Debian Etch 4r2 Ядро 2.6.18-5-k7 Собирается, запускается но не отрабатывает. Так и остаюсь пользователем.

кстати, как выяснилось, через некоторое время после сплойта возможно падение отдельных процессов, в.т.ч ядерных, с Oops'ами и последующим зависанием :)

> Обьясните плз общую концепцию(или дайте линки на описалово),как собственно происходит "заражение/выполнение вредососного кода" при серфинге, я в этом ни бум-бум.

Дыры в браузере (исполнение левых javascript, краши при загрузке специально созданных картинок), на левых сайтах могут подсунуть вирусняк/троян под видом кряка или вареза. Ну а дальше из под пользователя получить рута это уже дело техники, хотя не всегда это требуется. Большинство вирусов "безобидны" и всего лишь начинают либо рассылать спам либо показывать тебе порно баннеры либо делать что-то подобное, а для этого рута не надо :)

Понятно. Короче, надо искать дистрибутив с grsecurity|PaX патчами... Плохо. Я к федорке привык.

Интересно, а на редхатовское ядвро эти патчи накладываются?

А Йенсу надо оторвать яйца На лкмл 3 вариации решения, могли бы и бампнут, не дожидаясь пока некто Йенс родит новую байду.

From: Jens Axboe [email blocked] Date: Thu, 20 Apr 2006 16:50:42 +0200

> On Wed, Apr 19 2006, Linus Torvalds wrote: > > - vmsplice() system call to basically do a "write to the buffer", but [blablabla] Do we plan to do vmsplice() to sockets?

только туда его не подпускайте!

А grsecurity, похоже, умер. Последняя новость датирована июнем прошлого года.

он не умер, а стабилизировался.

на этой странице есть патчи для последних ядер.

http://grsecurity.net/test.php

и тебе нужен PaX а не grsec. PaX вроде совместим с Selinux.

$ uname -a

Darwin hostname.local 9.1.0 Darwin Kernel Version 9.1.0: Sat Nov 17 02:56:34 SCT 2007; made by ToH:xnu-1228.0.2~1/BUILD/obj/RELEASE_I386 i386

Мне надо обновляться?

> $ uname -a
> Darwin hostname.local 9.1.0 Darwin Kernel Version 9.1.0: Sat Nov 17 02:56:34 SCT 2007; made by ToH:xnu-1228.0.2~1/BUILD/obj/RELEASE_I386 i386

в freeBSD и, думается, в макохе тоже есть игрущки, навроде вмсплайс, так что вам тоже самое время идти мейл-листы читать)

>Логика программы не в области данных хранится, так что дебильную радость стоит поумерить.

Малыш, если бы ты пожил с моё и посмотрел на баги которые бывают (я на bagtraqe с 97 года подписан и на всякое уже насмотрелся) то не фонтанировал бы таким оптимизмом ;)

>Если ты уже выполняешься с привелегиями ядра, то да, а если нет, то нет.

Ты код эксплойта видел вообще ? Или просто скрипткидди ?

>А Йенсу надо оторвать яйца На лкмл 3 вариации решения, могли бы и бампнут, не дожидаясь пока некто Йенс родит новую байду.

Вот и возьмись коль такой Ъ спец ;)

C:\ver

Windows 98 [Версия 4.10.1998]

а мне ?

>про ptrace не ко мне

Не застал ? ;)

>Windows 98 [Версия 4.10.1998] >а мне ?

dir con ? ;))

> Вот и возьмись коль такой Ъ спец

да был бы спец, сидел бы я тут.. ))

>да был бы спец, сидел бы я тут.. ))

Расслабься ;)


From: Bastian Blank <bastian@waldi.eu.org>

The commit 8811930dc74a503415b35c4a79d14fb0b408a361 ("splice: missing user
pointer access verification") added access_ok() to copy_from_user_mmap_sem()
which only ensures we can copy the struct iovecs from userspace to the kernel
but we also must check whether we can access the actual memory region pointed
to by the struct iovec to close the local root exploit.

Cc: <stable@kernel.org>
Cc: Jens Axboe <jens.axboe@oracle.com>
Cc: Andrew Morton <akpm@linux-foundation.org>
Signed-off-by: Pekka Enberg <penberg@cs.helsinki.fi>
---
Bastian, can I have your Signed-off-by for this, please? Oliver, Niki, can 
you please confirm this closes the hole?

 fs/splice.c |    3 +++
 1 file changed, 3 insertions(+)

Index: linux-2.6/fs/splice.c
===================================================================
--- linux-2.6.orig/fs/splice.c
+++ linux-2.6/fs/splice.c
@@ -1237,6 +1237,9 @@ static int get_iovec_page_array(const st
                if (unlikely(!base))
                        break;
 
+               if (unlikely(!access_ok(VERIFY_READ, base, len)))
+                       break;
+
                /*
                 * Get this base offset and number of pages, then map
                 * in the user pages.

PS: 3 сотни постов из за 2-х срочек кода ;)

>кстати, как выяснилось, через некоторое время после сплойта возможно падение отдельных процессов, в.т.ч ядерных, с Oops'ами и последующим зависанием :)

Легче от этого не становится %)

> в freeBSD и, думается, в макохе тоже есть игрущки, навроде вмсплайс, так что вам тоже самое время идти мейл-листы читать)

Darwin-dev@ молчит.

> Малыш, если бы ты пожил с моё и посмотрел на баги которые бывают (я на bagtraqe с 97 года подписан и на всякое уже насмотрелся) то не фонтанировал бы таким оптимизмом ;)

Дедуля, если бы я фонтанировал оптимизмом, то я бы ставил смайлы после каждого предложения наполненого маразмом (в вашем случае вероятно старческим).

> Ты код эксплойта видел вообще ? Или просто скрипткидди ?

Видел. Тебя это смущает?

> а мне ?

А тебя вобще можно пингом убить, что благодаря башу (в кои то веки польза от него) теперь может сделать каждый идиот.

> Не застал ? ;)

Не интересовался.

> Расслабься ;)

да, тяну по rss
поди тут расслабься, то птрейс, то рапторы, то рейс в /proc тоже с нескольких заходов исправляли
вон, милворм, уже присел, счас бразильские тины глаза протрут и понесется

> PS: 3 сотни постов из за 2-х срочек кода ;)

это то что пошло в 2.6.24.1, оно не работает.

> это то что пошло в 2.6.24.1, оно не работает.

Это "сегодня 17:47:57" и оно работает.

в 2.6.24.1 был патч Йенса для vmsplice_to_user

это уже после
http://lkml.org/lkml/2008/2/10/153

>Видел. Тебя это смущает?

Меня уже ничего не смущает и не удивляет.

PS: Беги срочно патчиться ;)

Линукс дырявый, клерики охуели, все я уста л, я ухожу...

... из этой мерзкой противной жизни. прощай ЛОР, и успехов вам в борьбе со ЗЛОМ, а я не могу, прощайте!

Вы победите, я верю в вас!

вдоль?

Классный метод проверки своих прав в системе. ;)

ivan@localhost ~/temp/linux_exploit $ ./linux_local_root_2
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7e20000 .. 0xb7e52000
[-] vmsplice: Bad address

2.6.24.1 + патч http://lkml.org/lkml/2008/2/10/153

Багу можно считать закрытой =).

в ArchLinux [testing] ядро уже обновилось с этим патчем. неплохо.

а, и уже в [core] попало. вдвойне неплохо, и так 2.6.24 в тестинге долго висело :)

пропатчил. теперь эксплоит не работает.
создать нормальный файл заплатки не получилось или у меня руки кривые.
пропатчил vim'ом. открыл файл fs/splice.c и добавил 3 строчки.

Linux compaq 2.6.23-gentoo-r6-burzum-laptop-4 #4 SMP Wed Jan 30 05:03:05 NOVT 2008 i686 Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz GenuineIntel GNU/Linux

Пашет :(

вот моя версия файла патча:
---patchfile
1244a1245,1247
> if (unlikely(!access_ok(VERIFY_READ, base, len)))
> break;
>
---
cd linux-2.6.24.1
patch fs/splice.c < patchfile

Не работает ;(

Наверное, у меня руки всё-таки кривые.

>2.6.24.1 + патч http://lkml.org/lkml/2008/2/10/153

>Багу можно считать закрытой =).

Подтверждаю, опробовано успешно

> прозреваю ребут linux.org.ru

Предвижу ребут тысяч серверов...

> Встраивать троян в эксплоит? Да вы, мсье, знаете толк в извращениях ;)

Нормальные люди встраивают троян в троян. Сервер в клиентскую часть.

panel@users:~$ ./a.out
-----------------------------------
 Linux vmsplice Local Root Exploit
 By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7d88000 .. 0xb7dba000
Segmentation fault

в openvz vps не работает. Спасибо ребятам.

>Segmentation fault
Вот это^^^^^^^^означает что _работает_.

Не работает это:

----------------------------------
 Linux vmsplice Local Root Exploit
 By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7da4000 .. 0xb7dd6000
[-] vmsplice: Bad address
^^^^^^^^^^^^^^^^

на Linux host 2.6.19-hardened-r6 #3
5093 вообще не сработал, ругнулся на [-] /proc/kallsyms: No such file or directory
5092 шелла не отдал, но выдал в логи вот такую херь:
############################################################
Feb 11 11:41:50 host BUG: unable to handle kernel NULL pointer dereference at virtual address 0000002c
Feb 11 11:41:50 host printing eip:
Feb 11 11:41:50 host c0433778
Feb 11 11:41:50 host *pgd = 0
Feb 11 11:41:50 host *pmd = 0
Feb 11 11:41:50 host Oops: 0002 [#1]
Feb 11 11:41:50 host PREEMPT SMP
Feb 11 11:41:50 host Modules linked in: iptable_mangle ipt_owner xt_state xt_multiport iptable_filter
Feb 11 11:41:50 host CPU: 0
Feb 11 11:41:50 host EIP: 0060:[<c0433778>] Not tainted VLI
Feb 11 11:41:50 host EFLAGS: 00210246 (2.6.19-hardened-r6 #3)
Feb 11 11:41:50 host eax: 00000000 ebx: 0000002c ecx: dee007e0 edx: c80a4000
Feb 11 11:41:50 host esi: 0000002c edi: c5cf8ec0 ebp: dee00f94 esp: c80a5dfc
Feb 11 11:41:50 host ds: 0068 es: 0068 ss: 0068
Feb 11 11:41:50 host Process sshd (pid: 28240, ti=c80a4000 task=d8233030 task.ti=c80a4000)
Feb 11 11:41:50 host Stack: 00000000 c0196ed3 dee00bcc dee007ac c019a6ca d04444ec dee00f94 ac095000
Feb 11 11:41:50 host 00000000 c01934e3 dee00f94 15105000 151b8000 00000000 ac095000 c80a5e64
Feb 11 11:41:50 host dab09ddc dc945300 c80a5fb4 c0199071 c80a5e64 dab09ddc 00000000 00000000
Feb 11 11:41:50 host Call Trace:
Feb 11 11:41:50 host [<c0196ed3>] <0> [<c019a6ca>] <0> [<c01934e3>] <0> [<c0199071>] <0> [<c01579bd>] <0> [<c015d458>] <0>
[<c015d864>] <0> [
<c016798b>] <0> [<c013df2f>] <0> [<c02d8a18>] <0> [<c0168d55>] <0> [<c0150f2f>] <0> [<c0150ca3>] <0> [<c013e059>] <0> [<c013e26e>]
<0> ======
=================
Feb 11 11:41:50 host Code: ff 83 68 14 01 8b 40 08 a8 08 75 05 31 c9 89 c8 c3 e8 e4 ea ff ff 31 c9 eb f4 53 89 c3 89 e2 81 e2 00 e0
ff ff 83
42 14 01 31 c0 <86> 03 84 c0 7e 09 c7 43 04 00 00 00 00 5b c3 83 6a 14 01 8b 42
Feb 11 11:41:50 host EIP: [<c0433778>] SS:ESP 0068:c80a5dfc
Feb 11 11:41:50 host <1>Fixing recursive fault but reboot is needed!
Feb 11 11:41:50 host BUG: scheduling while atomic: sshd/0x00000002/28240
##########################################################
после чего половина процессов стала валиться с segmentation fault
потребовался ребут

и я в очередной раз порадовался отобранным правам на запуск гцц и noexec на /home /tmp и /var/tmp ...

Так и было. При тесет уронил домашний сервак с работы, мля.

уф, panic=30 рулит.

$ gcc diane_lane_fucked_hard.c -o diane_lane_fucked_hard
diane_lane_fucked_hard.c:147:28: warning: no newline at end of file
$ ./diane_lane_fucked_hard
-----------------------------------
 Linux vmsplice Local Root Exploit
 By qaaz
-----------------------------------
[-] /proc/kallsyms: No such file or directory
$ gcc jessica_biel_naked_in_my_bed.c -o jessica_biel_naked_in_my_bed 
jessica_biel_naked_in_my_bed.c:289:28: warning: no newline at end of file
$ ./jessica_biel_naked_in_my_bed
-----------------------------------
 Linux vmsplice Local Root Exploit
 By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0x40162000 .. 0x40194000
[-] vmsplice: Function not implemented
$ uname -a
Linux pcoku48 2.4.36 #1 Fri Jan 11 13:39:23 MSK 2008 i686 unknown

на то оно и 2.4.xx
и дёрнул же меня чёрт с него уйти полтора года назад (

патчи наложены - но не по безопасности, а по писанию-чтению iso9660,udf,DVD

openSUSE 10.3 kernel 2.6.22.5-31-default

-----------------------------------

Linux vmsplice Local Root Exploit

By qaaz

-----------------------------------

[+] addr: 0xc0118f6e

[-] wtf

неработет.

>При тесет уронил домашний сервак с работы, мля.

Хорошо что не наоборот ;)