создать симлинк в /lib без использования sudo

Если только подключить образ этой вм к другой, рабочей

это и пытаюсь сделать…

В директории где libc

$ LD_PRELOAD=libc-2.23.so sudo ln -s libc-2.23.so libc.so.6

Ну а вдруг сработает

Не сработает, с setuidными бинарями это работать не должно. Если у негогет уже открытого рутового шелла, то никак это не решается.

пробовал, не работает :(

с setuidными бинарями это работать не должно

так и думал, иначе это реально дырище

Быть аккуратнее с -f в rm в следующий раз. Есть возможность обратится к кому-то,у кого есть физический доступ?

А копирование работает? В смысле создать копию файла с таким именем?

Получение рута через su?

Копирование симлинка по ssh?

нет. нет. нет.

«Как шмальнуть себе в голову и не попасть в ногу» для чайников.

Тогда «ищем пуговицу»

Найти сплойт под ядро, если не самое свежее, поднять привилегии до рутовых, сделать симлинк.

и не проще тупо удалить эту нерабочую систему и заново развернуть чистую? какой смысл всего этого сакральный?

как минимум, натереть мозоль на заднице и в такое не попадать.
вар2: возможности насильно реинкарнировать систему нет.

Думаю даже без setuid оно бы не сработало. Так прописана зависимость от libc.so.6, он скорее всего будет пытаться её подгрузить даже если все функции уже есть в прелоаденой библиотеке. Хотя может конечно и не так, но вряд ли.

Проблему (без эксплоитов) не решить, но не удержусь от чтения морали: избавляйся от sudo. Рут-задачи надо делать из рут-консоли (она легко отличается по # вместо $ и у неё свой пароль), остальные - от непривилегированного юзера, который не должен ничего себе мочь повысить. Тогда бы, возможно, и не было случайного удаления. А если бы было - у тебя бы скорее всего остался запущеный рут-шелл, через который бы всё легко восстановилось (хотя конечно не просто командой ln).

Думаю даже без setuid оно бы не сработало

Не-не. Точно работает. Всякие ls и прочие chmod вызываются с LD_PRELOAD с убитым симлинком.

Сижу тут, играюсь. Пытаюсь собрать util-linux со статическим su. Пока не выходит )

Пытаюсь собрать util-linux со статическим su. Пока не выходит )

В чём собственно проблема? Неужели они в такой примитивной софтине так накрутили что её проблема скомпилировать? Тогда проще свою написать, там делов то: спросить пароль через controlling terminal и сделать setgroups() setgid() setuid() и настроить переменные типа $HOME, всё делается на основе данных, полученный функциями из pwd.h и grp.h (они из libc).

В чём собственно проблема?

Где-то тут: Using 'getpwuid' in statically linked application requires at runtime the shared libraries from glibc version used.

Тогда проще свою написать

Напишите ) Я не умею )

Статическую линковку c glibc убрали, или не убрали, но хорошо спрятали во всех дистрах. Но это неточно

Поэтому только musl и т.п. реализации libc

Поэтому только musl

Тоже так подумал. Сижу в виртуальном VoidLinux на musl теперь пытаюсь.

Сижу тут, играюсь. Пытаюсь собрать util-linux со статическим su. Пока не выходит )

Есть же статический busybox, в котором и su есть в том числе.

Мда и правда. Ну это уже авторы glibc постарались. Возможно это связано с поддержкой файла /etc/nsswitch.conf (теоретически можно настроить другую базу юзеров вместо /etc/passwd). Хотя я ни разу не видел чтобы кто-то его менял.

Ну я линковал статически и не знал что её «убрали». Эти варнинги только на некоторые не сильно популярные функции пишутся. Единственное - бинарник огромный получается, в FreeBSD намного меньше.

Ну вобщем как всегда, в линуксах всё криво и костыльно.

Есть же статический busybox

Вы - гений! )

У меня получилось в ArchLinux. Только для этого надо установить busybox и поставить ему SUID (chmod +s) и тогда LD_PRELOAD=libc-2.33.so busybox su впускает в root с убитым симлиинком /lib/libc.so.6

Осталось только автору темы как-то придумать где его взять готовый )

Осталось только автору темы как-то придумать где его взять готовый )

Ага, в этом и основная проблема. Busybox не проблема скачать через wget, но suid бит на него не поставишь без root прав :)

но suid бит на него не поставишь без root прав :)

Насколько я понимаю - он же уже может быть установлен.

У меня тут под рукой образ диска Angstrom Linux в ext4. Тупо файл. Я его тупо mount. А у него внутри уже готовые /bin/busybox.nosuid /bin/busybox.suid с правильными битами.

Вроде.

Странно, тут с какой стороны ни посмотри а получается что-то несуразное.

1) Допустим, сработал LD_PRELOAD на busybox. Получается, LD_PRELOAD сработал на suid-бинарник, чего быть не должно.

2) Допустим, он не сработал на сам busybox, но сработал на его подпроцесс su, благодаря какой-то внутренней логике busybox-а. Тогда получается - в busybox дыра, ведь в прелоаде могло быть что угодно (в т.ч. троян), и оно транзитом дошло до проги, выдающей рут-права.

3) Допустим, busybox не рассчитан на suid-запуск, значит п.2 это не дыра а некорректная установка. Но зачем тогда в нём su? Он же не будет без suid работаь никак.

edit: а, понял, busybox же статический, а LD_PRELOAD тут лишний, он не влияет на успех (если таки влияет - то всё же несуразица)

Допустим, сработал LD_PRELOAD на busybox

busybox - это статический экзешник, не использует glibc, так что ему все равно на LD_PRELOAD.

Ну, если уже установлен, то проблема решена можно сказать. Это если у ТСа, конечно, вообще есть разблокированный root аккаунт, а то мало ли.

а, понял, busybox же статический, а LD_PRELOAD тут лишний, он не влияет на успех (если таки влияет - то всё же несуразица)

Влияет, сейчас проверил на виртуалке с удаленным libc.so.6. Без LD_PRELOAD получаю ошибку об отсутствии libc.so.6. Так что да, тут LD_PRELOAD почему-то срабатывает на suid бинарник.

А нет, до меня дошло, что это не сам su из состава busybox LD_PRELOAD требует, а шелл (в моем случае bash). Но, тем не менее, на успех это влияет, если не использовать статический шелл.

К Aws можно через панель управление подключить раздел или смонтировать тот, что есть на другой машине. А вообще под scp можно все исправить.

export LD_LIBRARY_PATH=xxx

А нет, до меня дошло, что это не сам su из состава busybox LD_PRELOAD требует, а шелл (в моем случае bash).

Хм, ну не то что бы это в прямую дыра, ведь su (без прелоадов, т.е. оригинальный) честно спросил пароль перед запуском баша, но как-то не совсем приятно что LD_PRELOAD проскочил внутрь. Хотя может это, в учётом честно спрошенного пароля, и штатное поведение.

Интересно а почему busybox-su запускает bash а не ещё один busybox.

scp не рутовое будет, если речь про команду для cp over ssh.

Ну, если уже установлен, то проблема решена можно сказать.

На самом деле - ничего не получилось. Он только выглядит внешне, словно suid root:root, даже если его монтировать в fuse. Только не работает.

Собрал busybox 1.35 статически с musl и только с одним апплетом - su, остальное всё повыключал в его menuconfig.

Создал пустой файл через dd, mkfs его, смонтировал и положил на него тот собранный busybox, установил suid root:root.

Тут - пока всё красиво вроде.

Но эту фс-внутри-файла всё-равно приходится монтировать с sudo на целевой машине, чтобы из неё работал busybox su. С fuse2fs, хоть и выглядит внешне правильно, но при запуске пароль не проходит.

Эх... Тогда сдаюсь. ) Прости, ТС )