[devel] Q: работающий local root exploit

Вс Сен 12 15:56:20 MSD 2004

On Sun, Sep 12, 2004 at 10:13:34PM +1100, Dmitry Lebkov wrote:
>16:44 < dmi> первый ещё работает :-)
>16:46 < dmi> http://www.security.com.vn/details.php?ID=215
>16:46 < dmi> instant root#
>16:46 < dmi> даже на сизифе
>Оно дествительно работает ... :(
Если закомментировать в эксплоите кусок, выделяющий себе всю память,
получаем очень странный шелл:

wrar на wrars-comp ~ $ ./a.out
sh-2.05b# whoami
root
sh-2.05b# ls /boot
ls: /boot: Permission denied
sh-2.05b# id
uid=0(root) gid=0(root)
группы=6(disk),10(wheel),14(uucp),16(rpm),36(hashman),80(cdwriter),81(audio),111(wine),500(wrar),501(wrar_a),502(wrar_b),503(hashuser)

Т.е. обычный юзер wrar, но с uid=gid=0, и даже не состоящий в группе root.

Впрочем, всё понятно:

$ < /tmp/own.c
int getuid() { return 0; }
int geteuid() { return 0; }
int getgid() { return 0; }
int getegid() { return 0; }

В принципе, никакого эксплоита не надо, можно скомпилить прямо этот код и
запустить шелл с LD_PRELOAD точно так же, как в эксплоите. Еще что я не
понял: в char hellc0de[] в конце после нулевого символа стоит /bin/sh, так
оно обрезается при fprintf().

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

Опыт показывает, что это не так - большинство пользователей rpm не читали
Maximum RPM.
		-- ldv in devel@
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20040912/9f627a88/attachment-0001.bin>