返回列表 发帖

Linux 再爆 root 帐号提权漏洞

新闻来源:开源中国
系统安全高手 Dan Rosenberg 发布了一段 C 程序, 这段200多行的程序利用了 Linux Econet 协议的3个安全漏洞,可以导致本地帐号对系统进行拒绝服务或特权提升,也就是说一个普通用户可以通过运行这段程序后轻松获得 root shell,以下在 update 过的 Ubuntu 10.04 Server LTS 上测试通过:
$ sudo apt-get update
$ sudo apt-get upgrade
$ uname -r
2.6.32-21-server
$ gcc full-nelson.c -o full-nelson
$ ./full-nelson
[*] Resolving kernel addresses...
[+] Resolved econet_ioctl to 0xffffffffa0131510
[+] Resolved econet_ops to 0xffffffffa0131600
[+] Resolved commit_creds to 0xffffffff8108b820
[+] Resolved prepare_kernel_cred to 0xffffffff8108bc00
[*] Calculating target...
[*] Failed to set Econet address.
[*] Triggering payload...
[*] Got root!
#
由于 RHEL/CentOS 默认不支持 Econet 协议,所以测试没有通过:
# yum update
$ uname -r
2.6.18-194.26.1.el5
$ gcc full-nelson.c -o full-nelson
$ ./full-nelson
[*] Failed to open file descriptors.
如果在企业环境用 Ubuntu 的话可能会比较杯具了,几百个帐号里总可以找到一两个帐号被内部或外部人员通过上面这段程序拿到 root,这对服务器的危害是毁灭性的。前天还在说 Ubuntu 在内核方面无作为, 现在想起来还有点后怕。VPSee 提醒正在使用多个普通帐号登录 Ubuntu VPS 的朋友及时升级或打内核补丁,出售 VPN/SSH 帐号、提供免费 SSH 的商家尤其要小心 “客户” 捣乱,使用其他 Linux 发行版的朋友也最好检查一下自己的 VPS 有没有这些高危漏洞。

 

您可能还想看的主题:

Linux全自动提权脚本(Linux Auto Root)

Linux各版本root密码的本地破解方法

Linux本地破解系统密码

LINUX 2.6.18-238 local root exp

华为HG8245后门,远程访问

思路值得参考的一次Hackademic之Root this box

Linux Kernel 3.3.x <= 3.3.4 Buffer overflow in HFS plus filesystem

LINUX LOCAL 溢出漏洞整理专贴(禁止回复)

Linux Kernel 'perf'工具本地特权提升漏洞

Linux系统安全配置个人简要经验谈

非安全中国网免责声明 1、本帖所有言论和图片纯属发表者个人意见,与本站立场无关;
2、本话题由:小一发表,本帖发表者小一符合《关于版权及免责声明》6大管理制度规定,享有相关权利;
3、其他单位或个人使用、转载或引用本帖时必须征得发表者小一和本站的同意;
4、本帖作品部分转载自其它媒体并在本站发布,转载的目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责;
5、本帖如有侵犯到贵站或个人版权问题,请立即告知本站,本站将及时予与删除,并致以最深的歉意;
6、本站管理员和版主有权不事先通知发帖者而删除本文。

Google 黑客-菜鸟新的大餐
作者:冰的原点出处:Lenk技术联盟
说明下:原准备用来投稿的,这几天一直在想到底用不用作投稿!受到老大LENK的影响,最终还是放出来了!以下就是文章正文!
最近从土豆大叔那里邮了一本精通脚本*回来,这里向大家推荐一下,真的不错!现在我只看到了关于GOOGLE **的那部分,虽然书中已经对一些关键字进行了总结,可是如书中所说一样"我们要学会举一反三,学会自己去构造关键字",呵呵,于是抱着试一试的态度,小有收获,不敢独享,发出来和大家一起讨论!如有不对,还请大家指正!
一:我对大型门户站点的偷窥。不要以为一些大型门户站点的安全做的如何如何的好!还是那句话,只有想不到的,没有做不到的。呵呵,不说废话了。书中曾云好提供的关键字是:to parentdirectory parent directory last modified Description 转到父目录 index of / <DIR>等,因为有些站点设置不严格的缘故,我们可以用这些关键字可以浏览到服务器上的一些敏感文件.比如我们用inurl:to parent directory搜索时,如图1.效果还是不错的,并且用其它几个的效果还不错!可是我发现,这些搜索的东西没有直接暴出那些敏感信息。我们得变换一下才可以,于是,我试着在这几个关键字的两边加上双引号,如inurl:"to parent directory",依然没有达到效果,我们变换关键字,不管我怎么变换还是不行,都没有达到我想要的结果。于是我尝试着在语法上作文章,把inurl改成intext试试,我们看下效果,搜索intext:"to parent directory"大家看,效果出来了,直接在GOOGLE就可以看到敏感的目录信息,而通过继续测试发现,有些遍例目录漏洞并不含有to parent directory这样的关键字,可是却包含index of /,于是用intext:"index of /"搜索,如图3.结果让我大吃一惊,不仅结果更加精确,而且数量比用to parent directory作关键字多的多啊!好了,让菜鸟心动的时刻来了,就在第一页你就会发现好多大型门户的站点在里面哦!如图4.看到了吧,卡巴的下载网站,我到里面看了下,里面有一些版本的资料以及一些敏感信息!我就不贴出来了!我们再看看这个,如图5.汗,里面竟然有firefox和mozilla,我查了下,这个是美国犹他大学的服务器,不过里面的资料真是不少,里面有firefox和mozilla的各种版本,反正就是东西多的很啊!当时我眼睛都看花了。我也不继续说了,大家看下我列的如下几个站点,都有同样的问题:http://www.kernel.orghttp://xml.apache.orghttp://cdimage.ubuntu.com/http://docs.freebsd.org/呵呵,我也不列了,大家自己动手去搜索!如果你有耐心的话,肯定或多或少都有些收获的!真是小漏洞,大问题呀!再配合google这样的引擎,我们真是可以发现好多不为人知的秘密哦!二:再谈暴库漏洞.以前看黑手,老是看到一些人分析程序时说哪个程序有暴库的漏洞,可我一次也没有碰到过,真是很遗憾。不过书中介绍的关键字:/inc+conn.asp conn.asp以及/inc/conn.asp的效果并不是太明显,只有第三个关键字的效果稍微强一点,如图6.于是我们得构造,这里我想起了上面第一个问题时用到的双引号,于是用GOOGLE搜索inurl:"conn.asp",呵呵,效果真是不错,如图7.大家看到了吧,第一个就是啊,打开看看,如图8.直接把数据库的物理路径暴出来了!传说中的暴库漏洞我终于得以见闻啦!三:直接搜索出关键文件. 看了上面的暴库漏洞是不是觉得还是有点麻烦呢?不要紧,GOOGLE强大着呢。我们构造关键字filetype:mdb,看下效果,如图9.恩,光这个关键字似乎并不够,因为有些时候找到的数据库并不是我们想到的,继续想,一些重要的数据都是在data目录下的,那们我们搜索这个目录下的mdb文件应该更接近我们的目的.那我们构造如下语句:inurl:../data filetype:mdb,似乎没有刚才的语句强大。不要紧,我们继续想,如果要得到webshell,要是我们能直接上传就好了,我们试试这样:inurl:../upfile.asp,看下效果,如图10,我们还可以提交其它的关键字,如inurl:../upload.asp inurl:../up.asp等一些其它上传文件名。然后再用明小子提交,不过这种成功的概率好象不大。不过,不要紧,大家还记得ewebeditor和fckedtior这两款在线编辑系统吧,都有漏洞的哦!如果没记错的话,我记得yongyule写过一篇ewebedtior有专题,他用的关键字../uploadfile,不过,今天在思索时,发现了一个更好用的关键字,那就是:inurl:"ewebeditor.asp?id=",看下效果,如图11,定位的还不错。我们再说说fckeditor,关于这个编辑器的漏洞和如何通过这个漏洞我就不说了,不在本文的讨论范围。通过观察和构造,俺终于发现了如下关键字:inurl:"../fckeditor" inurl:../browser,如图12.从图中的查询结果来看,似乎用这个的比ewebeditor多啊.不用我说了,接下来你们自己动手吧。四:直接拿别人的SHELL.前面提到的方法还是要一些耐心和运气,不过这招可比前面的容易多了呀(似乎运气也不能少啊!)我用书中的方法搜索的效果也不太满足我要求,比如用inurl:diy.asp 的效果就不太好,如图13.经过不断的变化语法和关键字以及更多的思考,我们用这个来搜索下intitle:旁注-网站小助手.如图14.虽然数量少了,可是定位精确度高了啊!找到了小马,接下来你们自己干去!不过,我又想,市面上的小马那么多,我们能不能在搜索下其它的马呢?于是,我大胆猜想海洋一句话用的人应该多一些(原因大家都清楚吧!),于是我努力构造,从intext:海阳顶端网ASP*@2006到intext:"WWW.HAIYANGTOP.NET,WWW.HIDIDI.NET",效果都不太理想,最后终于找到了如下关键字:intitle:管理登录 - 海阳顶端网ASP*2006 - By Marcos &amp; LCX,看下效果,如图15.有人说,一句话都是有密码的,得到个登陆页面有什么用呢?呵呵,猜啦!这就是我前面提到的运气问题咯。我就用123456这样的密码拿过别人的SHELL。
总结:通过这篇文章来说,最重要就是思想的转化。我们还可以通过关键字的交插搜索,这样结果更接近我们的目的!最后要感谢下lenk老大对我的支持,呵呵,那本精通脚本*真的不错咯,如有不对的地方,请到www.slenk.net和我交流。:
Google Hack V2.0.rar


















公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

返回列表