Повышение привилегий в vmsplice.

[Under]

Сабж:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=464953

Потратил 5 минут, проверил, работает сука и грустно на душе. 11 килобайтный файлик дает юзеру su без пароля *(а нах это формальность?...).

Код: Выделить всё

under@gentoo ~ $ gcc -I/usr/src/linux/include a.c 
a.c:269:2: warning: no newline at end of file 
under@gentoo ~ $ chmod a+x a.out 
under@gentoo ~ $ ./a.out 
----------------------------------- 
Linux vmsplice Local Root Exploit 
By qaaz 
----------------------------------- 
[+] mmap: 0x0 .. 0x1000 
[+] page: 0x0 
[+] page: 0x20 
[+] mmap: 0x4000 .. 0x5000 
[+] page: 0x4000 
[+] page: 0x4020 
[+] mmap: 0x1000 .. 0x2000 
[+] page: 0x1000 
[+] mmap: 0xb7ded000 .. 0xb7e1f000 
[+] root 
gentoo ~ # whoami 
root 
gentoo ~ # exit 
exit 
under@gentoo ~ $ ls -l a.out 
-rwxr-xr-x 1 under under 11856 Фев 11 19:57 a.out 
under@gentoo ~ $

[hex]

Гыг. У меня облом на всех машинах. 2.6.18-x. А вроде должно было сработать...

[Under]

Облом на каком этапе? Обрати внимание на сурс эксплоита, может у тебя ../asm в дире сорсов ведра нету? Сделай симлинк на asm-i386 или какой там у тебя профиль, ну или в сурсе пути смени для #include и
#include
. Я с такой прелюдией столкнулся.

[hatred]

Мне "патч" понравился )) юзает дыру что бы её заткнуть, жестяк

а так, Hex, я запустил так:
while true
do
./a.out # скомпиленный эксплоит
done

в скором времени порутил свою систему... резко закрыл всем доступ по ssh временно кто у меня обитал.

[hex]

[me=hex]задумчиво смотрит в рутовую консоль одного из московских хостеров. С каждой минутой взгляд становится всё задумчивее.[/me]

[Under]

гг, что там увидел? Покажи другим :-]]]]
Сколько уже шелов поломали интересно...

[Under]

Кстати, с gcc -static имеем 500кб файлик без привязки к инклюдам сорса...

[hatred]

На дебиан вчера обновления были доступны уже, на ArchLinux тоже.

[hex]

Кстати, с gcc -static имеем 500кб файлик без привязки к инклюдам сорса...

Без привязки к чему?!!

[michael]

Без привязки к этим самым... инклюдам сорса, это gcc -E. Да и трудно PAGE_SIZE что ли выставить?

[hatred]

Ы момент великого рута российских провайдеров ))

[hex]

Без привязки к этим самым... инклюдам сорса, это gcc -E. Да и трудно PAGE_SIZE что ли выставить?

не инклудам сорса, а динамическим библятекам.
$ gcc proof-of-concept.c -o proof-of-concept
$ gcc -static proof-of-concept.c -o proof-of-concept.static
$ ldd proof-of-concept
                libc.so.6 => /lib/tls/libc.so.6 (0x4001c000)
        /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)
$ ldd proof-of-concept.static
        not a dynamic executable

В нашем случае вещь ненужная, ибо сервак без libc6 и с ядром 2.6 ещё поискать надо )

[Under]

Тюю, набросились сразу, я не программер, говорю как понимаю :-].
Не удержался, испытал на одном из своих шеллов, поимел:
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0x40001000 .. 0x40033000
[-] vmsplice: Bad address

[hex]

Ы момент великого рута российских провайдеров ))

Та ни, не такое видали эти провайдеры. Тем более локальный эксплоит. Циски вон 0day не так уж давно поимели и ничего, выдержал инет )

[hatred]

Про киски не слышал