Линуксокапец

дай урл

работает на ванильных 2.6.22.16, 2.6.24.1

>иногда офигиваешь от того, кто и сколько тебя игнорит...

это к чему?

http://milw0rm.com/exploits/5092

>>иногда офигиваешь от того, кто и сколько тебя игнорит...

>это к чему?

генератор уже сказал, что с самыми последними патчами эксплойт работает

>генератор уже сказал, что с самыми последними патчами эксплойт работает

ааа..)) я не игнорю, я просто торможу))

>Я аж от иксов отказаться готов
Лишь бы в оффтоп назад не идти!

Не в рифму. Вот так лучше:

Я от иксов отказаться готов,
Только бы не возвращаться в оффтоп

;)

чё не уж все сели патчь писать?
или уже патчитесь?

>http://milw0rm.com/exploits/5092

класс! на RHEL5 работает ;)

Писец jessica_biel_naked_in_my_bed.c

Сработал на openSUSE 10.3 с первого запуска.

Linux linux-suse103 2.6.22.16-0.2-default #1 SMP 2008/02/01 19:36:55 UTC i686 athlon i386 GNU/Linux

/me ушел проверять апдейты.

2.6.24 из sid - первый работает на ура. Второй не пробовал

Блин, абидно. Давно вроде такого не было :(

ты лучше посмотри какой у второго охват (с 17 по 24)

Давно?

Я о том что такой дырищи давно не было. А охват да, "радует". Второй сплоит у меня прекрасно работает (Linux 2.6.22-14-generic #1 SMP Fri Feb 1 04:59:50 UTC 2008 i686 GNU/Linux).

Но что в итоге PaX решает?

Когда уже, млин, патчи то появятся?

Судя по названию функции sys_vm86old, эксплойт использует какой-то замшелый код, оставленный в ядре для совместимости. Разве нельзя эту функцию выключить пересборкой ядра?

Ну, или закомментить её и собрать ядро заново?

это в первом. во втором такой функции нет.

> И массово закрыть SSH доступ пользователям виртуального хостинга? OH SHI~

а что это даст? надо еще cgi-шники запрещать и system в php.

> он у меня тоже не собрался - требует asm/page.h

ну так замени asm/page.h на sys/user.h. ему всего-то надо что PAGE_SIZE оттуда дернуть.

gentoo-sources-2.6.24, пересобранный не далее как вчера.

первый:

[MyDownloads]$ ./a.out
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
[-] /proc/kallsyms: No such file or directory

второй:

[MyDownloads]$ ./a.out
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xa7db8000 .. 0xa7dea000
[+] root
[MyDownloads]$ touch /eee
[MyDownloads]$ ls -l /
итого 48
drwxr-xr-x 2 root root 3200 Фев 8 10:14 bin
drwxr-xr-x 4 root root 2480 Янв 28 05:21 boot
drwxr-xr-x 15 root root 4020 Фев 9 22:02 dev
-rw-rw-r-- 1 root root 0 Фев 10 12:17 eee
drwxr-xr-x 125 root root 7984 Фев 10 02:23 etc
drwxr-xr-x 11 root root 4096 Янв 12 11:12 home
drwxr-xr-x 10 root root 5144 Ноя 7 21:00 lib
drwxr-xr-x 7 root root 240 Фев 9 22:02 media
drwxr-xr-x 16 root root 448 Янв 22 16:47 mnt
drwxr-xr-x 22 root root 664 Янв 31 20:08 opt
dr-xr-xr-x 163 root root 0 Фев 10 06:01 proc
drwxr-xr-x 60 root root 5848 Фев 9 14:52 root
drwxr-xr-x 2 root root 4128 Янв 31 19:59 sbin
drwxr-xr-x 11 root root 0 Фев 10 06:01 sys
drwxrwxrwt 214 root root 16000 Фев 10 12:17 tmp
drwxr-xr-x 18 root root 592 Янв 11 13:19 usr
drwxr-xr-x 18 root root 528 Мар 26 2007 var

Угум. Т.е. это переполнение буфера в vmsplice ("iov.iov_len = ULONG_MAX;")?

работает, но что-то нехорошее с ядром делает. пришлось перебучиваться.

> В убунте вечо что нить не работает.

Ага, вечно они что-нибудь ломают. Вот и этот эксплойт сломали.

пора бы мне ядро обновить.... ==) правда у меня не работает - либ не хватает

на дефолтном 2.6.9-42.ELsmp i386 естественно не работает.

// wbr

Ты бы еще на 2.4.х попробовал :)

> http://milw0rm.com/exploits/5093

это ещё не страшно, соседний посмотри, http://milw0rm.com/exploits/5092 , это действительно капец...

%gcc -o milw0rm milw0rm.c
/tmp/cciZbGB6.s: Assembler messages:
/tmp/cciZbGB6.s:118: Error: Incorrect register `%rax' used with `l' suffix
%uname -a
Linux saahriktu 2.6.24 #4 PREEMPT Sat Feb 9 16:14:15 MSK 2008 x86_64 GNU/Linux
%gcc -v
Используются внутренние спецификации.
Целевая архитектура: x86_64-unknown-linux-gnu
Параметры конфигурации: ../gcc-4.2.3/configure --prefix=/usr --libexecdir=/usr/lib --enable-shared --enable-threads=posix --enable-__cxa_atexit --enable-clocale=gnu --enable-languages=c,c++ --disable-multilib
Модель многопотоковости: posix
gcc версия 4.2.3
%

> это ещё не страшно

а, извиняюсь, здесь его уже тоже откопали...

>соседний посмотри, http://milw0rm.com/exploits/5092
скомпилился и вызвал kernel panic

Второй оопситя чаще, чем срабатывает (у меня, по крайней мере). Так что если стоит kernel.panic_on_oops=1, то неудивительно

Gentoo 2.6.23 первый работает. Кстате вопрос - ктото понял КАК он работает? Прочитал исходник 2 раза - нихрена не понял (С знаю на уровне - когда то в универе зачет сдавал)

>если стоит kernel.panic_on_oops=1
%cat /proc/sys/kernel/panic_on_oops
0

напиши в багзиллу дистриба

>С знаю на уровне - когда то в универе зачет сдавал

ешё нужно знать процессор на уровне, и ядро на уровне...

>напиши в багзиллу дистриба
ядро не из дистряба (чистая ваниль)
компиль не из дистряба (в нём 4.1.2, а у меня 4.2.3)
сам дистряб - LFS 6.3
дык в чью багзиллу писать?! ]
ЗЫ. система работает великолепно.
а эксплоитов кроме меня тут вряд-ли кто запустит:
%nmap 127.0.0.1

Starting Nmap 4.50 ( http://insecure.org ) at 2008-02-10 11:51 MSK
All 1711 scanned ports on localhost (127.0.0.1) are closed

> uname -a
Linux alkaida 2.6.23.9-hrt3-reiser4.2007-12-12 #8 Thu Dec 13 18:00:12 MSK 2007 x86_64 x86_64 x86_64 GNU/Linux

Второй эксплойт (2.6.17-2.6.24.1) работает безотказно на ванильном с патчами.

Хм, дяди на kernel.org уверены, что баг пофиксили в 2.6.24.1 http://bugzilla.kernel.org/show_bug.cgi?id=9924

второй с первого раза сработал Linux debian 2.6.18-5-amd64 #1 SMP Sat Dec 22 20:43:59 UTC 2007 x86_64 GNU/Linux

> Ты бы еще на 2.4.х попробовал :)

обычный RHEL4. пока что весьма популярен btw.

// wbr

>на дефолтном 2.6.9-42.ELsmp i386 естественно не работает.

Он работает начиная с 2.6.17.

PS: Йенс вроде как работает над фиксом этой байды ;)

>> на дефолтном 2.6.9-42.ELsmp i386 естественно не работает.
> Он работает начиная с 2.6.17.

да, видать, пора обновляться до RHEL5. такая засада - даже баги и те перестали работать :-/

// wbr

Так на CentOS5 не работает ни тот, ни другой. Правда ядро не родное, а openvz

На мандриве 2008 работает только второй:

[user@localhost exploit]$ gcc test.c -o exploit1 [user@localhost exploit]$ gcc test2.c -o exploit2 [user@localhost exploit]$ ./exploit1 ----------------------------------- Linux vmsplice Local Root Exploit By qaaz ----------------------------------- [+] addr: 0xc011e150 [-] wtf [user@localhost exploit]$ ./exploit2 ----------------------------------- Linux vmsplice Local Root Exploit By qaaz ----------------------------------- [+] mmap: 0x0 .. 0x1000 [+] page: 0x0 [+] page: 0x20 [+] mmap: 0x4000 .. 0x5000 [+] page: 0x4000 [+] page: 0x4020 [+] mmap: 0x1000 .. 0x2000 [+] page: 0x1000 [+] mmap: 0xb7e56000 .. 0xb7e88000 [+] root [root@localhost exploit]# uname -a Linux localhost 2.6.22.9-desktop-1mdv #1 SMP Thu Sep 27 04:07:04 CEST 2007 i686 Intel(R) Pentium(R) Dual CPU E2160 @ 1.80GHz GNU/Linux [root@localhost exploit]#

На мандриве 2008 работает только второй:

[user@localhost exploit]$ gcc test.c -o exploit1
[user@localhost exploit]$ gcc test2.c -o exploit2
[user@localhost exploit]$ ./exploit1
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
[+] addr: 0xc011e150
[-] wtf
[user@localhost exploit]$ ./exploit2
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7e56000 .. 0xb7e88000
[+] root
[root@localhost exploit]# uname -a
Linux localhost 2.6.22.9-desktop-1mdv #1 SMP Thu Sep 27 04:07:04 CEST 2007 i686 Intel(R) Pentium(R) Dual CPU E2160 @ 1.80GHz GNU/Linux
[root@localhost exploit]#

> Хм, дяди на kernel.org уверены, что баг пофиксили в 2.6.24.1 http://bugzilla.kernel.org/show_bug.cgi?id=9924

http://bugzilla.kernel.org/show_bug.cgi?id=9924#c2

з.ы. Таки PaX решает.

kubuntu 7.10 2.6.22-14-generic - работает

gentoo 2.6.18-gentoo-r4, 2.6.17-gentoo-r7 - даже не собирается

такие вот дела...

temy4> может еще пакетный менеджер специально для вирусов сделаем vpm, что-то вроде такой аббривиатуры, которая будет искать в сорцах .description файл с описанием зависимостей ;)

Будет куча пакетов, где в зависимостях будет прописана венда ;)

> з.ы. Таки PaX решает.

Он решает только _часть_ проблемы

Кстати в LKML уже появился патч для 2.6.24.1