Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   *nix (https://forum.antichat.xyz/forumdisplay.php?f=43)
-   -   Как правильно воспользоваться руткитом? (https://forum.antichat.xyz/showthread.php?t=61929)

M@rtein 16.02.2008 02:03
Как правильно воспользоваться руткитом?
 
Моя цель получит root
Код:
Software: Apache/2.0.52 (Red Hat). PHP/4.3.9
uname -a: Linux ******** 2.6.9-55.0.9.ELsmp #1 SMP Tue Sep 25 02:16:15 EDT 2007 x86_64
uid=48(apache) gid=48(apache) groups=48(apache)
Safe-mode: OFF (not secure)
Опишу все что делал - подробно:
В качестве Руткита выбрал IntoXonia-NG rootkit v.0.2 by _4epen & ShadOS.
После команды:
Код:
tar xzvf itx-ng-0.2-rc1.tar
получил:
Код:
intoxonia/
 intoxonia/Makefile
 intoxonia/hfiles.c
 intoxonia/tricks.c
 intoxonia/nethide.c
 intoxonia/tricks.h
 intoxonia/funces.c
 intoxonia/ixinit.c
 intoxonia/funces.h
 intoxonia/README
 intoxonia/scalls.h
 intoxonia/policy.h
 intoxonia/policy.c 
 intoxonia/select.c
 intoxonia/tofile.c
 intoxonia/checks.c
 intoxonia/execve.c
 intoxonia/checks.h
 intoxonia/README-RU-UTF8
 intoxonia/proces.c
 intoxonia/AUTHORS
 intoxonia/tofile.h
 intoxonia/select.h
 intoxonia/netwrk.c
 intoxonia/netwrk.h
 intoxonia/option.h
 intoxonia/ChangeLog
 intoxonia/COPYING
 intoxonia/TODO
Файл option.h редактировать не стал и оставил все по умолчанию.
Далее командой:
Код:
make
Получаю:
Код:
make -C /lib/modules/2.6.9-55.0.9.ELsmp/build SUBDIRS=/home/httpd/html/afam/gallery/tmp/intoxonia
  make[1]: Entering directory `/usr/src/kernels/2.6.9-55.0.9.EL-smp-x86_64'
    LD      /home/httpd/html/afam/gallery/tmp/intoxonia/built-in.o
    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/checks.o
    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/funces.o
    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/execve.o
    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/hfiles.o
    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/netwrk.o
    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/policy.o
    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/proces.o
    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/select.o
    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/tofile.o
    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/tricks.o
    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/nethide.o
    CC [M]  /home/httpd/html/afam/gallery/tmp/intoxonia/ixinit.o
  make[1]: Leaving directory `/usr/src/kernels/2.6.9-55.0.9.EL-smp-x86_64'
Код:
make load
Результат:
Код:
insmod itx.ko
Далее выполняю команду:
Код:
/control auth itx
и ничего :confused: Подскажите что не так делал, и что нужно сделать...
Это мой первый опыт, так что по возможности обьясните доходчиво.

ShAnKaR 16.02.2008 05:18
а для чего тебе нужен руткит?

Piflit 16.02.2008 05:38
может он перепутал руткит со сплойтом, дающем права рута?

MacTep 16.02.2008 14:01
Судя по цели, именно перепутал. А потому смотрим:
Что такое руткит:
_http://ru.wikipedia.org/wiki/Rootkit
_http://www.computerbild.ru/?did=16_919

Для поднятия прав до root в 2.6.9 используем:
_http://www.live.dsip.net/index.php?showtopic=1472

PS Вообще, всвязи с выходом сего (_http://www.milw0rm.com/exploits/5092) о том, что подняться до root`а нужно сплойтом (а не руткитом) не знает только запершийся в четырех стенах. Куда не плюнь - всюду его обсуждают..

ShadOS 16.02.2008 14:28
Всё зависит от того, что ты хотел получить. Инструмент есть, голова есть (?) - осталось понять как им воспользоваться. Вспоминаем басню про мартышку и очки. Улыбнуло. Удивительно как он вообще insmod смог сделать =))))

M@rtein 16.02.2008 15:49
Блин я же сказал что это мой первый опыт...
Цитирую файл README-RU:
Код:
11. Функции немедленного действия
---------------------------------

К этой категории относятся команды получения прав рута, смена UID и GID процесса и
секьюрное удаление файлов. Чтобы получить права суперпользователя, введи:

 # /control rootme
 
Результатом выполнения этой команды будет запуск /bin/sh с правами рута.
Чтобы принудительно сменить UID и GID процесса с идентификатором pid, есть две команды:

 # /control setuid pid uid
 # /control setgid pid uid
 
Защищенное удаление файла достигается следующей командой:

 # /control erase /file
 
Все эти функции также не будут работать без авторизации :)
Здесь четко написано что можно получить права суперпользователя, но что-то не получаеться...
To MacTep Спасибо за ответ, а что это - http://www.milw0rm.com/exploits/5092 подойдет для моей версии?

Macro 16.02.2008 16:01
Это после установки руткита, секретные команды для хакера, его установившего, которые позволяют ему быстро повысить привелегии...

MacTep 16.02.2008 16:03
Это сплойт для поднятия прав до рута для linux kernel с версии 2.6.17 до версии 2.6.24. Патч уже опубликован, но мало кто его использовал.

Для твоего случая это не подойдет. Ядро атакуемой тобой системы 2.6.9.

M@rtein 16.02.2008 16:26
Всем спасибо, из всей дискуссии я понял что мне просто нужен сплоит на 2.6.9
Кроме этого http://www.live.dsip.net/index.php?showtopic=1472 еще что то есть?

M@rtein 17.02.2008 22:00
Раскажите пожалуйста как правильно воспользоваться данным http://www.live.dsip.net/index.php?showtopic=1472 сплоитом, как скомпилировать его на серваке...


Время: 23:25
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице