LINUX.ORG.RU
решено ФорумGeneral

Конкурс на взлом Сhroot-окружения

 


3

4

Всем привет.

Для тех у кого есть время и опыт по теме «вырваться из chroot и получить root» - небольшой конкурс:

VPS с самым обычным Сhroot-окружением:

--- SSH/SFTP -------------
IP: 89.223.95.193 
Порт: 22
Логин (chroot-пользователя): bitrix 
Пароль (chroot-пользователя): FkR1C~!1
---------------------------

В качестве небольшого вознаграждения - приз 500 руб. )))

Первый, кому удасться «вырваться из chroot и получить root», в корне системы «/» из под root, создает файл «ya-sdelal-vas», в котором оставляет номер своего кошелька Яндекс, Webmoney или Qiwi - куда отправить вознаграждение. И далее «poweroff», чтобы последующие участники не переписали файл с реквизитами для оплаты и после не было вопросов, кто был первым.

VPS будет доступен в течении 2-х недель, не проходим мимо, принимаем участие!

jenkins подставить свое значение
Запилил пульсу - econf failed

Товарищ майор, ну как же так. Накиньте нулей хотя бы, иначе потрачено будет больше чем потенциально получено.

За 8 баксов, ага, щаз.

anonymous
()
Ответ на: комментарий от anonymous

500 руб. - это символический приз )), как в спортивной эстафете, на пивас.

stranger-ru
() автор топика

котором оставляет номер своего кошелька Яндекс, Webmoney или Qiwi

а если я не пользуюсь данными платёжными средствами

Harald ★★★★★
()
Ответ на: комментарий от Harald

а если я не пользуюсь данными платёжными средствами

Х.з. - список из 3-х одних из самых популярных платежных систем. На PayPal тоже возможно.

stranger-ru
() автор топика
Ответ на: комментарий от superuser

Срочно сообщите в АНБ, тут организатора какерских отак поймали.

))

stranger-ru
() автор топика
Ответ на: комментарий от superuser

Что ж ты зараза делаешь, я нажал эту ссылку и теперь мой аккаунт удален! Кто мне вернет все назад, у меня 6 звезд было????

anonymous
()
Ответ на: комментарий от anonymous

Кто мне вернет все назад

товарищ капитан вернёт, всё, с процентами
p/s но это не точно

superuser ★★★★☆
()
Последнее исправление: superuser (всего исправлений: 1)
Ответ на: комментарий от Gremlin_

И что ты удалишь, рутовый лог?

anonymous
() 
SELinux status:                 disabled

Не факт, конечно, что получится что-то реально сломать силами ЛОРовцев. Но это таки не серьёзно. ИМХО.

Deleted
()

На лоре только и пишут на предложение использовать chroot для каких-то задач, мол из чрута выберется даже ребёнок.
А как дело доходит до практики, так все какиры попропадали.

Deleted
()
Ответ на: комментарий от Deleted

Ты же в курсе что это чудо хочет на халяву получить последовательность того как выползти из чрута?

Deleted
()
Ответ на: комментарий от Deleted

На лоре только и пишут на предложение использовать chroot для каких-то задач, мол из чрута выберется даже ребёнок.

Ну так-то из чрута я выбрался. Но только под юзером bitrix.

Сомневаюсь, что существует простой способ получить рута на дефолтной свежеобновленной центоси без установленного странного говна и/или странных настроек.

Deleted
()
Ответ на: комментарий от Deleted

я перезапустил, пару параметров добавил в конфиг, не касающиеся данного конкурса и не препятствующие ему.

stranger-ru
() автор топика
Ответ на: комментарий от stranger-ru

не касающиеся данного конкурса и не препятствующие ему.

Касается и препятствует. Уж что что, а конфигурацию на лету менять это моветон. Пусть спокойно копошатся, зачем палки в колёса вставлять

Deleted
()
Ответ на: комментарий от Deleted

Пусть спокойно копошатся, зачем палки в колёса вставлять

Больше не трогаю, я если честно окна консолей перепутал - в рабочем режиме и не на ту машину полез вносить изменения в конфиги веб-сервера, потом быстро откатил и вернул как было, поэтому по сути ничего вообще не изменилось. Сойри, больше не трогаю эту машину.

stranger-ru
() автор топика

Done. Только чот он пингуется после poweroff... Хотя может это NAT пингуется.

upd. Всё, уже не пингуется.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от stranger-ru

Если интересно, то дело было примерно так...

С побегом из чрута всё элементарно: в чруте только ssh, а httpd/php работает вне чрута. И из чрута можно добавлять файлы в директорию веб-сервера. По первому же запросу «php shell» нагугливаем вот это: https://github.com/flozz/p0wny-shell, кладём единственный файл в директорию веб-сервера, переходим браузером на правильный адрес - готово! У нас есть шелл в хостовой системе. Но от непривилегированного юзера bitrix.

Далее исследуем систему на предмет работающих сервисов с очевидно кривыми настройками. Обнаруживаем сервис munin-node, работающий от рута. Видим, что у /etc/munin права munin:bitrix 0775 (или что-то такое, я не вёл записи и точно не помню). Всмоминаем, что munin запускает свои скрипты-плагины прямо из /etc/munin/plugins/. Большинство плагинов от имени непривилегированного пользователя munin, но несколько штук - от имени рута. Выбираем один из них и симлинк в /etc/munin/plugins/ подменяем на скрипт прямо в той же директории, но уже с нашим злобным содержимым. Всё, мы можем писать произвольный код, который munin-node затем запустит от рута. Триггернуть munin-node можно банально неткатом прямо с этого же хоста. Далее можно делать с системой всё что угодно.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 2)

Один из мейтейнеров чрута писал в мане, что оно не повышает безопасность и цель не в том, но проверять это можно, если спецолимпиады развлекают.

anonymous
()
Ответ на: комментарий от stranger-ru

Хотел бы добавить, что хотя в данном случае уязвимости появились исключительно из-за кривых настроек, исправление конфигов не сделает chroot безопасным, как уже выше сказали. Жить это будет максимум до следующего серьёзного бага в ядре.

Кстати, в подобном сетапе можно дел натворить даже без поднятия своих привелегий до рута. Просто побега из чрута достаточно для встраивания злых скриптов в соседские сайты, запуска майнеров, отправки спама, удаления всех пользовательских данных и так далее.

Deleted
()
Ответ на: комментарий от Deleted

дел натворить даже без поднятия своих привелегий до рута. Просто побега из чрута достаточно ....

дв так то планировалось отдельные VPS-ки под отдельных владельцев, где 1-2 сайта, которые обслуживает один веб-разработчик. Поэтому побег «не до рута» не столь страшен, т.к. вряд ли он сам себе будет вредить.

А вот побег «до рута» - понятная Ж )).

Мда, стоит где-то дать малейшее прослабление, все, потенциальная дыра со всеми вытекающими по полной (( - печаль!

stranger-ru
() автор топика

Ну ты бы хоть gentoo-hardened огороженную накатил, а то чё ванильный чрут ни тебе селинукса ничего.

anonymous
()
Ответ на: комментарий от stranger-ru

VPS-ки под отдельных владельцев, где 1-2 сайта

Лучше уж lxc выбрать.С ним выстрелить себе в ногу сложнее. Плюсом можно нагуглить тонны скриптов для деплоя и настройки.

Deleted
()
Ответ на: комментарий от Deleted

Вот да, респект тебе, Иван!

Если не затруднит, черкни, что значит мунин триггернуть неткатом.

anonymous
()
Ответ на: комментарий от anonymous

Если не затруднит, черкни, что значит мунин триггернуть неткатом.

У munin очень простой текстовый протокол. Если сделать вот так: 

$ nc $MUNIN_NODE_IP 4949
fetch meminfo
То munin-node запустит скрипт /etc/munin/plugins/meminfo.

Но чтобы это сработало, этот скрипт должен сущетвовать и отдавать валидные данные на момент запуска сервиса munin-node. Также, к нему должен быть конфиг, в котором настроен запуск от имени рута. munin-node не перечитывает свои конфиги автоматически при их изменении, так что просто добавление нового скрипта в /etc/munin/plugins/ не поможет без перезапуска сервиса (а это не получится сделать без рута).

Deleted
()
Последнее исправление: Deleted (всего исправлений: 2)
Ответ на: комментарий от Deleted

Круто! Спасибо. Нравятся хак-стори.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
jenkins подставить свое значение
General
Запилил пульсу - econf failed