Linux Privilege Escalation

SUID(Set User ID)는 프로그램이 파일 소유자(보통 root)의 권한으로 실행되도록 하는 파일 권한입니다. SUID 바이너리에 악용 가능한 기능(nmap 인터랙티브 모드, find -exec, vim :!sh 등)이 있으면 root 쉘을 얻을 수 있습니다. find / -perm -4000 -type f 2>/dev/null로 시스템의 SUID 바이너리를 탐색합니다.

DirtyPipe는 Linux 커널 5.8 이상에 영향을 미칩니다. 파이프 메커니즘의 취약점을 악용하여 비권한 사용자가 읽기 전용 파일(SUID 바이너리, /etc/passwd 포함)의 데이터를 덮어쓸 수 있습니다. C 프로그램을 컴파일하여 정상적으로는 수정할 수 없는 파일에 임의 데이터를 써서 비밀번호 변경이나 바이너리 수정으로 root 접근을 획득합니다.

LD_PRELOAD는 다른 모든 라이브러리보다 먼저 로드할 공유 라이브러리를 지정하는 환경변수입니다. sudo가 LD_PRELOAD를 보존하도록 설정되어 있으면(env_keep), setuid(0)과 system("/bin/bash -p")을 호출하는 _init() 함수가 포함된 악성 공유 라이브러리를 컴파일하고, 허용된 sudo 명령에 LD_PRELOAD를 지정하여 root 쉘을 획득합니다.

크론 작업이 절대 경로 없이 명령을 실행하고(예: "/usr/sbin/service" 대신 "service"), crontab의 PATH에 쓰기 가능한 디렉토리가 포함되어 있으면, 해당 디렉토리에 같은 이름의 악성 스크립트를 만들 수 있습니다. 크론 작업 실행 시 공격자 스크립트가 대신 실행되어 보통 SUID bash 복사본(/tmp/rootbash)을 생성합니다.

크론 작업이 와일드카드로 tar를 실행할 때(예: tar czf backup.tar.gz *), 대상 디렉토리에 --checkpoint=1과 --checkpoint-action=exec=sh shell.sh라는 이름의 파일을 생성합니다. tar가 이 파일명을 명령줄 옵션으로 해석하여 크론 작업의 권한(보통 root)으로 공격자 쉘 스크립트를 실행합니다.

사용자가 docker 그룹에 속해 있으면(id 명령에서 groups=999(docker)) Docker 컨테이너를 실행할 수 있습니다. 호스트 루트 파일시스템을 컨테이너에 마운트(docker run -v /:/mnt -it alpine sh)한 후 chroot /mnt를 사용하면 호스트 파일시스템에 대한 완전한 root 접근을 획득하여 사실상 호스트에서 root 권한으로 상승합니다.

LD_PRELOAD는 특정 공유 라이브러리를 먼저 로드하여 함수 후킹이나 _init() 코드 실행을 허용합니다. LD_LIBRARY_PATH는 공유 라이브러리 검색 경로를 변경하여 정상 라이브러리를 악성으로 대체합니다. 둘 다 sudo env_keep이나 SUID 바이너리가 필요하지만, LD_LIBRARY_PATH는 대상 바이너리가 로드하는 라이브러리(ldd로 확인)를 알아야 합니다.

특권 컨테이너(--privileged 플래그)는 모든 호스트 장치에 접근할 수 있습니다. fdisk -l로 호스트 디스크를 나열하고, mount /dev/sda1 /mnt로 호스트 루트 파티션을 마운트합니다. chroot /mnt로 호스트 파일시스템으로 전환하여 root로 접근합니다. 또는 CAP_SYS_ADMIN capability(capsh --print로 확인)가 있으면 호스트 파일시스템 마운트가 가능합니다.