Изпечатай

[gat3way]

Сега ще видим кой наистина е зъл хахор '>

Значи подготвил съм нова тестова среда (предполагам не всичко е перфектно още, но ще се стараем в движение '> ).

IP address: 78.90.217.9
Username: newuser
Password: hello
Port: 22 (ssh) 80 (web)


Каква е постановката?

Първоначално се логвате като потребител без особени права. Вашият път към лелеяният root-ски акаунт минава през 2 стъпки: първо трябва да се сдобиете с правата на малко по-привилегирован потребител. За целта е необходимо да "счупите" услуга, работеща с тях. Услугата е echo, писана е от мен с много фрапантна buffer overflow грешка. Целта е да напишете експлойт за нея, който да ви spawn-не shell. За да улесня малко процеса ще дам малко насоки:

* Най-важното е първо да разберете каква е големината на буфера, който се препълва. Услугата ще крашне ако буферът се препълни със стринг, по-голям от  buffer_size+4
* По-умният човек ще знае как да се сдобие с binary-то, което ще се счупи. Това е почти единственият начин да се справите. Атаки могат да се правят директно върху същото binary като той или core файла може да се дебъг-ват с gdb и objdump. Другият вариант е да пробвате на сляпо, но силно вярвам че нищо няма да направите
* За задачката са необходими елементарни знания по C, но малко по-задълбочени по отношение на това какво представляват buffer overflows. Добро начало са разни whitepapers на packetstorm, имаше едно много добро четиво, мисля че авторът му се нарича aleph1.
* Експлойтът трябва да препълни буфера, да презапише return адреса така че изпълнението да прескочи на някакъв негов зъл код. Този код се нарича shellcode, предполагам ще ви трябва такъв shellcode, който прави нещо от сорта на execve("/bin/sh",...). Рекламирам отново сайта milw0rm.com , там има готови такива. Важно е да пробвате дали работят на тази платформа, най лесният начин е като го присвоите на променлива, да си дефинирате една функция например така:

int (*funkcia)() = (int(*)())shellcode;

Където funkcia() е функцията, char shellcode[] е шелкода.

извикването на funkcia() съответно или ще крашне поради някаква причина, или ще направи това, което трябва. Ще ви трябва шелкод, който може да прави това, а не да крашва '>

* За да е малко по-интересно, използва се address space randomization. Аз бях писал по въпроса, но има много лесен начин това да се преодолее. Има много хубави статии по въпроса, предполагам гугъл ще ги изплюе ако търсите за defeating address space randomization, [vdso], linux-gate.so и т.н. Накратко търси се място, което съдържа ffe4 (jmp %esp) и адресът му се използва за това, с което се презаписва return адреса.


Ако се справите добре, получавате daemon-ски привилегии.

За да получите оттам нататък root-ски такива, трябва да проявите малко фантазия, да се разровите из файловите системи, да разгледате какво работи, рано или късно ще ви хрумне как да успеете '> Не мисля да казвам нищо.


А, да, пуснал съм един уеб с една проста страница. Когато успеете да хахорнете системата, отбийте се през index-а да се разпишете.


За да не каже някой, че това изглежда невъзможно, далеч не е така. Ето го и доказателството '>

http://imajr.com/Original.aspx?Id=kvm3-1147405

Ако се сетя още нещо, ще пиша '>

[ANTIADMIN]

Като го пуснеш се обади '>

Примерен код

ssh: connect to host 78.90.217.9 port 22: Connection refused

[gat3way]

Малко последни корекции вкарвах, съжалявам '> Вече работи '>

[nov_chovek]

ти си ебаси маниака, честно '> според мен в тоя сайт ще има само около 2-3 човека, който ще могат да се справят с това.

[gat3way]

Целта е един да се справи '> А пък аз ще съм достатъчно търпелив да изчакам надявам се '>

А, дам, експлойтите за тези неща се намират в /root. Ако някой случайно измисли как да ги изчете, може да си ги ползва, макар че ако може да го направи, надали ще му трябват '>

[senser]

Цитат (por4e2 @ Юли 27 2008,21:09)

Като го пуснеш се обади '> Примерен код ssh: connect to host 78.90.217.9 port 22: Connection refused

според мен си работи

[gat3way]

А, да, въпросното binary може да си го свалите и да го мъчите локално при вас ако имате желание, мисля, че така ще е по-лесно, а и другите няма да ви се бъркат '>

[gat3way]

Между другото ето няколко полезни текстове по тоя въпрос:

Що е то стек: http://en.wikipedia.org/wiki/Stack_frame#Structure
Buffer overflow: http://en.wikipedia.org/wiki/Buffer_Overflow
Stack overflow:
http://en.wikipedia.org/wiki/Stack_buffer_overflow


Прословутата статия от aleph1: http://packetstormsecurity.org/docs/hack/smashstack.txt

Как да чупим randomize_va_space:
http://www.milw0rm.com/papers/94

Успех '>

[ANTIADMIN]

Може и на perl да се напише, ма моя shellcode го триха '> Ама и без тва не ставаше. Стигам до 0xffffff0 за буфера и съм дотам, утре ще продължа. Ако и до утре никой не направи нещо е редно да дадеш нов джокер. Ааа аз не разбирам от нищо, затова, който чете темата да не го взима насериозно.
Подозирам, че ениак ми три шелкода '>
Лека нощ!

[eniac111]

Не е вярно! '>

91.196.226.249 //Аз

[gat3way]

Апропо и с една шел команда може и тя е echo, но това надали има голямо значение '>

[zeridon]

Предполагам си си написал документацията как се билдва подобна среда. Поне за мен ще е интересно. Или поне по темата наблюдение на мажещите акаунтинг и други такива.

[gat3way]

Мне, ужасно досадно е да се пишат такива неща '>

Иначе наблюдения имам, поне по отношение на това какво се случваше в първата среда. Най-сериозният проблем беше с форкбомбите, поради което се слага някакъв нормален hard лимит в /etc/security/limits.conf. Забраната на смяна на паролата става много лесно, просто на passwd се отрязва тази възможност от страна на непривилегирован потребител. Това става по най-лесния начин: махам setuid бита на /usr/bin/passwd и дотам със смяната на паролата. Друго, което се случва - някои хора се опитват да си играят с разни популярни локални експлойти - това 2.6.18 ядро е пачнато по отношение на vmsplice проблема и понеже има ограничен набор драйвери, няколко сходни проблеми например в 802.11 драйверите се избягват. Мисля, че съществува възможност за локален DoS срещу това ядро и при такава конфигурация, но не съм сигурен. Има един много сериозен проблем, който поради мързел не съм оправил и благодарение на който някой идиот може да съсипе временно средата, но не мисля да го споделям, а и мога относително бързо да се справя с последствията ако се наложи. Оттам нататък всичко си е спрямо конкретната задача. Гледам да не си обменям ключове между хост операционната система и тази, да не стане някаква авария '> Специално за тази игра си строших доста време, защото в първоначалната конфигурация, с ядро 2.6.25, гадовете-големи-глави са бутнали малко VA кода с което превръщат експлойтването на моята програмка в доста усложнено занимание. Същото се отнася и за inetd, ползвам този му вариант, защото другите бяха ужасно досадни гадове. Гледах да улесня нещата с експлойтването максимално и това мисля е един от най-лесните случаи, поне по отношение на това. Мисля, че човек с малко повече зор няма да му е проблем да се справи. Просто изпълнението няма много общо с разните хахорски занимания да теглиш нещо да го компилираш и да се справиш, изисква малко повече мислене (и вероятно четене). Втората задача е...забавна и изисква малко знания за това как работи тази операционна система '> За нея специално съм сътворил една гигантска дупка в сигурността, но леко замаскирана и може да се експлойтне само ако си минал първото ниво.

[lkr]

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!w���j
                                                                 X�Rh//shh/bin��RS��̀
Segmentation fault

[VladSun]

Вътре съм '> '>