Linux Local Privilege Escalation via SUID /proc/pid/mem Write

Дырявое корыто.

В этом треде мы восславляем стабильный Debian.

рано еще на 2.6 переходить, надо оставаться на 2.4 :)

Решето!

Здорово, ждем свежих тулов для получения рута на андройдофонах.

$ ls -l /bin/su 
-rws--x--x 1 root root

Ке-ке-ке, не решето.

Но если права на чтение дать, то работает, дооо.

В стабильном дебиане бывает 2.6.39.

по умолчанию в centos (которая наверное на 90% хостингов)

$ ls -l /bin/su
-rwsr-xr-x. 1 root root 34904 Dec 7 15:51 /bin/su

так что таки решето.

http://www.exploit-db.com/exploits/18411/

В AgiliaLinux не работает:

drakmail@thinkpad-x220:~$ uname -a
Linux thinkpad-x220 3.1.8 #1 SMP PREEMPT Sun Jan 8 18:53:10 UTC 2012 x86_64 Intel(R) Core(TM) i5-2410M CPU @ 2.30GHz GenuineIntel GNU/Linux
drakmail@thinkpad-x220:~$ ./a.out 
===============================
=          Mempodipper        =
=           by zx2c4          =
=         Jan 21, 2012        =
===============================

[+] Waiting for transferred fd in parent.
[+] Executing child from child fork.
[+] Opening parent mem /proc/21203/mem in child.
[+] Sending fd 3 to parent.
[+] Received fd at 5.
[+] Assigning fd 5 to stderr.
[+] Reading su for exit@plt.
[+] Resolved exit@plt to 0x401e48.
[+] Calculating su padding.
[+] Seeking to offset 0x401e2b.
[+] Executing su with shellcode.

хотя, конечно, в последнем centos 32-е ядро..

но гипотетически - решето.

которая наверное на 90% хостингов

читайте новости - центос не первый по количеству серверов.

ссылку киньте, что ли..

зато там куча бекпортов, так что шанс есть
например, популярный abftw.c который работал только помоему с ядрами выше 2.6.28, в centos/rhel 5 с ведром 2.6.18 прекрасно отрабатывал

я думаю скоро будет усовершенствованный эксплойт
id после его запуска не изменился?

Debian стал самым популярным дистрибутивом GNU/Linux на веб-серверах

id остался тем же (1000).

euid наверное тоже
спасибо, приму к сведению

А как правильно посмотреть? id смотрел через одноимённую команду.

зато там куча бекпортов, так что шанс есть

да, вы правы

гм, не знал, спасибо

гм, ну а whoami где?

по ссылке смотрят с помощью whoami

AiFiLTr0

Здорово, ждем свежих тулов для получения рута на андройдофонах.

+++

которая наверное на 90% хостингов

У вас таки пользователи имеют доступ к серверу, и не используется виртуализация/chroot?

Ну во whoami тоже самое:

drakmail@thinkpad-x220:~$ uname -a
Linux thinkpad-x220 3.1.8 #1 SMP PREEMPT Sun Jan 8 18:53:10 UTC 2012 x86_64 Intel(R) Core(TM) i5-2410M CPU @ 2.30GHz GenuineIntel GNU/Linux
drakmail@thinkpad-x220:~$ ./a.out 
===============================
=          Mempodipper        =
=           by zx2c4          =
=         Jan 21, 2012        =
===============================

[+] Waiting for transferred fd in parent.
[+] Executing child from child fork.
[+] Opening parent mem /proc/23749/mem in child.
[+] Sending fd 3 to parent.
[+] Received fd at 5.
[+] Assigning fd 5 to stderr.
[+] Reading su for exit@plt.
[+] Resolved exit@plt to 0x401e48.
[+] Calculating su padding.
[+] Seeking to offset 0x401e2b.
[+] Executing su with shellcode.
drakmail@thinkpad-x220:~$ whoami 
drakmail

похоже, не сработало. шли багрепорт автору :)

Не работает нихрена

xor@xorik-work tmp $ gcc 1.c 
xor@xorik-work tmp $ ./a.out 
===============================
=          Mempodipper        =
=           by zx2c4          =
=         Jan 21, 2012        =
===============================

[+] Waiting for transferred fd in parent.
[+] Executing child from child fork.
[+] Opening parent mem /proc/11087/mem in child.
[+] Sending fd 3 to parent.
[+] Received fd at 5.
[+] Assigning fd 5 to stderr.
[+] Reading su for exit@plt.
[-] Could not resolve /bin/su. Specify the exit@plt function address manually.
[-] Usage: ./a.out -o ADDRESS
[-] Example: ./a.out -o 0x402178
xor@xorik-work tmp $ ./a.out -o 0x402178
===============================
=          Mempodipper        =
=           by zx2c4          =
=         Jan 21, 2012        =
===============================

[+] Waiting for transferred fd in parent.
[+] Executing child from child fork.
[+] Opening parent mem /proc/11120/mem in child.
[+] Sending fd 3 to parent.
[+] Received fd at 5.
[+] Assigning fd 5 to stderr.
[+] Calculating su padding.
[+] Seeking to offset 0x40215d.
[+] Executing su with shellcode.
xor@xorik-work tmp $ whoami
xor

У вас таки пользователи имеют доступ к серверу, и не используется виртуализация/chroot?

лично у меня find /{bin,sbin,usr/bin,usr/sbin,usr/local/bin,usr/local/sbin} -type f -exec chmod o-rwx {} \;

так что меня это не затронет даже при условии что это было бэкпортировано в редхат 6.2 (а оттуда в сентос).

но это не отменяет дефолных настроек.

надо слать багрепорты ящетаю

ну так

Could not resolve /bin/su. Specify the exit@plt function address manually.

Он слепой чтоли

$ ls -l /bin/su 
-rws--x--x 1 root root 39336 сент. 19 00:44 /bin/su

какие багрепорты, если он от балды запускает

и как код от юзера прочитает su, если флага r нет?

кстати, верно ли я понимаю что в данном случае selinux должен спасити всех? я так понимаю что домен пользователя selinux такая махинация не сменит, а значит selinux не позволит выполнять программы с рутовыми привелегиями и/или писать в системные файлы. но домашние каталоги и временные файлы под угрозой даже с selinux. ??

и как код от юзера прочитает su, если флага r нет?

Вот всегда так! Ни одного рабочего эксплойта не могут сделать =(

кстати, оно таки бэкпортировано

CVE-2012-0056 affects the Linux kernel as shipped with Red Hat Enterprise Linux 6 from version 2.6.32-220.el6 https://access.redhat.com/kb/docs/DOC-69129;jsessionid=8C40FE3313D609D160DAFC...

Решето. :)

нифига про selinux не написано. видимо, selinux не спасает

он рабочий

ну вот, как обычно

Под арчем не завелось.

./memdipper 
===============================
=          Mempodipper        =
=           by zx2c4          =
=         Jan 21, 2012        =
===============================

[+] Executing child from child fork.
[+] Opening parent mem /proc/1542/mem in child.
[+] Sending fd 3 to parent.
[+] Waiting for transferred fd in parent.
[+] Received fd at -1.
[-] recv_fd: Address already in use

В Fedora 16 amd64 не фунциклирует.

вообще, если подумать.. можно, зная версию линукса, установить у себя такую же и модифицировать эксплойт чтобы работало. тогда читать su не нужно будет, если я верно понимаю ситуацию.

он рабочий

Ну да, ну да, за последние 3 года я пробовал 5 эксплойтов, все «рабочие», но одному нужна пульса, другому права на su менять, третьему еще что-то. Искоробки не один не завелся :(

в данном конкретном случае ты тот самый неуловимый Джо, не более.

На ванильке 3.2.1, Fedora i686 работает.

Пичалька.

гыгы
за последние 3 года достаточно вспомнить sendpage, abftw и glibc
это было эпично, пробивались все свежие дистрибутивы
если ты не в теме - не стоит позориться незнанием матчасти

ну , справедливости ради решение через systemtap существует и не сложно в применении. + банальное chmod o-r /bin/su спасает ситуацию до момента применения systemtap. но это, конечно, как минимум крайне неприятно.

я не говорил что невозможно защититься от этой уязвимости, тем более коммит с фиксом уже пришел в мейнстрим

я говорил о том, что рабочие локал рут эксплойты были, есть и будут
отлично работающие