить немного фантазии, поэтому выдавать права на них опасно. А лучше вообще не лазить руками на сервера а познать магию IaC со всеми вытекающими..

Зарегистрируйтесь на Хабре, чтобы оставить комментарий