W&PBBS - Локальный r00t в FreeBSD 7.1, 7.2, 8.0, 9.0 & later

01-12-2009, 19:42

Ссылка на пост #1

s1lv3r

Почетный дракон

Дракон с душой киллера

Вожак стаи драконов

Летает в радиусе: 123 км Высота полета: 615 м Скорость: 34 м/с Зоркость: 5.02

Сообщений: 1,673

На форуме с: 22.07.03
Провел: 2мес. 1д. 5ч. 44мин.

Локальный r00t в FreeBSD 7.1, 7.2, 8.0, 9.0 & later

Ну вот и дожили...

Предварительная адвизори http://permalink.gmane.org/gmane.os...sd.announce/478
Сообщение об уязвимости http://www.securityfocus.com/bid/37154
Сплойт http://seclists.org/fulldisclosure/2009/Nov/371
Предварительный патч http://people.freebsd.org/~cperciva/rtld.patch

PS Завтра ожидается официальная адвизори + окончательная реализация патча.

PPS

Цитата: >
(18:35:58 </usr/home/silver>) 0 $ id
uid=1001(silver) gid=0(wheel) groups=0(wheel),5(operator),920(vboxusers)
(18:38:15 </tmp>) 0 # sh 1.sh
# id
uid=0(root) gid=0(wheel) groups=0(wheel),5(operator)
# uname -a
FreeBSD FreeBSD.xxx.local 8.0-RELEASE FreeBSD 8.0-RELEASE #4: Mon Nov 23 11:48:14 EET 2009 root@FreeBSD.xxx.local:/usr/obj/usr/src/sys/SILVER i386

Источник http://www.opennet.ru/opennews/art.shtml?num=24466

Редактировалось Smithson
26-06-2013 11:00. Причина: по просьбам трудящихся

Отправить сообщение для s1lv3r с помощью ICQ

01-12-2009, 23:08

Ссылка на пост #2

Dud

W&P Team

Почётный орёл

Летает в радиусе: 124 км Высота полета: 620 м Скорость: 13 м/с Зоркость: 4.97

Сообщений: 4,810

На форуме с: 14.04.02
Провел: 2мес. 3нед. 8ч. 1мин.

Моя протяжно выдыхает -- на всех подотчётных никсах только один человекоюзер.

02-12-2009, 09:57	Ссылка на пост #3
Smithson W&P Team Живой человек Сообщений: 1,948 На форуме с: 11.03.02 Провел: 1нед. 5д. 11ч. 51мин.	Цитата: > s1lv3r пишет: Ну вот и дожили... Ты сам это пробовал? У меня оно как-то не сработало :( Пробовал на 7.0 и 7.1 Цитата: > Dud пишет: один человекоюзер. Ты сам? У меня почти так же.

02-12-2009, 10:51

Ссылка на пост #4

s1lv3r

Почетный дракон

Дракон с душой киллера

Вожак стаи драконов

Летает в радиусе: 123 км Высота полета: 615 м Скорость: 34 м/с Зоркость: 5.02

Сообщений: 1,673

На форуме с: 22.07.03
Провел: 2мес. 1д. 5ч. 44мин.

Цитата: Smithson >
Ты сам это пробовал? У меня оно как-то не сработало :( Пробовал на 7.0 и 7.1

ты глянь повнимательнее мое сообщение, конечно пробовал на 8.0 и даже показал результат.

PS модераторы, подредактируйте плиз топик!
Как выяснилось, ошибка не в rtld, а в lib/libc/stdlib/getenv.c.
После вызова unsetenv("LD_PRELOAD") вызов getenv("LD_PRELOAD") все равно может вернуть true, если среда процесса правильным образом испорчена. Таким образом FreeBSD 6.x не уязвима так как использует еще старую Berkeley реализация getenv.

Редактировалось s1lv3r
02-12-2009 11:00. Причина: давай без имён ;)

02-12-2009, 10:56	Ссылка на пост #5
Smithson W&P Team Живой человек Сообщений: 1,948 На форуме с: 11.03.02 Провел: 1нед. 5д. 11ч. 51мин.	Цитата: > s1lv3r пишет: конечно пробовал на 8.0 и даже показал результат. А, это твой результат. Я думал, это тоже перепечатка Ok, поставлю 8.0, буду смотреть.

02-12-2009, 16:18	Ссылка на пост #6
_Igor_ Исследователь Исследователь Сообщений: 1,073 На форуме с: 28.05.04 Провел: 1мес. 2нед. 2д. 13ч. 2мин.	Пробовал на FreeBSD ххххх 8.0-BETA2 FreeBSD 8.0-BETA2 #0 r196161: Thu Aug 13 13:16:11 MSD 2009 ххххх:/usr/obj/usr/src/sys/21h amd64 компилится, выдает следующее: FreeBSD local r00t zeroday by Kingcope November 2009 env.c: In function 'main': env.c:5: warning: incompatible implicit declaration of built-in function 'malloc' env.c:9: warning: incompatible implicit declaration of built-in function 'strcpy' env.c:11: warning: incompatible implicit declaration of built-in function 'execl' После этого больше ничего не происходит, появляется обычный шелл, рута нету. Интересно, есть ли какие-либо соображения, от чего может зависеть успешность срабатывания данного эксплойта?

02-12-2009, 17:56

Ссылка на пост #7

s1lv3r

Почетный дракон

Дракон с душой киллера

Вожак стаи драконов

Летает в радиусе: 123 км Высота полета: 615 м Скорость: 34 м/с Зоркость: 5.02

Сообщений: 1,673

На форуме с: 22.07.03
Провел: 2мес. 1д. 5ч. 44мин.

_Igor_: а если глянуть в адвизори на секуритифокус?

Цитата: >
FreeBSD FreeBSD 8.0-STABLE
FreeBSD FreeBSD 8.0-RELEASE
FreeBSD FreeBSD 7.2-STABLE
FreeBSD FreeBSD 7.2-RELEASE-p4
FreeBSD FreeBSD 7.2-RELEASE-p1
FreeBSD FreeBSD 7.2-RC2
FreeBSD FreeBSD 7.2-PRERELEASE
FreeBSD FreeBSD 7.1-STABLE
FreeBSD FreeBSD 7.1-RELEASE-p6
FreeBSD FreeBSD 7.1-RELEASE-p5
FreeBSD FreeBSD 7.1-RELEASE-p4
FreeBSD FreeBSD 7.1 -RELEASE-p2
FreeBSD FreeBSD 7.1 -RELEASE-p1
FreeBSD FreeBSD 7.1 -PRE-RELEASE
FreeBSD FreeBSD 7.0-RELEASE-p3
FreeBSD FreeBSD 7.0-RELEASE

02-12-2009, 20:02

Ссылка на пост #8

morava

Исследователь

Почётный орёл

Летает в радиусе: 252 км Высота полета: 1260 м Скорость: 40 м/с Зоркость: 5.01

Сообщений: 1,515

На форуме с: 15.03.08
Провел: 1мес. 1нед. 2д. 11ч. 58мин.

ИМХО самый актуальный ресурс в этом направлении

_http://xorl.wordpress.com/2009/12/01/freebsd-ld_preload-security-bypass/

Довольно полная адвизори, так что если не получается следует ознакомиться.

Да и ещё тут недавно конференция прошла _http://www.frasunek.com/CONFidence-2009.pdf

03-12-2009, 20:38

Ссылка на пост #9

s1lv3r

Почетный дракон

Дракон с душой киллера

Вожак стаи драконов

Летает в радиусе: 123 км Высота полета: 615 м Скорость: 34 м/с Зоркость: 5.02

Сообщений: 1,673

На форуме с: 22.07.03
Провел: 2мес. 1д. 5ч. 44мин.

Теперь официально патчим системы и выдыхаем.

http://security.freebsd.org/advisor...-09:16.rtld.asc

Цитата: > (19:59:32 </usr/home/silver>) 0 $ uname -a
FreeBSD FreeBSD.xxx.local 8.0-RELEASE-p1 FreeBSD 8.0-RELEASE-p1 #5: Thu Dec 3 17:51:07 EET 2009 root@FreeBSD.xxx.local:/usr/obj/usr/src/sys/SILVER i386

PS заодно уж и остальное подлечить не мешает...
http://security.freebsd.org/advisor...A-09:15.ssl.asc
http://security.freebsd.org/advisor...ebsd-update.asc

Редактировалось s1lv3r
04-12-2009 00:20.

24-06-2013, 17:52

Ссылка на пост #10

s1lv3r

Почетный дракон

Дракон с душой киллера

Вожак стаи драконов

Летает в радиусе: 123 км Высота полета: 615 м Скорость: 34 м/с Зоркость: 5.02

Сообщений: 1,673

На форуме с: 22.07.03
Провел: 2мес. 1д. 5ч. 44мин.

Всем привет, а чего это тут так тихо?

Security Advisory http://www.freebsd.org/security/adv...-13:06.mmap.asc
Exploit http://1337day.com/exploit/20911

Код:

tested and working on freebsd 9.1 

(fame@shell) 
(~) id 
uid=1001(fame) gid=1001(fame) groups=1001(fame) 
(fame@shell) 
(~) gcc -Wall ./test.c && ./a.out 
[+] Saved old '/sbin/ping' 
[+] Using mmap-ed area at 0x4b75000 
[+] Attached to 18553 
[+] Copied 6755 bytes of payload to '/sbin/ping' 
[+] Triggering payload 
# id 
uid=0(root) gid=0(wheel) egid=1001(fame) groups=1001(fame) 
# exit 
[+] Restoring '/sbin/ping' 
[+]

PS отредактируйте топик на предмет добавить в наименование FreeBSD 9.0 and later...

24-06-2013, 18:24	Ссылка на пост #11
nimda СуперМодератор МодерСуператор Почетный знак 2011 За участие в акции "70 лет Победы" Сообщений: 13,968 На форуме с: 29.05.02 Провел: 4мес. 3нед. 6д. 1ч. 21мин.	флуд не в тему: s1lv3r: Так ты лазишь непонятно где, вот и тихо...

Опции темы	Поиск в этой теме
Версия для печати Отправить по Email	Поиск в этой теме: Расширенный поиск
Опции просмотра	Оценка этой теме
Линейный вид Комбинированный вид Древовидный вид	Оценка этой теме: