Ubuntu 9.04での脆弱性のデモ


15

ITセキュリティのクラスでは、学生に特権の昇格を示したいと思います。そのために、私はexploit/linux/localMetasploit Frameworkのリストを調べ、exploit/linux/local/sock_sendpage2009年8月から(とりわけ)発見しました。

2009年4月から32ビットUbuntu Server 9.04(http://old-releases.ubuntu.com/releases/9.04/ubuntu-9.04-server-amd64.iso)でVMをセットアップしuname -rました2.6.28-11-generic。エクスプロイトの説明によると

2001年5月以降のすべてのLinux 2.4 / 2.6バージョンが影響を受けると考えられています。2.4.4から2.4.37.4まで。2.6.0から2.6.30.4まで

したがって、私がセットアップしたUbuntuサーバーはデモンストレーションに適しているはずです。しかし、私はそれを機能させることができませんでした。

サーバーに(通常の)ユーザーを追加すると、SSHアクセスが機能します。Metasploit Framework内から、を使用してSSHセッションを作成できますauxiliary/scanner/ssh/ssh_login。ただし、エクスプロイトを実行すると、

[*] Writing exploit executable to /tmp/mlcpzP6t (4069 bytes)

[*] Exploit completed, but no session was created.

DEBUG_EXPLOITtrue に設定しても、それ以上の情報は得られません。/tmpMetasploit SSHセッション内からも書き込み可能です。

$ sessions -c "touch /tmp/test.txt"
[*] Running 'touch /tmp/test.txt' on shell session 1 ([redacted])

$ sessions -c "ls -l /tmp"
[*] Running 'ls -l /tmp' on shell session 1 ([redacted])

total 0

-rw-r--r-- 1 [redacted] [redacted] 0 2016-03-28 09:44 test.txt

またWriteableDir、サーバー上のユーザーのホームディレクトリを設定しようとしましたが、変更はありませんでした。ここで何が欠けていますか?Ubuntuサーバーのこのバージョン(意図的に更新されていない!)は脆弱ではありませんか?


少なくとも、VMのログを確認する必要があります。
クラトゥフォンシュラッカー

@KlaatuvonSchlacker:私はまさに何を探していますか?いずれかのVMのログに新しいエントリが追加されなかったため、エクスプロイトを再実行しました。
アンドレアスウンターウィガー

回答:


16

9.04リリースは、 2010年10月23日までサポートされていました。検出された脆弱性は2009年8月に報告されました。脆弱ではなくなりました。

さらに、脆弱ではないことを非常にうまく実証しているようです。結局、このエクスプロイトを試してみたところ、失敗したようです。

新しいエクスプロイトを試してみませんか?たとえば、Ubuntuも影響するはずのCVE-2013-2094のようなもの。


CVE-2013-2094用のMetasploitモジュールはないようです。Metasploitモジュールで機能する可能性のある他のエクスプロイトはありますか?2011年のexploit / linux / local / pkexecは有望と思われましたが、exploit / linux / local / sock_sendpageと同じ結果をもたらします。
アンドレアスウンターウィガー

@AndreasUnterwegerああ、すみません、モジュールがないことに気づきませんでした。「特権エスカレーション」を検索して、ランダムに見つけました。用としてpkexec活用する、あなたはのバージョンを確認していlibpolkit-backend-1?リンクするページには、この脆弱性にはのバージョンよりも古いバージョンが必要であると記載されています0.94-1ubuntu1.1
テルドン

によるとdpkg -s libpolkit2、インストールされるバージョンは0.9-2ubuntu1です。
アンドレアスウンターウィガー

@AndreasUnterwegerその場合、私にはわからない。ごめんなさい。Information Securityに質問を投稿して、機能することがわかっている特定の特権エスカレーションエクスプロイトと配布の組み合わせを尋ねる方が良いかもしれません。
テルドン

@AndreasUnterwegerとThorbjørnRavnAndersenは、このディスカッションに参加してチャットしてください。私はすでにあなたの以前のコメントをそこに移動しました。
テルドン

1

これはあなたの特定の質問に答えるのではなく、生徒を表示するためのより多くのプライベートな選択肢を与えます...

また、次の2つの管理者の設定ミスを考慮すると、 'nixのpriv escにつながる可能性があります(priv escを許可できる' nixボックスの設定をミスする他の多くの方法がありますので、これは食欲増進と考えてください) ....

  1. root / rootグループ(find / -uid 0 -perm -4000 -type f 2>/dev/nullおよびfind / -uid 0 -perm -2000 -type f 2>/dev/null)が所有するsuidおよびguidバイナリーと、それらが低権限ユーザーがそれらを変更できるように、誰でも書き込み可能かどうかを確認します。それらが存在するフォルダーは、低特権ユーザーによって書き込み可能です-可能なライブラリパスインジェクションのために。それらが使用するライブラリはどうですか?変更できるものは次のとおりです。次のコマンドのいずれかを使用して、バイナリ内のany DT_RPATHおよびDT_RUNPATHELFヘッダーの値を確認します。

    • objdump -x ...
    • readelf -a ...
    • scanelf (PaXから)
    • elfdump (日曜日から)
    • readelf -a binary | grep PATH
  2. sudoers 欠陥

    • NOPASSWD -ローカルの攻撃者は、ユーザーが画面のロックを忘れたときに、このアクセスを使用してオペレーティングシステム内で権限を昇格させる可能性があります。

    • Sudoersの実行可能ファイルの欠落-ファイル内の一部の実行可能/etc/sudoersファイルは存在しません。実行可能ファイルが作成された場合、sudoを介してrootとして実行でき、特権の昇格が可能になります。

    • 孤立したSudoersエントリ- /etc/sudoersファイルには、対応するアカウントが/etc/passwdファイルに構成されていない孤立したエントリがいくつか含まれている場合があります。孤立した名前の1つを使用してユーザーが作成された場合、ユーザーに特権を完全なルートアクセスにエスカレートする手段が提供されます。

    • 一部のプログラムは、sudo-like vi、use :eまたはCtrl o use :wto accessにしないでください/etc/shadow

    • sudoersファイルで誤って考え出された/悪いコマンド-私httpdはsudoersでよく見ます-したがって、sudoアクセスを持つ低特権ユーザーとして試して、そのコマンドだけを実行してください(sudo -lまたはsudo -llユーザーができることsudo /usr/bin/httpd -t /etc/shadowを表示します):エラーを見てください。

    • sudoersで言及されているコマンドとファイルのファイルのパーマは脆弱です-rootが所有するsuidおよびguidビットのバイナリに関する以前の段落を参照してください


ところで、あなたはまた、Metasploitのモジュールはかなり正しくない場合にはMetasploitのモジュールのためのスペンダーの元のコードを試すことができます。grsecurity.net/~spender/exploits
リチャード・ブラガンサ

これらのアイテムをリストしてくれてありがとう。しかし、両方のグループのアイテムが学生からの背景情報とコンテキストを必要としすぎるのではないかと心配しています。彼らは研究のこの時点ではほとんどLinuxを知りません。特権の昇格は本物であり、彼らは常に責任のあるシステムにパッチを当てる必要があることを示したいと思います。皮肉なことに、私はこれまでのところ、上記のような実際の特権エスカレーションを実証することに失敗しました。編集:Spenderのコードを見ていきますが、残念ながら現在は時間切れです。リンクありがとうございます。
アンドレアスウンターウィガー
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.