Capabilities (getcap / cap_*)
Capabilities son SUID granular.
Categoría: Linux · Privilege Escalation 🎯 Trinchera — Capabilities son SUID granular. Si un binario tienecap_setuid+ep puede llamar a setuid(0) sin ser SUID
clásico. cap_dac_read_search+ep lee cualquier archivo. Otros
peligrosos: cap_sys_admin, cap_sys_module, cap_chown.
🔗 Kill chain — Enumerar con getcap -r / 2>/dev/null. Casos en
GTFOBins: python3 con cap_setuid+ep → os.setuid(0); os.execl('/bin/sh','sh').
tar con cap_dac_read_search+ep → leer /etc/shadow.
📡 Huella defensiva — Capabilities anómalas asignadas fuera del
package management; auditd con regla sobre capset().
⚠️ Falso amigo — Confundir cap effective (+e) con permitted
(+p). Sólo +ep (ambas) explota directamente.
🛡️ Remediación — Auditar con getcap -r / periódico, eliminar
capabilities innecesarias, prohibir nuevas con --no-new-privs.
← Volver al glosario completo Última actualización: 2026-06-11