βͺ Cron
Identificar
Global
Consultar Tareas
Si la tarea cron fue definida en el archivo global, en este contexto el archivo /etc/crontab tiene su propio $PATH aislado al del sistema, si el binario es llamado de forma relativa en lugar de absoluta es susceptible a Cron Hijacking)
Podemos consultar la tarea de la siguiente forma:
cat /etc/crontab
Usuario
Monitorizar Procesos
Si la tarea cron fue definida en el entorno de usuario (aislado) con crontab -e, en este contexto el $PATH es el del propio sistema.
Podemos detectar la tarea de la siguiente forma:
Pspy
https://github.com/DominicBreuker/pspy
low@vulnyx:~$ cd /dev/shm
low@vulnyx:/dev/shm$ wget -q --no-check-certificate "https://github.com/DominicBreuker/pspy/releases/download/v1.2.1/pspy64"
low@vulnyx:/dev/shm$ chmod +x pspy64
low@vulnyx:/dev/shm$ ./pspy64
Bash
#!/bin/bash
old=$(ps -eo command)
filter="kworker|command|defunct"
function ctrl_c(){
exit 1
}
trap ctrl_c int
while true; do
new=$(ps -eo command)
diff <(echo "$old") <(echo "$new") | grep "[\>\<]" | grep -vE "$filter"
old=$new
done
Cron Hijacking
Β© d4t4s3c 2025