[LUG.ro] Re: Una puerta trasera casi criminal

Ricardo Barberis lugro@lugro.org.ar
Sun, 14 Dec 2003 00:19:33 -0300


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

El Jueves 11 de Diciembre de 2003 16:16, .: Diego D'Angelo :. escribió:
> supuestamente este bug no afectaba a los kernel menores al 2.4.23 ??????

Exactamente, y la prueba son estas líneas:

> > kstor@darkstar:~$ ./a.out
> > [-] Unable to change page protection: Cannot allocate memory
> > [-] Unable to exit, entering neverending loop.
> >
> > [1]+  Stopped                 ./a.out

Lo que a KSTOR le sale aca:

> > kstor@darkstar:~$ ps
> >   PID TTY          TIME CMD
> >   622 pts/1    00:00:00 bash
> >   654 pts/1    00:00:03 a.out
> >   655 pts/1    00:00:00 ps

quizas se hubiera entendido mejor al mostrarlo con un 'ps axu' para que se 
notara que el a.out se sigue ejecutando, pero dormido y con el uid del 
usuario, no de root.
Si el exploit hubiera funcionado, se veria algo asi:

kstor@darkstar:~$ ./a.out
sh-2.05b# id
uid=0(root) gid=0(root)   <------- privilegios root!!!
sh-2.05b# exit
kstor@darkstar:~$

Y ya que estoy, cuando al exploit lo compile con gcc-3.3.1 y binutils-2.14 
no funciono en ninguno de los kernels que probe (2.4.18, 20, 21, 22 y 23), 
dando una salida distinta a la primera y el proceso muere, no queda 
colgado:

richis@lfs-es:~ $ ./a.out
[-] Unable to unmap stack: Invalid argument
richis@lfs-es:~ $

Saludos.
- -- 
Ricardo Barberis
Usuario Linux Nº 250625:           http://counter.li.org
Usuario LFS Nº 5121:               http://www.linuxfromscratch.org
LFS en castellano:                 http://www.lfs-es.org
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (GNU/Linux)

iD8DBQE/29bFnabpmElFaJkRAjAuAJ4z62T122uy7nIYvBNQYK0XmFGIIgCeLLy4
FH3ROh24zrGLALO+PDNgODY=
=7x8O
-----END PGP SIGNATURE-----