Повышение привилегий в vmsplice

> 6 месяцев это оперативно ? o_O Пока не появился работающий эксплоит никто и не чесался

Слава опенсорсу, самому оперативному и гуманному в мире!

А ведь давно говорили людям, что 2.6 ядрам на серверах, те кто заботится о безопасности юзают 2.4.Х, а не этот вечный unstable

> и я в очередной раз порадовался отобранным правам на запуск гцц и noexec на /home /tmp и /var/tmp ...

А я знаю способ исполнения бинарников, которые можно собрать у себя, а потом залить -
ведь бинарную совместимость никто не отменял, на сервере с неисполнимыми /home, /tmp и /var/tmp. :p
Так и быть расскажу:

$ file hello
hello: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.6.8, dynamically linked (uses shared libs), not stripped
$ cp hello /dev/shm/
$ cd /dev/shm/
$ ./hello
Hello world

s/на серверах/на серверах не место/

> Интересно, куда пропали кричащие "вендекапец"? :)

Патчат ядры и стыдливо отмалчиваются.

>По всем ссылках стоит дата обнаружения февраль сего года, нигде не указано что знали за полгода до того

См. обсуждение на ./

PS: vmsplice_to_user например был добавлен 14 июня

http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=6...

ss@ACER:~$ touch xxx
ss@ACER:~$ cp xxx /dev/shm/
cp: невозможно создать обычный файл `/dev/shm/xxx': Отказано в доступе


и ? 

Кстати, как вы считаете, на ядро 2.4 уже можно переходить? Оно достаточно стабильное уже?

Нет, но пока на 2.6.16.60 можно отсидется

> cp: невозможно создать обычный файл `/dev/shm/xxx': Отказано в доступе и ?

Читерам бан!

о, у меня тоже заработал :)

> http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=6.. .

Ууу оракулеводы. Мало нам оракулевский дырок в этом мегадырявом поделии еще и в Linux понатащили.

2.2.xx-xxyzzzz - рулед !! а кому нужен USB и прочие извраты - могут мигрировать на FreeDOS.

>Ууу оракулеводы.

Йенс скорее зюзевод ;)

>Йенс скорее зюзевод ;)

Не, он давно в уже в Оракле...

У меня по другому.
Права на запись есть.
Просто...
# mount | grep shm
shm on /dev/shm type tmpfs (rw,noexec,nosuid,nodev)
#
поэтому на любой --x выдаёт permission denied ;)

>он давно в уже в Оракле...

Дык зюзевод в оракле ;)

а что плохого в быть зюзеводом?

>а что плохого в быть зюзеводом?

БП ;)

> См. обсуждение на ./

"Of course, the problem may also have been known six months ago."

Тебе перевести что означает MAY???!!

> PS: vmsplice_to_user например был добавлен 14 июня

Теоретизировать, что кто-то сразу же нашел дырку и смолчал можно сколько угодно. Если автор сплоита давно знал, но молчал, то почему выложил эксплоит только сейчас? А то, что эксплоит судя по комментариям содержит старый код, совершенно не означает, что этому эксплоиту несколько месяцев. Например, автор мог взять эксплоит для аналогичной более старой ядерной дыры и перепилить его под новую вместо того, чтобы изобретать велосипед.

> Йенс скорее зюзевод ;)

author Jens Axboe <jens.axboe@oracle.com>

Теперь я понял почему ФРЯ в основном на серверах живет ;) .Кстати, а какой нынче *BSD - десктоп рулит?

>Дык зюзевод в оракле ;)

Они там все на убунте :)

Надоело пускать. Не работает нифига. 2.6.22.6/x86_64, собрано make-kpkg.

Я в курсе ;)

>Если автор сплоита давно знал, но молчал, то почему выложил эксплоит только сейчас?

Тема стала неинтересна ;)

CentOS 5.1 SELinux Strict. не пашет :(

> cp: невозможно создать обычный файл `/dev/shm/xxx': Отказано в доступе

> Просто... # mount | grep shm shm on /dev/shm type tmpfs (rw,noexec,nosuid,nodev)

Ой-ой-ой. Как только узнали элитный способ обхода nonexec так тут же побежали дырки все залатали. Ну ничего, для вас есть еще один способ обхода nonexec:

$ strace perl syscall.pl 2>&1|grep 1337 syscall_1337(0x1, 0x8174dc8, 0xa, 0, 0, 0, 0xffffffda, 0x7b, 0x7b, 0, 0x33, 0x539, 0xb7f52410, 0x73, 0x246, 0xbffe1c6c, 0x7b, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0) = -1 (errno 38)

Вместо 1337 там может стоять и __NR_vmsplice (316) ;)

> cp: невозможно создать обычный файл `/dev/shm/xxx': Отказано в доступе

> Просто...
# mount | grep shm
shm on /dev/shm type tmpfs (rw,noexec,nosuid,nodev)


Ой-ой-ой. Как только узнали элитный способ обхода nonexec так тут же побежали дырки все залатали. Ну ничего, для вас есть еще один способ обхода nonexec:

$ strace perl syscall.pl 2>&1|grep 1337
syscall_1337(0x1, 0x8174dc8, 0xa, 0, 0, 0, 0xffffffda, 0x7b, 0x7b, 0, 0x33, 0x539, 0xb7f52410, 0x73, 0x246, 0xbffe1c6c, 0x7b, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0) = -1 (errno 38)

Вместо 1337 там может стоять и __NR_vmsplice (316) ;)

Ага, нашёл

У кого-нибудь ядро собрано с -fstack-protector и _FORTIFY_SOURCE=2 ?

После много кратного запуска этого дела с сегфолтом на виртуальной машине OpenVZ весь HWNode ушел в мрак.

Как жеж не поперло та а :'-(.

> Ну ничего, для вас есть еще один способ обхода nonexec

на поиски этого способа и уж тем более на реализацию у среднестатистического "кулхацкера" уйдёт не один день. Это не просто скачать->скомпилить.
За это время успеем патчи наложить.
А у знающих людей эта дырка наверняка уже несколько месяцев используется.

Эксплойт хорошо летает, не тормозит? :)

> Надоело пускать. Не работает нифига. 2.6.22.6/x86_64, собрано make-kpkg.

Этот не заработает. Там код x86. Ищи специальный эксплойт для своей архитектуры. Или сам сделай по одразу и подобию. Уязвимость-то никуда не ушла.

190587 Local root exploit in kernel 2.6.17 - 2.6.24 (vmsplice) Gentoo Linux Unknown Confirmed
190587 Local root exploit in kernel 2.6.17 - 2.6.24 (vmsplice) Debian Unknown Fix Committed
190587 Local root exploit in kernel 2.6.17 - 2.6.24 (vmsplice) linux (Fedora) Unknown Fix Committed
190587 Local root exploit in kernel 2.6.17 - 2.6.24 (vmsplice) Mandriva Unknown Confirmed
190587 Local root exploit in kernel 2.6.17 - 2.6.24 (vmsplice) linux-source-2.6.22 (Ubuntu) High In Progress
190587 Local root exploit in kernel 2.6.17 - 2.6.24 (vmsplice) linux (Ubuntu) High In Progress
190587 Local root exploit in kernel 2.6.17 - 2.6.24 (vmsplice) linux-source-2.6.20 (Ubuntu) High In Progress
190587 Local root exploit in kernel 2.6.17 - 2.6.24 (vmsplice) linux-source-2.6.17 (Ubuntu) High In Progress


Убунтяи , блин, (производное от лентяи) дебиан и федору уже пропатчили, а эти все чешутся

rbash рулит. Не давать пользователям выполнять бинарники вне переменной PATH и все. А еще можно настроить gresce'овский TPE (Trsuted Path Execution). И все "кулхацкеры" сосут.

на всякую крутую задницу найдется кое что с винтом

от винта найдется задница с закоулками, от задницы с закоулками найдется....

(к предыдущему посту) была бы дырка, а возможность ее заюзать найдут. как временная мера для сосания - годится, а так сидим, ждем патча для дистрибутивов своих, кому невтерпеж - собирают ядра сами. Мну лень ) все равно взламывать кроме меня некому.

Правда остаются перловые сисколы. И это было бы совсем печально, но к счастью у меня, например, интерпретатор perl'а не доступен в шелле.

А вот на веб-серваке можно что-то придумать через .cgi. Так то обновляться нужно побыстремше.

Придется пересобирать. Centos'овцы пока не чешутся.

> rbash рулит. Не давать пользователям выполнять бинарники вне переменной PATH и все. А еще можно настроить gresce'овский TPE (Trsuted Path Execution). И все "кулхацкеры" сосут.

Trsuted Path Execution и rbash умеют работать с perl exploit.pl?

> Уже пропатчил ядро.. У меня 2.6.21.5 так что патч по ссылке для него не подошел, номер строки другой в моем файле. Весь смысл в том, чтобы найти в файле /usr/src/linux/fs/splice.c строку: if (unlikely(!base)) и заменить ее на if (!access_ok(VERIFY_READ, base, len)) далее можно собирать новое ядро...

Имхо, unlikely здесь как раз можно оставить:

if (unlikely(!access_ok(VERIFY_READ, base, len)))

Up. :-) В некоторых шеллах можно запретить доступ к интерпретатору перла. Не везде, конечно.

// CentOs'овцы не то что не чешутся, а просто ждут апстримного патча от RedHat или скорее даже ядра.

> Убунтяи , блин, (производное от лентяи) дебиан и федору уже пропатчили, а эти все чешутся

В убунте еще один локал рут не запатчен(в loop-aes-utils), пропатченный в дебе ;)

> Скорее всего, та же фигня на всех этих убунтах, grsecurity, PaX-ах, и.т.д.

Некоторые говорят, что grsecurity не подвержен.

ога

ухххх, пропатчился... не работает! :D

Дышите глубже - пролетаем Сочи.

grsecurity подвержен. отлично рутом становимся, правда ненадолго - потом oops.

А у меня нет линукса... :(

> rbash рулит. Не давать пользователям выполнять бинарники вне переменной PATH и все. А еще можно настроить gresce'овский TPE (Trsuted Path Execution). И все "кулхацкеры" сосут

Безопасники сосут. Хацкеры рулят.

anonymous@hackers:~$ rbash
anonymous@hackers:~$ LD_PRELOAD=`echo -e "$HOME/test/fun.so"` id
Hello rbash! I could do anything here ;)
uid=1337 gid=1000(anonymous) euid=1000(anonymous) группы=4(adm),20(dialout),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(p lugdev),100(users),104(scanner),113(lpadmin),115(powerdev),117(admin),119(fuse), 125(vboxusers),128(uml-net),1000(anonymous)

Ха-ха-ха rbash всосал =) Ладно не буду вас больше пугать трюками для обхода noexec,
perl-эксплоитами и эксплоитами на rbash, а то не уснете - будете всю ночь за сервера бояться. ;)
Надо бы сделать кроссплатформенный local root perl-эксплоит с шеллкодами для powerpc, amd64 и x86 ;)