Napisi molim te malo vise o cemu se radi.

Da, bilo bi dobro da Aca malo pojasni o čemu se radi. Koliko sam skontao čitajući komentare koda, paradoksalno upravo uključen SELinux omogućava exploit! :-~ Postoji li neki konačan patch za ovo??

Izgleda da su patch-ovali 2.6.29 ali ne i 2.6.30...



Otvara dummy socket izgleda mi preko koga pomocu personality funkcije mapira odredjenu kolicinu memorije koja je inace zabranjena a u kojoj moze da trpa sta hoce... A ako je SELinux ukljucen onda preko pulse-a mapira memoriju...



E kada to odradi onda verovatno koristi taj njegov mator exploit da dobije root...

Mada nije mi jasno sta mu znaci: "But which, thanks to gcc optimizations, becomes exploitable :)"
Jel to zbog kernel hack-a da gcc 4 uninline-uje funkcije koje su markirane kao inline?

Ispade da je fix izasao...

http://git.kernel.org/?p=linux...6d26d6efde842d1703ac7cfa9427b6

_{[Ovu poruku je menjao combuster dana 18.07.2009. u 13:19 GMT+1]}

http://lwn.net/Articles/341773/

S tim što ja nisam uspio da pokrenem (nije htio da se kompajlira) ovaj exploit.
?

Hm, postoji nekoliko preduslova da bi exploit mogao da se iskoristi.
http://www.h-online.com/securi...kernel-published--/news/113791

Jel ti radi sad?

./exploit.so
UNABLE TO MAP ZERO PAGE!

2.6.31-rc3, na njemu ne radi, odoh da boot-ujem u 2.6.30.1...

_{[Ovu poruku je menjao combuster dana 18.07.2009. u 13:52 GMT+1]}

Radi, ali ne vredi zato što nemam instaliran pulseaudio na mašinama (na jednoj čak ni killall :) ).
Mada, to je beside the point. Rupa definitivno postoji.

Nemoj da pokreces shell skriptu i pwnkernel, pokreni kompajlirani exploit.c on bi trebalo da iskoristi bug ako cak i nema pulseaudio (preko personality funkcije)...


OMG!!!!! 2.6.30.1

./exploit.so
[+] MAPPED ZERO PAGE!
[+] Resolved tun_fops to 0xffffffffa078e100
[+] Resolved nf_unregister_hooks to 0xffffffff80495950
[+] Resolved commit_creds to 0xffffffff8025f460
[+] *0xffffffffa078e158 |= 1
[+] b00m!


Hm, ali tu stane, izgleda da what_we_do ne vraca case 3 (nemam selinux a ni apparmor) tako da expl0it tu stane, pokrenuo sam ga i sa gdb-om ista stvar... Jos se zaglupi pa ne mogu ni da ga ubijem sa kill...

cat /dev/net/tun daje cat: /dev/net/tun: File descriptor in bad state, sreca moja... :D



_{[Ovu poruku je menjao combuster dana 18.07.2009. u 14:41 GMT+1]}

cela prica oko eksploita je interesantna , problem je resen naravno i to vrlo lako

tako sto su zamenjena mesta dvema linijama

fora sa gcc optimizacijama je u sledecem:

na jednom mestu pokazivac je dereferenciran
a zatim se proverava da li je NULL

u normalnim okolnostima , samo dereferenciranje pokazivaca na NULL dovodi do kraha

optimizacija u gcc-u je dovela kompajler na sledeci zakljucak:

pokazivac je dereferenciran => pokazivac nije NULL
=> nepotrebna je provera da li je NULL

tako da u source kodu postoji provera, ali u samom kompajliranom kodu ne jer ju je gcc izbacio jer je zakljucio da je nepotrebna
sto je sasvim u redu

zamenivsi mesta linijama ( prvo provera da li je pokazivac NULL , pa zatim dereferenciranje ) resava problem i bug nestaje

dalje , fazon s eksploitom je sto linux kernel developeri smatraju da su NULL ptr deref bagovi unexploitable
pa ih klasifikuju kao DoS ranjivosti ,a spender se ovim exploitom trudi da ih ubedi u suprotno
u nekim slucajevima su NULL ptr deref bugovi exploitable cak i u userland aplikacijama
(mada to jeste malo redji slucaj)

dalje , covek je uspeo da arbitrarnom OR operacijom dodje do izvrsenja sopstvenog koda , to se ne vidja cesto ! :)

vise o null ptr deref bugovima u linux kernelu procitajte u nasem phearless-u
h4z4rd je pisao o tome pre godinu dana
http://www.phearless.org/i7/null_pointer_analiza.pdf

Bojan Zdrnja je napisao malo objasnjenje ovog eksploita
http://isc.sans.org/diary.html?storyid=6820


(napokon malo interesantnija diskusija na ovom forumu:))

poz
ea

Pa jesi li probao da izvrsis explot, on krene da radi ali kada otvori /dev/net/tun tu zakoci tj pri izvrsavanju boom_goes_the_dynamite funkcije... Da li je moguce da su ispravili vec bug u tun drajveru ali da je ostao bug sa null pointer dereferenciranjem u 2.6.30.1 ?

edit:

Igrao sam se malo, nasao u cemu je bug, pa ko hoce da isproba nek izvoli...

Kod mene na 2.6.30.1 sad javlja:




_{[Ovu poruku je menjao combuster dana 18.07.2009. u 20:30 GMT+1]}

nisam ga testirao , nemam odgovarajuci kernel na ovoj masini
a bas me mrzelo da postavljam vm samo zbog toga ...

moguce je cak da taj bug nije ni otisao u release kernel
pa je tvoj vec patchovan ...
kao sto rekoh , poenta eksploita je da pokaze kernel dev-ovima da su null pointer dereference bugovi eksploitabilni ...

sam eksploit nije narocito koristan , bilo je mnogo mnogo korisnijih u zadnje vreme :)

ovaj je prosto state of the art :) pa sam ga zato i pomenuo ovde

btw , proverite velicinu u bajtovima onog chedat tgz-a , i velicinu u bajtovima neizmenjenog exploit.c
spender je totalni idiot !!! :)))


_{[Ovu poruku je menjao EArthquake dana 19.07.2009. u 10:57 GMT+1]}

On je uspeo da mapira zero page na 2.6.30.1 a da je patch-ovan kernel to nikako nije mogao da uradi, problem je samo sto nije uspeo da dobije root sa ovim:



A na 2.6.31-rc4 nije ni uspeo da mapira zero page zbog onog fix-a koji su commit-ovali pre tek 6 dana...

Inace sama ideja jeste fantasticna i drago mi je da je lik uradio ovako nesto i sto je to objavio, ne bih voleo da dizem server na masini na kojoj je moguce ovako dobiti root privilegije. Mada je verovatnoca mala da bi uspeo da ovako nesto izvrsi na ciljnoj masini...

edit: lol, 12345 eleet :) kakav geek covece :)

NULL inace ne mozes da mapiras tako lako iz userland-a
zato je i koristio pulseaudio , zato sto je suid bin , a dozvoljava ucitavanje dodatnih biblioteka ....

Ah... sa novim kompajlerom mogu se javiti ovakve stvari,
ali ono, svaka cast ovom liku, sta on iskopa...

..a i komentari u kodu su mu zakon, bas me lepo nasmejao :)))

Da, kako reče Aleksandar, to je više "proof of concept"...
BTW, stavih kernel 2.6.30, iskompajlira se ovo sve, a pri pokretanju exploit kaže "UNABLE TO OPEN THE DEVICE"

Jel ti custom kernel ili je dosao uz distribuciju? Ako je custom mozda nisi setovao kao modul "Universal TUN/TAP device driver support"

Uglavnom javlja ti da ne moze da otvori /dev/net/tun... Super cuti, bitno je da ne radi, da radi zabrinuo bih se :)

Meni nece da mapira zero page preko /dev/net/tun, makar ne sa offsetom 0...

Hehe, ubacio sam tun modul sa modprobe i sad works like a charm!

Pa jel ti dobijas root privilegije po izvrsenju?

Naravno.

Svakako, pokrenuo sam exploit kao regularan korisnik...

Uf ala ja sad imam pitanja za tebe :)

Koji si exploit.c kompajlirao, original ili onaj izmenjen?
Jel imas pulse audio instaliran i ako imas jesi li pokretao samo exploit.so ili cheddar_bay.sh skriptu?
Koji je distro u pitanju i koja verzija kernel-a? 2.6.30 ili 2.6.30.1?

Fajl exploit.c je originalni. Imam pulseaudio i selinux (u permissive režimu). Pokrenuo sam exploit direktno. Jezgro je 2.6.30 - već kompajlirano. Distro Ubuntu 9.04.

Ok thnx, zato ti i radi jer imas pulse instaliran :)

Au sunce ti, kakav ownage....

Braco, vracam se ja na staru dobru Alsu, ili jos bolje pc_spkr :)))

Na svu srecu... :

pavlovici@Kompjuter:~$ cd Radna\ površ/
pavlovici@Kompjuter:~/Radna površ$ ls
cheddar_bay.tgz exploit.c
pavlovici@Kompjuter:~/Radna površ$ gcc -o eksploit exploit.c
pavlovici@Kompjuter:~/Radna površ$ ls
cheddar_bay.tgz eksploit exploit.c
pavlovici@Kompjuter:~/Radna površ$ chmod +x exploit
chmod: cannot access `exploit': No such file or directory
pavlovici@Kompjuter:~/Radna površ$ chmod +x eksploit
pavlovici@Kompjuter:~/Radna površ$ sh ./eksploit
./eksploit: 3: Syntax error: "(" unexpected
pavlovici@Kompjuter:~/Radna površ$ ./eksploit
UNABLE TO OPEN THE DEVICE!
pavlovici@Kompjuter:~/Radna površ$

Haha, hakujem mami i tati komp :D :D

Hah, tacno sam znao:







Malko su se uozbiljili cini mi se :)

E pa sad vise ne radi :) :P Mada kod mene nije radio nikad :) No pulse audio, no SELinux, no LSM, no nuthin' Sreca po mene pa sam imao bug u kernel-u koji je sprecavao coveka da uradi to sto je uradio :) A sad su taj bug sa tun-om ispravili ali su sprecili dereferenciranje null ptr-a...

Meni ne radi ni zvucna karta, ali za to su exploiti ionako retki :)

_____________________
Beograd