Saltar al contenido principal

Capabilities (getcap / cap_*)

Capabilities son SUID granular.

Categoría: Linux · Privilege Escalation 🎯 Trinchera — Capabilities son SUID granular. Si un binario tiene cap_setuid+ep puede llamar a setuid(0) sin ser SUID clásico. cap_dac_read_search+ep lee cualquier archivo. Otros peligrosos: cap_sys_admin, cap_sys_module, cap_chown. 🔗 Kill chain — Enumerar con getcap -r / 2>/dev/null. Casos en GTFOBins: python3 con cap_setuid+epos.setuid(0); os.execl('/bin/sh','sh'). tar con cap_dac_read_search+ep → leer /etc/shadow. 📡 Huella defensiva — Capabilities anómalas asignadas fuera del package management; auditd con regla sobre capset(). ⚠️ Falso amigo — Confundir cap effective (+e) con permitted (+p). Sólo +ep (ambas) explota directamente. 🛡️ Remediación — Auditar con getcap -r / periódico, eliminar capabilities innecesarias, prohibir nuevas con --no-new-privs.
Volver al glosario completo Última actualización: 2026-06-11