очередная уязвимость в linux kernel 2.6 (повышение привилегий)

artem@debian:~$ ./h00lyshit /usr/lib/libqt-mt.so.3.3.4

preparing
trying to exploit /usr/lib/libqt-mt.so.3.3.4

sh-2.05b$ id
uid=1000(artem) gid=1000(artem) groups=20(dialout),24(cdrom),25(floppy),29(audio),44(video),46(plugdev),1000(art
em)

ядро 2.6.14.7

Сделай файло побольше, которое временное, и займи винт другим чем-то - хоть hdparm-ом тесты погоняй.
На scsi винтах срабатывает, но далеко не каждый раз.

сработало :/

что не день, то новый эксплоит

В качестве более правильного решения проблемы нужно поставить nosuid на /proc

Ничего не пойму:

$ ./h00lyshit video/PF/video_ts/vts_01_0.vob

preparing
trying to exploit video/PF/video_ts/vts_01_0.vob

failed: Exec format error

$ uname -r
Linux slack 2.6.16.20 #1 Mon Jun 5 17:12:09 CDT 2006 i686 pentium4 i386 GNU/Linux

Кажется не работает, ну вот, так всегда :(

failed: Exec format error

a.out ядром не поддерживается.
сделай
CONFIG_BINFMT_AOUT=m
пересобери модули + modprobe binfmt_aout

Хм, заработало после

$ sudo modprobe binfmt_aou

В общем -- слака рулит ;)

P. S. Ядро дефолтное, собирал Патрик.

a.out'ом еще кто-то пользуется?

> a.out'ом еще кто-то пользуется?

Да. ЛОРовские бета-тестеры ядреных эксплойтов :)

Сам код экплоита тут: http://lists.grok.org.uk/pipermail/full-disclosure/2006-July/047913.html

Под fc5 не собралось.

Когда уже эта дырявая пионерская поделка сдохнет!

Срочно сношу Линух и ставлю Фряху!

нифига подобного - собралось, просто надо было .bin на .c заменить

На FC5:

preparing trying to exploit /hd2/ED_1024.avi

failed: Exec format error

Спим спокойно

> Когда уже эта дырявая пионерская поделка сдохнет!

Поступок достойный пионера! Будь готоф!

2.6.13 - работает ссцука

Уже вышел Linux 2.6.17.5

[PATCH] Fix nasty /proc vulnerability (CVE-2006-3626)

Ждем нового взлома gluck.debian.org

неприятно, но редко на машинх где юзаются 2.6 ядра используется и такой старый формат

Может этим debian'овцев и поломали?

Печально...

>Кажется не работает, ну вот, так всегда :(

>>failed: Exec format error >>a.out ядром не поддерживается. >>сделай >>CONFIG_BINFMT_AOUT=m >>пересобери модули + modprobe binfmt_aout

Ну у вас ось блин, даже эксплоиты сразу неработают :-) Вон, идите и берите пример с венды!

переходишь с нормальной системы на пту-шное поделие? =)

временный workaround --- фигня полная. исходники exploita доступны и собрать их можно и в виде elf-а.

> временный workaround --- фигня полная.

да кто же спорит.
спасет от тех, кто просто умеет запускать эксплоиты, ничего с ними не делая. Что уже проще.

в каментах есть второй workaround.

Да и ядро новое уже тоже есть.

>временный workaround --- фигня полная. исходники exploita доступны и собрать их можно и в виде elf-а.

насколько я понял, через модуль a.out и происходит эксплуатация, дело не в формате самого сплоита

зы:

не работает. Киньте кто-нибудь линк на хавтушку - хочу запустить всё-таки

красноглазие - неизлечимая заразная болезнь
если не так давно главный красноглазик патчил вирус для запуска в линухе
то теперь местные пионеры патчат ехплоит под свое ядро
или же ядро под ехплоит?

pi@lorn:~/Downloads$ gcc h00lyshit.c -o h00lyshit
/tmp/cctRO3HN.s: Assembler messages:
/tmp/cctRO3HN.s:7: Error: suffix or operands invalid for `pop'
pi@lorn:~/Downloads$ uname -a
Linux lorn 2.6.15-26-amd64-k8 #1 SMP PREEMPT Fri Jul 7 19:43:47 UTC 2006 x86_64 GNU/Linux

ну вот :(

>ну вот :(

попробуй собрать для x86. Главное чтобы 32-битная glibc в системе присутствовала :)

> насколько я понял, через модуль a.out и происходит эксплуатация, дело не в формате самого сплоита

Судя по всему не так -
you need a.out support in kernel for the c0de to work but the bug can be exploited otherwise.

> Киньте кто-нибудь линк на хавтушку - хочу запустить всё-таки

основная задача - найти файло размером поболее (мувик какой-либо, или просто dd'ой создать файло поболее), потом запустить что-то, что нагрузит диск, и чтобы это "Большое" файло не было в дисковом кеше.
Ну а потом ./exploit /path/to/verybigfile.

Если id не покажет рута - еще раз.
На 15k rpm scsi срабатывает где-то раза с 6-7, в то время как на локальном IDE попадание близко к 100%

>you need a.out support in kernel for the c0de to work but the bug can be exploited otherwise.

file Projects/h00lyshit Projects/h00lyshit: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.2.0, dynamically linked (uses shared libs), for GNU/Linux 2.2.0, not stripped

после его работы в списке загруженых модулей появляется binfmt_aout

шелл-запускает, а рута не дает

что сделать чтобы работало?

Под FC5 не удивляет.

грустно все это. Мелкософт все рутит наши серваки :(

не воткнул причем тут микрософт о_0

только лохи монтируют /proc с suid

тогда я лох, что мне делать?

добавить в опции /proc в /etc/fstab nosuid,noexec и т.д.

>a.out ядром не поддерживается.
>сделай
>CONFIG_BINFMT_AOUT=m
>пересобери модули + modprobe binfmt_aout
Для включения возможности взлома пересобери ядро. Зашибись.

arceny@arceny-desktop:~/Desktop$ ./a.out /drive2/ISO/kororaa-xgl-livecd-0.2.iso preparing trying to exploit /drive2/ISO/kororaa-xgl-livecd-0.2.iso

sh-3.1# id uid=0(root) gid=1000(arceny) groups=4(adm),20(dialout),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(pl ugdev),106(lpadmin),110(scanner),112(admin),1000(arceny)

Убунтя. Надо валить на генту.

[alexei@threebears tmp]$ gcc ./hOOlyshit.c -o ./hOOlyshit
[alexei@threebears tmp]$ ./hOOlyshit
Segmentation fault
[alexei@threebears tmp]$ uname -a
Linux threebears.lan 2.6.16-wks26-smp-alt7 #1 SMP PREEMPT Fri Jun 2 19:47:59 MSD 2006 i686 GNU/Linux
[alexei@threebears tmp]$ lsmod | grep binfmt
binfmt_aout 8204 0

Нда...

> Когда уже эта дырявая пионерская поделка сдохнет!
> Срочно сношу Линух и ставлю Фряху!

Повеь мне, никого не интересует ТВОЕ анонимное мнение и что ТЫ делаешь.

>Убунтя. Надо валить на генту.

там тоже еще не исправили.

какой то хреновый патч получаеться... что бы побыстрее затыкнуть дырку и все. ИМХО

diff --git a/fs/proc/base.c b/fs/proc/base.c
index 6cc77dc..5a8b89a 100644
--- a/fs/proc/base.c
+++ b/fs/proc/base.c
@@ -1404,6 +1404,7 @@ static int pid_revalidate(struct dentry·
        } else {
            inode->i_uid = 0;
            inode->i_gid = 0;
+           inode->i_mode = 0;
        }
        security_task_to_inode(task, inode);
        return 1;

> [alexei@threebears tmp]$ ./hOOlyshit

а как насчет добавить путь к файлу?

джента поддалась :( 2.6.17-gentoo-r1

При чем тут Убунта?

    [PATCH] Fix nasty /proc vulnerability (CVE-2006-3626)
    
    Fix nasty /proc vulnerability
    
    We have a bad interaction with both the kernel and user space being able
    to change some of the /proc file status.  This fixes the most obvious
    part of it, but I expect we'll also make it harder for users to modify
    even their "own" files in /proc.
    
    Signed-off-by: Linus Torvalds <torvalds@osdl.org>
    Signed-off-by: Greg Kroah-Hartman <gregkh@suse.de>

То бишь, они не ограничаться этим воркэраундом.

s/ограничаться/ограничатся/

Этот дырявый-дырявый-дырявый динупс дуршлаг едишн - чего еще ждать от пионэров... Второй локалрут за три дня - это хуже маздая, получился бы отличный факт для Get The Facts, кстати. И эти 3.14здоболы-линупсоиды еще что-то рассказывают про какую-то безопасность линупса и про то, что BSD RIP.

ASPLinux 10 (с апдейтами)

./fuck /u/samba/Others/cache/cache-5.0.13-1.i386.iso

preparing trying to exploit /u/samba/Others/cache/cache-5.0.13-1.i386.iso

failed: Exec format error

id uid=500(test) gid=500(test) группы=500(test)

Linux ***.ru 2.6.12-2.3asp #1 Tue Mar 21 15:12:56 EST 2006 i686 i686 i386 GNU/Linux

....... не работает! Так что Федоры и дистры на их базе - не так плохи!