Wildcard Injection rsync?

Guten Tag,

ich belege zur Zeit ein Modul in der Uni wo es um Sicherheit in Rechnernetzen geht. Diese Woche haben wir für die Praxis die Aufgabe auf einem "muck" Server mit linpeas Schwachstellen zu finden. Ich habe nach dem Ausführen des Programms eine Schwachstelle in der crontab file gefunden:

* * * * * root cd /var/www/; rsync -a * /mnt/backup/

Hier ist mir direkt aufgefallen dass das Wildcard Symbol verwendet wird um daten mit rsync zu kopieren und somit eine Wildcard-Injection möglich sein könnte. Ich habe mir also eine shell.sh file erstellt in /var/www mit folgendem Inhalt:

#!/bin/sh
adduser -G 0 username

und dann mit folgendem Befehl den command für die Wildcard Injection erstellt:

touch '/var/www/-e "sh shell.sh"'

bis dahin alles super. ich hab auch gesehen, dass shell.sh nach /mnt/backup kopiert wurde und der Befehl nicht (somit denke ich wurde er als Befehl erkannt). jedoch wurde das Shellscript nie ausgeführt. Dies konnte ich daran sehen das ich immernoch in Gruppe 33 war und nicht in Gruppe 0. Ich sehe aber nicht so richtig was ich falsch gemacht habe, vielleicht kann mir ja jemand helfen. Ich sitze da seit gestern dran und komme kein Stück weiter

2 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

davegarten

15.05.2023, 16:19

touch '/var/www/-e "sh shell.sh"'

Fehlt da nicht noch ein Space nach dem /var/www?

"-e" sollte ja via File-Globbing zur Command Line Option für rsync werden. Und das geht nur, wenn da ein Space ist. Allerdings geht "-e" meines Wissens nur dann, wenn Du mit rsync versuchst, auf einen remote-Host zuzugreifen, also so im Stil von

rsync /quellverzeichnis/ username@remotehost:zielverzeichnis/

Ich bin mir daher nicht sicher, ob Du dieses Beispiel mit rsync überhaupt zum Laufen bringst, so dass am Schluss "shell.sh" unter root ausgeführt wird.

mathprob1

Fragesteller

15.05.2023, 21:42

Okay danke ich habe es tatsächlich nicht zu laufen bekommen. Aber in der Aufgabe steht das wir mit linpeas zwei Schwachstellen finden sollen und eine davon ausnutzen sollen um eine root-shell zu bekommen. linpeas hat mir aber nur zwei Schwachstellen angezeigt. Einmal das /usr/local/bin von jedem beschreibbar ist und /usr/local/bin in $PATH ist und man somit irgendwie ne Backdoor in dem Ordner anlegen kann. und die andere Schwachstelle war das rsync mit ner Wildcard in crontab ausgeführt wird. Für mich schien rsync irgendwie einfacher aber ich krieg es irgendwie nicht hin. Vllt muss ich doch nochmal an den $PATH Exploit ran aber da hab ich noch garkeine Ahnung was das Prinzip ist. Trotzdem vielen Dank für deine Antwort :D

davegarten

15.05.2023, 23:24

@mathprob1

Also so wie ich das verstehe ist der PATH Exploit einfach. Du ersetzt in /usr/local/bin ein Binary, welches von root (z.B. via crontab) mit Sicherheit irgendwann aufgerufen wird, durch einen Shellscript-Wrapper, und schon wird Dein Code mitausgeführt, wenn der root das nächste Mal den Command ausführt. Du kannst natürlich auch einfach das Binary ganz durch Deinen Code ersetzen. Dann allerdings läufst Du Gefahr, dass wenn root den Befehl ausführt, das nicht-richtig- Funktionieren des Befehls entdeckt, z.B. weil ein erwarteter Output fehlt. Ein Wrapper ist daher sinnvoller. Angenommen, $PATH ist auf dem System so konfiguriert, dass /usr/local/bin z.B. vor /usr/bin kommt (ist zwar nicht üblich), dann könntest Du auch einfach ein Script erzeugen, das den selben Namen hat wie ein von root aufgerufenes Programm in /usr/bin. Dein Script würde dann aufgrund der Suchreihenfolge in $PATH zuerst ausgeführt.

Zu Deinem ersten Beispiel, ich denke ich habe einen Lösungsansatz gefunden:

myuser@myhost:~> cd /var/www

myuser@myhost:/var/www> touch -- '-e sh shell.sh'

myuser@myhost:/var/www> vi shell.sh

Inhalt Script shell.sh:

-------- start ----------

#!/bin/bash
/usr/bin/id > out.log 2>&1
exec /usr/bin/ssh $@

-------- ende ----------

Dann der Test:

root@myhost:/var/www> rsync -a * myuser@myhost:

Wenn Du das machst, wird shell.sh mitausgeführt, wenn Du rsync mit * aufrufst und dabei für das Ziel eine User-/Hostnamenkombination angibst. in /var/www sollte es nachher ein out.log geben, welches beweist, dass shell.sh von root ausgeführt wurde. Natürlich könntest Du in shell.sh die Zeile mit "/usr/bin/id" durch etwas beliebiges anderes ersetzen, z.B. könntest Du dem unprivilegierten User "myuser" heimlich irgendwelche Rechte auf dem System geben, ihn zu Gruppen hinzufügen oder Modes auf Directories und Files zu seinen Gunsten ändern.

KarlRanseierIII

16.05.2023, 01:36

@mathprob1

Einmal das /usr/local/bin von jedem beschreibbar ist und /usr/local/bin in $PATH ist und man somit irgendwie ne Backdoor in dem Ordner anlegen kann.

Du Du bereits weißt, daß cron rsync mit root rechten ausführt, könntest Du unter /usr/local/bin ein Shell script mit Namen rsync ablegen und es sollte mit rootrechten ausgeführt werden.

Voraussetzung wäre allerdings daß /usr/local in der Reihenfolge vor dem Pfad liegt, in dem sich das eigentliche rsync befindet.

KarlRanseierIII

16.05.2023, 01:40

@KarlRanseierIII

Vergessen: cron muß natürlich auch diesen PFad nutzen - was nciht selbstverständlich ist.

mathprob1

Fragesteller

16.05.2023, 08:38

@KarlRanseierIII

Vielen Dank. ich habe es tatsächlich immernoch nicht geschafft eine root shell zu bekommen aber mit dem $PATH exploit habe ich es immerhin geschafft die flag zu bekommen und somit das Rätsel zu lösen in dem ich im "rsync" script schreibe dass die Datei flag nach /tmp kopiert werden soll und dann noch chmod 777 ausgeführt wird. Die Flag war übrigens: l1np345_m4k35_pr1v1l363_35c4l4710n_345y. Ich versuche mich jetzt nochmal daran eine Root-Shell zu bekommen weil ich finde nicht dass ich die Aufgabe zu 100% gelöst habe nur weil ich die Lösung kenne

davegarten

16.05.2023, 10:40

@mathprob1

Du kannst meine rsync-Variante nehmen, und dort an Stelle des /usr/bin/id Aufrufs im shell.sh dann Deinen unprivilegeierten User ins /etc/sudoers eintragen. Danach bekommst Du eine root Shell, wenn Du z.B. "sudo bash" vom unprivilegierten User eingibst.

mathprob1

Fragesteller

16.05.2023, 10:50

@davegarten

es gibt leider keine sudoers Datei auf dem Server. ich hab es jetzt so gemacht: Ich habe als erstes in /usr/local/bin die Datei rsync erstellt. dort hab ich dann die Befehle 'useradd -p "" hacked' und 'chmod 777 passwd' ausgeführt. dann habe ich die passwd Datei editiert und die Gruppe vom Nutzer hacked von 1000 zu 0 geändert. Danach konnte ich dann einfach "su hacked" ausführen und hatte eine root Shell.

KarlRanseierIII

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Linux, Informatik, Programmieren & Softwareentwicklung

16.05.2023, 01:07

-e ist die Kurzoption für --rsh, die Option hat also nur dann eine Bedeutung, wenn eine Remoteverbindugn gebraucht wird. Das kannst Du auch recht einfach feststellen, indem Du rsync mit -e etwas mitgibst und nen strace machst - es wird kein weiteres exec ausgeführt.

Erst wenn ein Host in target/source auftaucht, findet wirklich ein exec statt.

Da wirst Du so vermutlich nicht weiterkommen.

Hi,

Ich habe mir gerade für rsync ein script gemacht bei dem ein Backup erstellt wird.

Nur leider sehe ich da nicht wann das Backup beendet ist, weil wenn ich dieses Script über eine Verknüpfung öffne ich kein Terminal habe.

Gibt es da eine Möglichkeit zu sehen wann das Backup beendet ist, oder das Terminal automatisch öffnen zu lassen?

Zur Erklärung:

Ich habe eine Datei namens Backup.sh die ich ausführbar gemacht habe.

Der Inhalt sieht wie folgt aus:

#!/bin/bash

datum=$(date +"%y-%m-%d")


rsync -avPXAh --log-file=/mnt/Laufwerke/10_Backup-Linux/01_Backup-home-dns/_Log-Files/${datum}_Log_File_1.log --delete --backup-dir=/mnt/Laufwerke/10_Backup-Linux/01_Backup-home-dns/_gelöschte_Dateien --exclude-from=/mnt/Laufwerke/10_Backup-Linux/01_Backup-home-dns/_rsync-Exclude-File/Rsync-Exclude-Linux-Home /home/dns /mnt/Laufwerke/10_Backup-Linux/01_Backup-home-dns/

Kann man da was einbauen, dass nach dem doppelklick der Datei sich ein Terminal öffnet mit der Fortschrittsanzeige, bzw. das es einfach so ist als hätte ich es mit sh Backup.sh aus dem Terminal gestartet?

...zur Frage

Backup bzw. rsync Problem?

Hallo.

Ich bekomme bei gewissen Dateien am Schluss von rsync immer den Fehler dass nicht alles übertragen wurde. Komischerweise passen aber die Größen von Quelle und Ziel immer zusammen.

Hab jetzt in den Log-Files jetzt mal etwas tiefer gegraben und hab folgendes ausgegraben.

b'rsync: [receiver] rsync_xal_set: lsetxattr("/mnt/Laufwerke/99_Fritz.NAS/Transcend/_Backup/mnt/Laufwerke/01_M.2_SSD_Erweiterung/05_Python/__Python/xxx Eigene Notebooks xxx/__ Udemy - Notebooks/3 Python f\\#303\\#274r Fortgeschrittene/2-Python Objekte und Datenstrukturen/7-Forgeschrittene Python Objekte Assessment L\\#303\\#266sung.ipynb","user.Zone.Identifier") failed: Operation not supported (95)\n'

Das ist eine einzige Zeile weil an der Stelle leider der Pfad recht lang ist, aber es geht vermutlich hauptsächlich um das rsync_xal_set und um das failed: Operation not supported (95)

Zusätzliche Informationen:

Das Rsync Backup wird von Manjaro aus durchgeführt.

Quelle ist eine NTFS Festplatte (zum Großteil von Windows aus benutzt)

Ziel ist eine SSD die an der Fritz-NAS hängt. Diese ist folgendermaßen über fstab gemountet:

//192.168.178.1/FRITZ.NAS/                 /mnt/Laufwerke/99_Fritz.NAS               cifs   credentials=/home/dns/.smbcredentials,vers=3.0,noserverino,uid=1000,gid=1001,x-systemd.automount,x-systemd.requ
ires=network-online.target  0 0

Der rsync befehl lautet: (Das mit -e ssh ist gerade Versuchsweise drinnen eben wegen diesem Fehler. Hat aber keinen Unterschied gemacht)

rsync -avvPXAh -e ssh /mnt/Laufwerke/01_M.2_SSD_Erweiterung/05_Python/__Python/xxx\ Eigene\ Notebooks\ xxx/__\ Udemy\ -\ Notebooks/ /mnt/Laufwerke/99_Fritz.NAS/Transcend/testbackup/

Hat jemand eine Idee wie ich die Fehler beseitigen könnte?

Vielen Dank im Voraus

...zur Frage

rsync Problem?

Hallo.

Ich habe mir ein Programm mit Python geschrieben mit dem ich verschiedene Backups mittels rsync ausführen kann. Das eigentliche rsync wird dann mit subprocess ausgeführt und ich glaube es eher weniger ein Python als ein Problem mit rsync (oder mit dem was ich einstelle).

Ich starte das Backup immer von Manjaro/Linux aus. Das Problem Backup ist dann von einer NTFS Festplatte auf eine NTFS Festplatte die über NAS an der Fritzbox hängt.

Die Daten werden immer alle übertragen, wenn ich also danach die Datei-, Ordner- Menge/Größe Vergleiche passt eigentlich alles, aber ich bekomme immer zum Schluss (in der Log-Datei) folgenden Fehler:

rsync error: some files/attrs were not transferred (see previous errors) (code 23) at main.c(1330) [sender=v3.2.3]

Dadurch wird das Python Programm dann auch beendet.

Ich übergebe folgende Variablen an den subprocess:

rsync_liste = ['rsync',
               '-avvPXAhWz',
               '--stats',
               ('--log-file=' + logfile),
               '--delete',
               ('--backup-dir=' + backup_dir),
               ('--include-from=' + include_File),
               source,
               target]

Wobei logfile, backup_dir, include_File, source und target Variablen sind die auf Pfade bzw. Dateien zeigen.

Ich vermute mal das ich was mit den rsync Attributen was anders machen müsste, aber ich komm leider nicht drauf und probiere schon ziemlich lange damit rum. Bin in dem Thema leider nicht der Erfahrenste.

Die NAS-Festplatte an der Fritzbox ist in der /etc/fstab folgendermaßen gemountet:

//192.168.178.1/FRITZ.NAS/                  /mnt/Laufwerke/99_Fritz.NAS                cifs    credentials=/home/dns/.smbcredentials,vers=3.0,noserverino,uid=1000,gid=1000,x-systemd.automount,x-systemd.requ
ires=network-online.target   0 0

Würde mich sehr freuen wenn jemand eine Idee hätte woran es liegen könnte.

Vielen Dank im Voraus

...zur Frage

Rsync Ordner bei der Synchronisierung ausschließen?

Hallo ,

ich habe auf meinem Debian 11 einen Ornder namens Docker. Es gibt viele Ordner/Services darin, die jeweils in einem Ordner gespeichert sind. Mit dem folgenden Befehl sichere ich den ganzen Ordner "docker". Wie kann ich einen Ordner oder mehrere Ordner ausschließen? Syntaxmäßig meine ich.

rsync -a /docker/* /media/Samsung250SSDExtern/Backup

...zur Frage

Composer auf Linux installiert, vendor pfad falsch?

Hallo zusammen

Ich habe auf meinem Linux(Ambrian) LAMP laufen und möchte nun composer nutzen.

Dies habe ich nun installiert. Das Problem ist, dass der vendor pfad völlig falsch ist.

wenn ich im php file:

require_once(__DIR__ . '/vendor/autoload.php');

gibt das folgenden pfad aus:

/var/www/html/terminal/includes/helpers/vendor/autoload.php

mein vendor ordner lioegt aber in

/home/user/vendor/

muss ich composer neu installieren? in einem anderen verzeichnis?? falls ja, wie wäre hierfür der bash befehl?

ich habe versucht einen shortcut in das passende verzeichniss zu erstellen, mittels sudo root rechte. er ist zwar angelegt, aber mittels ftp (und vermutlich über php) nicht zu öffnen.

Wie sollte ich weiter vorgehen?

danke

...zur Frage

IP leitet auf falsches Verzeichnis weiter?

Guten Tag

Ich beisse mir gerade seit Stunden die Zähne an folgendem Problem aus und bekomme es nicht hin:

Ich habe einen Webserver mit einem 2 verschiedenen SSL Certificates. Nun habe ich eine "Hauptseite" welche einfach der Domainname ist. Und die auf der zweiten Seite liegt meine ganze Mailserver angelegenheit.

Dass das Zertifikat nicht auf beiden Domains bzw. auf meiner Domain und Subdomain funktioniert weiss ich bereits.

Nun folgendes Problem: Ich möchte dass meine IP auf die Hauptseite weiterleitet und nicht wie derzeit auf die Mailserver Seite. In der default und in der defaultssl.conf sind jeweils das Verzeichnis /var/www/html/ als DocumentRoot gesetzt und bei meiner mail seite /var/www/mail.

Gibt es irgendeine Möglichkeit eine .conf Datei als Standart setzten, bzw. die Priorität zu erhöhen?

...zur Frage

Docker benutzt 2 mal http:///http://?

Hallo, ich habe einen Typo3 Server mit Docker aufgesetzt, und er kriegt ab und zu Fehler, aber ich weiß nicht wieso er, zwei mal http:///http:// benutzt. Hier ist die Fehlermeldung "Core: Exception handler (WEB): Uncaught TYPO3 Exception: #1436717322: The parsedUri "http:///http://****:80/phpmyadmin/scripts/setup.php" appears to be malformed | InvalidArgumentException thrown in file /var/www/html/typo3_src-11.5.25/typo3/sysext/core/Classes/Http/Uri.php in line 125. Requested URL: http:///http://****:80/phpmyadmin/scripts/setup.php"

...zur Frage

Brauche einfache Bash hilfe (Datum automatisiert)?

Hallo Leute, ich habe gerade ein Blackout... Ich möchte eine Datei täglich kopieren mit crontab. Bis hier hin bekomme ich es selbst noch hin z.B.:

18 * * * sudo cd /home/user11/datei.sh /var/backup/datei.sh

Nun wird jeden Tag um 18Uhr die Datei kopiert aber leider auch überschrieben. Ich möchte gern, das automatisch ein Datum an die Datei geschrieben wird. z.b. datei-20170623 für das Backup von heute

Außerdem möchte ich dann auch automatisch vom heutigen Datum z.B. 7 Tage abziehen um den Befehl:

18 * * * sudo rm /var/backup/datei-20170616.sh

Ich hoffe ihr könnt mir sagen wie ich das umsetzen kann. Ich stehe gerade etwas auf dem Schlauch.

Danke und Gruß

...zur Frage

rsync - mknod ... failed: Operation not permitted?

Hallo.

Ich habe ein Problem mit einem Backup über rsync.

Das Backup geht auf ein mit cifs gemountetes Laufwerk, das höchstwahrscheinlich auch ein Grund für das Problem sein wird, da das gleiche Backup auf eine normal gemountete Festplatte funktioniert.

Bekomme immer folgenden Fehler der dann am Ende auch zu einem Fehler führt.

b'rsync: [generator] mknod "/mnt/Laufwerke/99_Fritz.NAS/Transcend/_Backup/Linux/Test-Ordner-21-10-17/.steam/steam.pipe" failed: Operation not permitted (1)\n'

Da dieses Backup über ein mehr oder weniger komplexes Python Script läuft, bei dem mehrere Backups aneinander gereiht werden ist das ungünstig wenn ein Fehler auftritt.

Folgende Variablen werden an den subprocess übergeben:

rsync_liste = ['rsync',
               '-rptgoDvvAhz',   
               '--info=progress2',
               '--stats',
               '--partial',       
               ('--log-file=' + logfile),
               '--delete',
               '--delete-excluded',
               ('--backup-dir=' + backup_dir),
               ('--exclude-from=' + exclude_NAS_File),
               source,
               target]

Hat jemand eine Ahnung wie ich diesen Fehler wegbekommen könnte, oder zumindest wie er hervorgerufen wird? Das cifs keine Symlinks kann weiß ich und hoffe ich dass ich es ausgeschlossen habe, aber sicher bin ich mir nicht.

Vielen Dank im Voraus

...zur Frage

PHP installation auf dem Raspberry Pi funktioniert nicht?

Da ich einen kleinen Webserver mit Apache auf meinem Raspberry Pi aufsetzten möchte, habe ich versucht, Apache und PHP auf dem Raspi zu installieren. Apache hat wunderbar funktioniert, und ich kann nun auch über den Browser von einem anderen Gerät eine HTML-Seite anzeigen lassen. Aber die PHP-installation funktioniert einfach nicht. Beim Befehl "sudo apt-get install php" kommt die Meldung "E: Unable to parse package file /var/lib/apt/extended_states (1)". Ich habe auch andere Befehle getestet, aber ich bekommen überall die gleiche Meldung. Ich greife auf den Raspi über PuTTY zu. Würde mich freuen, wenn jemand die Lösung weiss, denn Webseiten ohne PHP sind langweilig :).

...zur Frage

VPN mit PiHole möglich?

Hallo,

Ich nutze im Heimnetzt PiHole auf einem RaspberryPi und bin vollkommen zufrieden. Nun habe ich mir einen Server gebastelt, auf dem OpenVPN läuft. Funktioniert auch super. Auf dem Handy nutze ich einen Addblcker, der Werbung im (virtuellen) VPN "versenkt".

Wenn ich mich nun im mobilen Netz mit meinem VPN Server verbinde, habe ich wieder reguläre Werbung auf dem Handy, da alle Anfragen ungefiltert an den DNS Server weitergeleitet werden.

Macht es Sinn bzw. ist es sicher, wenn man eine, von außen erreichbare PiHole Instanz hat und diese in OpenVPN als DNS Server angibt?

Meiner Meinung nach würde ja dann die Werbung durch den PiHole rausgefiltert und nicht an den DNS Server weitergeleitet.

Ist das zu "verschachtelt" bzw. überhaupt möglich? Falls ja, gibt es da irgendwelche potentielle Sicherheitslücken?

...zur Frage

XHR nutzt GET anstatt POST?

Mit folgendem code versuche ich zweck logins auf meinen Server zuzugreifen

var r = new XMLHttpRequest();

r.open("POST", "/user/login", true);
r.setRequestHeader("Content-type", "application/x-www-form-urlencoded");

r.onreadystatechange = function () {

    if (r.readyState != 4 || r.status != 200) return;

    console.log(r.responseText);
            
    if (r.responseText == '?incorrect') {

        console.log('wrong password');

    }
    else if (r.responseText == 'correct') window.location.replace('/user/');

};

r.send('pwd=' + document.querySelector('#pwd-input').value);

Wenn ich den Code ausführe, steht in der Console der Seitenquelltext als Ergebnis. Der Server (Express) registriert eine GET request und auch im Netzwerktab von Chrome wird die request Methode mit GET angegeben. Hat jemand eine Idee warum und was ich versuchen könnte, außer Alternativen zur XHR zu nutzen?

...zur Frage

Docker Container Backup & Restore?

Hallo, ich habe unter Docker einen Nextcloud Container den ich gerne immer mal wieder sichern möchte, wie kann ich das am besten tun?

ich habe Nextcloud so aufgesetzt per docker compose

---

version: '2'

volumes:

nextcloud:

db:

services:

db:

image: mariadb:10.5

container_name: nextcloud_db

restart: always

command: --transaction-isolation=READ-COMMITTED --binlog-format=ROW

volumes:

- db:/var/lib/mysql

environment:

- MYSQL_ROOT_PASSWORD=

- MYSQL_PASSWORD=

- MYSQL_DATABASE=nextcloud

- MYSQL_USER=nextcloud

app:

image: nextcloud

container_name: nextcloud_app

restart: always

ports:

- 8080:80

links:

- db

volumes:

- nextcloud:/var/www/html

environment:

- MYSQL_PASSWORD=

- MYSQL_DATABASE=nextcloud

- MYSQL_USER=nextcloud

- MYSQL_HOST=db

---

Außerdem sind es unter Docker dann zwei Container wie folgt

...zur Frage

Linux Nutzer Rechte geben?

Hi kurz gesagt:

Ich hab nen neuen Linux Nutzer erstellt und möchte dem Rechte geben auf /var/www/html weil den Nutzer brauche um via remote connection ein ftp backup zu machen weiß aber nicht wie ich dem nutzer rechte gebe ohne www-data wieder die rechte wegzunehmen.

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen