Повышение прав [задай вопрос - получи ответ]

Discussion in 'Уязвимости' started by Expl0ited, 1 Oct 2011.

  1. ShpillyWilly

    ShpillyWilly New Member

    Joined:
    27 Sep 2012
    Messages:
    71
    Likes Received:
    3
    Reputations:
    0
    в первом сообщении топика ссыль) https://forum.antichat.ru/threads/manual-novichkam-rutane.151993/
     
  2. Dr_Wile

    Dr_Wile Member

    Joined:
    19 Oct 2016
    Messages:
    121
    Likes Received:
    54
    Reputations:
    2
  3. dmax0fw

    dmax0fw Level 8

    Joined:
    31 Dec 2017
    Messages:
    107
    Likes Received:
    131
    Reputations:
    46
    вся суть статьи в том, как скачать сплоит и запустить
    статья ориентирована на новичков,но никакого понимания сути повышения привилегий она не даёт
    вот если бы он описал детально работу сплоита - тогда было бы понимание сути, а иначе пользы в ней минимум
    а в конце вообще до смешного доходит - у него есть рутовый доступ к машине, а он предлагает php бекдоры пихать для закрепления
    почитай вот эту статью лучше
    https://xakep.ru/2015/02/24/hack-admin-rules-linux/
    особенно обращая внимание на вторую часть, где обсуждаются ошибки конфигурации
     
    fandor9 likes this.
  4. vasyaz

    vasyaz New Member

    Joined:
    29 Oct 2012
    Messages:
    13
    Likes Received:
    1
    Reputations:
    0
    Подскажите сплоит для поднятия прав.
    <code>
    $ uname -a
    Linux ga***4126.host****.com 3.10.0-693.11.6.1.ELK.el6.x86_64 #1 SMP Tue Jan 23 10:30:30 MST 2018 x86_64 x86_64 x86_64 GNU/Linux

    $ mount
    /dev/sda2 on / type ext4 (rw,usrjquota=quota.user,jqfmt=vfsv0)
    proc on /proc type proc (rw)
    sysfs on /sys type sysfs (rw)
    devpts on /dev/pts type devpts (rw,gid=5,mode=620)
    tmpfs on /dev/shm type tmpfs (rw,noexec,nosuid,nodev,noatime,mode=711,size=500M)
    /dev/sda3 on /tmp type ext4 (rw,noexec,nosuid,nodev,noatime)
    /dev/sda1 on /usr type ext4 (rw,nodev,usrjquota=quota.user,jqfmt=vfsv0)
    /dev/sda6 on /var type ext4 (rw,nosuid,nodev,noatime,nodiratime,usrjquota=quota.user,jqfmt=vfsv0)
    /dev/sdb1 on /home1 type ext4 (rw,nosuid,nodev,noatime,usrjquota=quota.user,jqfmt=vfsv0)
    /dev/sdc1 on /home2 type ext4 (rw,nosuid,nodev,noatime,usrjquota=quota.user,jqfmt=vfsv0)
    /dev/sdd1 on /home3 type ext4 (rw,nosuid,nodev,noatime,usrjquota=quota.user,jqfmt=vfsv0)
    /dev/sde1 on /home4 type ext4 (rw,nosuid,nodev,noatime,usrjquota=quota.user,jqfmt=vfsv0)
    tmpfs on /ramdisk type tmpfs (rw,nosuid,nodev,noatime,size=4096m)
    none on /var/spool/exim type tmpfs (rw,noexec,nosuid,nodev,noatime,uid=47,gid=12,mode=750)
    tmpfs on /var/mysqltmp type tmpfs (rw,noexec,nosuid,nodev,noatime,mode=700,uid=498,gid=498,size=4096m)
    none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw)
    /tmp on /var/tmp type none (rw,noexec,nosuid,bind)
    /ramdisk/home on /home type none (ro,nosuid,nodev,bind,noatime,nodiratime)
    none on /sys/fs/cgroup type cgroup (rw,hugetlb,blkio,freezer,devices,memory,cpuacct,cpu,cpuset,clone_children)
    /dev/mapper/vg_dr-lv_backups_root on /eig_backup type ext4 (rw,noexec,nosuid,nodev,_netdev,noatime,noquota,discard)
    /dev/mapper/vg_dr-lv_backups_home1 on /eig_backup/****3176.host****.com/backup1 type ext4 (rw,noexec,nosuid,nodev,_netdev,noatime,noquota,discard)
    /dev/mapper/vg_dr-lv_backups_home2 on /eig_backup/****3176.host****.com/backup2 type ext4 (rw,noexec,nosuid,nodev,_netdev,noatime,noquota,discard)
    /dev/mapper/vg_dr-lv_backups_home3 on /eig_backup/****3176.host****.com/backup3 type ext4 (rw,noexec,nosuid,nodev,_netdev,noatime,noquota,discard)
    /dev/mapper/vg_dr-lv_backups_home4 on /eig_backup/****3176.host****.com/backup4 type ext4 (rw,noexec,nosuid,nodev,_netdev,noatime,noquota,discard)

    $ df -h
    Filesystem Size Used Avail Use% Mounted on
    /dev/sda2 15G 12G 1.9G 87% /
    tmpfs 500M 40K 500M 1% /dev/shm
    /dev/sda3 9.5G 562M 8.5G 7% /tmp
    /dev/sda1 39G 33G 3.6G 91% /usr
    /dev/sda6 152G 134G 16G 90% /var
    /dev/sdb1 1.8T 1.7T 158G 92% /home1
    /dev/sdc1 1.8T 1.7T 101G 95% /home2
    /dev/sdd1 1.8T 1.7T 97G 95% /home3
    /dev/sde1 1.8T 1.7T 109G 95% /home4
    tmpfs 4.0G 0 4.0G 0% /ramdisk
    none 32G 20M 32G 1% /var/spool/exim
    tmpfs 4.0G 8.0K 4.0G 1% /var/mysqltmp
    /dev/mapper/vg_dr-lv_backups_root
    589G 195G 364G 35% /eig_backup
    /dev/mapper/vg_dr-lv_backups_home1
    1.8T 1.3T 470G 74% /eig_backup/****3176.host****.com/backup1
    /dev/mapper/vg_dr-lv_backups_home2
    1.8T 1.5T 306G 83% /eig_backup/****3176.host****.com/backup2
    /dev/mapper/vg_dr-lv_backups_home3
    1.8T 1.4T 324G 82% /eig_backup/****3176.host****.com/backup3
    /dev/mapper/vg_dr-lv_backups_home4
    1.8T 1.2T 612G 65% /eig_backup/****3176.host****.com/backup4

    $ pwd
    /home4/omar/public_html/sitename.net/admin/uploads

    $ ls -la /usr/bin/staprun
    ---s--x--- 1 root stapusr 183072 Mar 21 2017 /usr/bin/staprun

    $ find / -type f -perm -u+s -exec ls -la {} \; 2>/dev/null
    -rwsr-xr-x 1 root root 38718 Sep 18 2017 /usr/local/apache/bin/suexec
    -r-sr-xr-x 1 root root 232863 Jun 9 2017 /usr/local/bin/cdcc
    -r-sr-xr-x 1 root root 629345 Jun 9 2017 /usr/local/bin/dccproc
    -rwsr-xr-x. 1 root root 28968 Aug 30 2012 /usr/local/apache.backup/bin/suexec
    -rws--x--x 1 root root 14736 Jun 19 2017 /usr/libexec/pt_chown
    -rwsr-xr-x 1 root root 257824 Aug 31 2017 /usr/libexec/openssh/ssh-keysign
    -rwsr-xr-x 1 root root 14368 Mar 17 2015 /usr/libexec/polkit-1/polkit-agent-helper-1
    -rwsr-xr-x 1 abrt abrt 10296 Mar 23 2017 /usr/libexec/abrt-action-install-debuginfo-to-abrt-cache
    ---s--x--- 1 root stapusr 183072 Mar 21 2017 /usr/bin/staprun
    -rws--x--x 1 root root 20184 Jan 26 01:41 /usr/bin/chfn
    -rwsr-xr-x 1 root root 30768 Nov 23 2015 /usr/bin/passwd
    ---s--x--x 1 root root 123832 Jun 22 2017 /usr/bin/sudo
    -rwsr-xr-x. 1 root root 128282 Mar 11 2013 /usr/bin/crontab
    -rwsr-xr-x 1 root root 70480 May 10 2016 /usr/bin/chage
    -rwsr-xr-x 1 root root 75640 May 10 2016 /usr/bin/gpasswd
    -rwsr-xr-x 1 root root 82752 Jul 23 2015 /usr/bin/quota
    -rwsr-xr-x 1 root root 54464 Mar 21 2017 /usr/bin/at
    -rwsr-xr-x 1 root root 40240 May 10 2016 /usr/bin/newgrp
    -rwsr-xr-x 1 root root 22544 Mar 17 2015 /usr/bin/pkexec
    -r-s--x---. 1 root 48 13984 Jul 7 2011 /usr/sbin/suexec
    -rwsr-xr-x 1 root root 9000 Oct 3 21:26 /usr/sbin/usernetctl
    -rwsr-xr-x 1 root root 1255280 Feb 7 13:23 /usr/sbin/exim
    -rwsr-xr-x 1 root root 2862863 Nov 2 2016 /opt/suphp/sbin/suphp
    -rwsr-xr-x 1 root root 34840 Mar 22 2017 /sbin/unix_chkpwd
    -rwsr-xr-x 1 root root 10272 Mar 22 2017 /sbin/pam_timestamp_check
    -r-sr-xr-x 1 root root 185196 Jun 9 2017 /var/dcc/libexec/dccsight
    -rwsr-sr-x 1 mailman mailman 21647 Aug 3 2017 /eig_backup/****3176.host****.com/usr/local/cpanel/3rdparty/mailman/cgi-bin/confirm
    -rwsr-sr-x 1 mailman mailman 21647 Aug 3 2017 /eig_backup/****3176.host****.com/usr/local/cpanel/3rdparty/mailman/cgi-bin/admin
    -rwsr-sr-x 1 mailman mailman 21647 Aug 3 2017 /eig_backup/****3176.host****.com/usr/local/cpanel/3rdparty/mailman/cgi-bin/edithtml
    -rwsr-sr-x 1 mailman mailman 21647 Aug 3 2017 /eig_backup/****3176.host****.com/usr/local/cpanel/3rdparty/mailman/cgi-bin/roster
    -rwsr-sr-x 1 mailman mailman 21647 Aug 3 2017 /eig_backup/****3176.host****.com/usr/local/cpanel/3rdparty/mailman/cgi-bin/options
    -rwsr-sr-x 1 mailman mailman 21647 Aug 3 2017 /eig_backup/****3176.host****.com/usr/local/cpanel/3rdparty/mailman/cgi-bin/listinfo
    -rwsr-sr-x 1 mailman mailman 21647 Aug 3 2017 /eig_backup/****3176.host****.com/usr/local/cpanel/3rdparty/mailman/cgi-bin/admindb
    -rwsr-sr-x 1 mailman mailman 21647 Aug 3 2017 /eig_backup/****3176.host****.com/usr/local/cpanel/3rdparty/mailman/cgi-bin/subscribe
    -rwsr-sr-x 1 mailman mailman 21647 Aug 3 2017 /eig_backup/****3176.host****.com/usr/local/cpanel/3rdparty/mailman/cgi-bin/private
    -rwsr-xr-x 1 mailman mailman 24119 Aug 3 2017 /eig_backup/****3176.host****.com/usr/local/cpanel/3rdparty/mailman/bin/setuid-wrapper
    -rwsr-x--- 1 root dbus 46232 Apr 22 2015 /lib64/dbus-1/dbus-daemon-launch-helper
    -rwsr-xr-x 1 root root 38520 Mar 21 2017 /bin/ping
    -rwsr-xr-x 1 root root 53480 Jan 26 01:41 /bin/umount
    -rwsr-xr-x 1 root root 77560 Jan 26 01:41 /bin/mount
    -rwsr-x--- 1 root wheel 34904 Mar 22 2017 /bin/su
    -rwsr-xr-x 1 root root 36488 Mar 21 2017 /bin/ping6

    $ id
    uid=32200(omar) gid=32202(omar) groups=32202(omar)

    Остальные команды не выводятся.
    </code>
     
  5. zifus

    zifus Member

    Joined:
    15 Aug 2015
    Messages:
    85
    Likes Received:
    11
    Reputations:
    0
    Привет всем.. Можете подсказать есть ли сплоит под это...
    Linux version 2.6.32-896.16.1.lve1.4.49.el6.x86_64 ([email protected]) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-18) (GCC) ) #1 SMP Fri Jan 5 05:15:23 EST 2018
     
  6. \/IRUS

    \/IRUS Elder - Старейшина

    Joined:
    3 Aug 2012
    Messages:
    379
    Likes Received:
    498
    Reputations:
    37
    Здравствуйте.
    Есть исходник сплоита который мне подходит
    Linux Kernel < 3.16.39 (Debian 8 x64) - 'inotfiy' Local Privilege Escalation
    https://www.exploit-db.com/exploits/44302/
    как им пользоваться, не могу понять что там не так в коде
     
  7. \/IRUS

    \/IRUS Elder - Старейшина

    Joined:
    3 Aug 2012
    Messages:
    379
    Likes Received:
    498
    Reputations:
    37
    ты про строку "You could modifiy one byte to manipulate rip register, but I do not tried hard to get root." в комментарии
    да, инфы там.... на одну строку
     
  8. \/IRUS

    \/IRUS Elder - Старейшина

    Joined:
    3 Aug 2012
    Messages:
    379
    Likes Received:
    498
    Reputations:
    37
    я про сам код, его намерено сломали, он компилится но не дает нужный результат
     
    BabaDook likes this.
  9. dmax0fw

    dmax0fw Level 8

    Joined:
    31 Dec 2017
    Messages:
    107
    Likes Received:
    131
    Reputations:
    46
    а какой результат ты от него ждёшь? в коде нет ничего, что выбросило бы тебя в рутовый шелл
    это скорее PoC, который требует допиливания, чем полноценный эксплоит для получения рута
     
  10. \/IRUS

    \/IRUS Elder - Старейшина

    Joined:
    3 Aug 2012
    Messages:
    379
    Likes Received:
    498
    Reputations:
    37
    спасибо кэп
    конечно же это proof of concept, даже Вася бухарь с мусорки увидел бы этот факт ;)
    я уже допилил код
    ошибка была на виду, в стоке char next_ptr[8] = "\x30\xff\xff\x31\xff\xff\xff\xff"; должно было быть char next_ptr[9]....
    хорошо хоть памяти в буфере было достаточно чтобы сделать безусловный переход на свой код
     
    #690 \/IRUS, 23 Jul 2018
    Last edited: 23 Jul 2018
    BabaDook likes this.
  11. zifus

    zifus Member

    Joined:
    15 Aug 2015
    Messages:
    85
    Likes Received:
    11
    Reputations:
    0
    Привет всем.. Нужна ваша помощь, бьюсь уже 2 день..
    Есть сервер Linux 2.6.32-673.26.1.lve1.4.15.el6.x86_64 #1 SMP Sun Jul 17 09:01:31 EDT 2016 x86_64 x86_64 x86_64
    Отработал сплоит dirty , passwd изменился, su на сервере нет и я побежал подключаться по ssh.
    При подключении пароль не подходит. suid файлов на сервере нет. Как можно поступить в такой ситуации?
     
  12. dmax0fw

    dmax0fw Level 8

    Joined:
    31 Dec 2017
    Messages:
    107
    Likes Received:
    131
    Reputations:
    46
    сфеерический сервер в вакууме
    можно перезаписать что-нибудь в /etc/cron.d/ и исполнить свой скрипт от рута
    ну или накрайняк патчить vdso
    под обе ситуации есть сплоиты на гитхабе
     
    zifus likes this.
  13. zifus

    zifus Member

    Joined:
    15 Aug 2015
    Messages:
    85
    Likes Received:
    11
    Reputations:
    0
    На сервере оказался один единственный /etc/cron.daily/tmpwatch
    Только закончил шаманить с ним, посмотрим как отработает..
    Как-то пропустил мимо сплоит pokemon.c через него прописал задание в tmpwatch
    на созание SUID
     
    #693 zifus, 1 Aug 2018
    Last edited: 2 Aug 2018
  14. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    Добрый день, что можно по пробовать применить под
    Linux infong278 3.16.0-ui18135.21-uiabi1-infong-amd64 #1 SMP Debian 3.16.56-1~ui
    80+1 (2018-05-15) x86_64 GNU/Linux
    Больше инфы могу предоставить поже
     
  15. dmax0fw

    dmax0fw Level 8

    Joined:
    31 Dec 2017
    Messages:
    107
    Likes Received:
    131
    Reputations:
    46
  16. Sensoft

    Sensoft Member

    Joined:
    14 Jun 2015
    Messages:
    398
    Likes Received:
    38
    Reputations:
    1
    Есть web shell на Linux CentOS-74-64-minimal 3.10.0-693.21.1.el7.x86_64
    Права на запись есть только в некоторых папках нужен корень сайта для заливки вируса, как поднять права в корне ?
     
  17. kristinka_sk

    kristinka_sk Member

    Joined:
    6 Aug 2018
    Messages:
    28
    Likes Received:
    6
    Reputations:
    0
    Obiazetalno nuzno ispolzovat' backconnect+putty? V wso cherez browser mozno ze vse toze samoe sdelat'
    Linux webclust4.cnh.at 3.2.0-5-amd64 #1 SMP Debian 3.2.96-3 x86_64
     
  18. PiroCat

    PiroCat New Member

    Joined:
    23 Oct 2018
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Здравствуйте. Камрады, подскажите, реально ли повысить привелегии на свежих ядрах? или без приватных эксплоитов это не возможно?

    Linux vps459476.ovh.net 3.10.0-862.3.2.el7.x86_64 #1 SMP Mon May 21 23:36:36 UTC 2018 x86_64

    к примеру?

    Быть может есть альтернативные варианты?
     
  19. dmax0fw

    dmax0fw Level 8

    Joined:
    31 Dec 2017
    Messages:
    107
    Likes Received:
    131
    Reputations:
    46
    на свежих ядрах врятли получится без 0day
    в вашем случае оно не прям чтобы супер свежее, можно конечно попытаться недавними сплоитами, но врятли выйдет
    конечно же есть - ошибки в конфигурации, небезопасные права доступа и тд и тп, версия ядра далеко не показатель
     
  20. PiroCat

    PiroCat New Member

    Joined:
    23 Oct 2018
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Хм. Пока я изучал кронтаб и вложеные файлы случайно наткнулся на этот эксплоит.
    https://vulners.com/thn/THN:E895DCB05CD71F3E251E0F953DC4C77F

    В статье сказано, что о баге было сообщено разработчикам в сентябре\августе 2018. А так же, что он сработает только на 64-битной системе.
    Кроме того, обязательным требованием является суидный бит, который у нас есть, а так же сказано, что системы с обьемом памяти меньше 32 гб вряд-ли будут уязвимы.
    Как понять "вряд-ли"? от чего это зависит?

    Linux vps459476.ovh.net 3.10.0-862.3.2.el7.x86_64 #1 SMP Mon May 21 23:36:36 UTC 2018 x86_64

    $ cat /proc/meminfo
    MemTotal: 7815136 kB
    MemFree: 591612 kB
    MemAvailable: 5552304 kB


    p.s. подскажите, с какими аргументами будет правильно компилировать этот сплоит?
    https://www.exploit-db.com/raw/45516/

    спасибо.