Escalade de privilèges à l'aide du fichier passwd

Les mots de passe sont normalement stockés dans /etc/shadow , qui n'est pas lisible par les utilisateurs. Cependant, historiquement, ils étaient stockés dans le fichier lisible par le monde /etc/passwd avec toutes les informations de compte. Pour des raisons de compatibilité descendante, si un hachage de mot de passe est présent dans la deuxième colonne de /etc/passwd, Il a priorité sur celui de /etc/shadow.

Historiquement, un deuxième champ vide dans /etc/passwd Signifie que le compte n'a pas de mot de passe, c'est-à-dire que n'importe qui peut se connecter sans mot de passe (utilisé pour les comptes invités). Ceci est parfois désactivé. Si les comptes sans mot de passe sont désactivés, vous pouvez mettre le hachage d'un mot de passe de votre choix. Vous pouvez utiliser la fonction crypt pour générer des hachages de mot de passe, par exemple Perl -le 'print crypt("foo", "aa")' pour définir le mot de passe sur foo.

Il est possible d'obtenir un accès root même si vous ne pouvez ajouter qu'à /etc/passwd Et ne pas écraser le contenu. En effet, il est possible d'avoir plusieurs entrées pour le même utilisateur, tant qu'ils ont des noms différents - les utilisateurs sont identifiés par leur ID, pas par leur nom, et la caractéristique qui définit le compte root n'est pas son nom mais le fait qu'il a l'ID utilisateur 0. Vous pouvez donc créer un autre compte racine en ajoutant une ligne qui déclare un compte avec un autre nom, un mot de passe de votre choix et l'ID utilisateur 0.