Ubuntu 9.04での脆弱性のデモ

ITセキュリティのクラスでは、学生に特権の昇格を示したいと思います。そのために、私はexploit/linux/localMetasploit Frameworkのリストを調べ、exploit/linux/local/sock_sendpage2009年8月から（とりわけ）発見しました。

2009年4月から32ビットUbuntu Server 9.04（http://old-releases.ubuntu.com/releases/9.04/ubuntu-9.04-server-amd64.iso）でVMをセットアップしuname -rました2.6.28-11-generic。エクスプロイトの説明によると

2001年5月以降のすべてのLinux 2.4 / 2.6バージョンが影響を受けると考えられています。2.4.4から2.4.37.4まで。2.6.0から2.6.30.4まで

したがって、私がセットアップしたUbuntuサーバーはデモンストレーションに適しているはずです。しかし、私はそれを機能させることができませんでした。

サーバーに（通常の）ユーザーを追加すると、SSHアクセスが機能します。Metasploit Framework内から、を使用してSSHセッションを作成できますauxiliary/scanner/ssh/ssh_login。ただし、エクスプロイトを実行すると、

[*] Writing exploit executable to /tmp/mlcpzP6t (4069 bytes)

[*] Exploit completed, but no session was created.

DEBUG_EXPLOITtrue に設定しても、それ以上の情報は得られません。/tmpMetasploit SSHセッション内からも書き込み可能です。

$ sessions -c "touch /tmp/test.txt"
[*] Running 'touch /tmp/test.txt' on shell session 1 ([redacted])

$ sessions -c "ls -l /tmp"
[*] Running 'ls -l /tmp' on shell session 1 ([redacted])

total 0

-rw-r--r-- 1 [redacted] [redacted] 0 2016-03-28 09:44 test.txt

またWriteableDir、サーバー上のユーザーのホームディレクトリを設定しようとしましたが、変更はありませんでした。ここで何が欠けていますか？Ubuntuサーバーのこのバージョン（意図的に更新されていない！）は脆弱ではありませんか？

9.04リリースは、 2010年10月23日までサポートされていました。検出された脆弱性は2009年8月に報告されました。脆弱ではなくなりました。

さらに、脆弱ではないことを非常にうまく実証しているようです。結局、このエクスプロイトを試してみたところ、失敗したようです。

新しいエクスプロイトを試してみませんか？たとえば、Ubuntuにも影響するはずのCVE-2013-2094のようなもの。

これはあなたの特定の質問に答えるのではなく、生徒を表示するためのより多くのプライベートな選択肢を与えます...

また、次の2つの管理者の設定ミスを考慮すると、 'nixのpriv escにつながる可能性があります（priv escを許可できる' nixボックスの設定をミスする他の多くの方法がありますので、これは食欲増進と考えてください） ....

1. root / rootグループ（find / -uid 0 -perm -4000 -type f 2>/dev/nullおよびfind / -uid 0 -perm -2000 -type f 2>/dev/null）が所有するsuidおよびguidバイナリーと、それらが低権限ユーザーがそれらを変更できるように、誰でも書き込み可能かどうかを確認します。それらが存在するフォルダーは、低特権ユーザーによって書き込み可能です-可能なライブラリパスインジェクションのために。それらが使用するライブラリはどうですか？変更できるものは次のとおりです。次のコマンドのいずれかを使用して、バイナリ内のany DT_RPATHおよびDT_RUNPATHELFヘッダーの値を確認します。

   • objdump -x ...
   • readelf -a ...
   • scanelf （PaXから）
   • elfdump （日曜日から）
   • readelf -a binary | grep PATH

2. sudoers 欠陥

   • NOPASSWD -ローカルの攻撃者は、ユーザーが画面のロックを忘れたときに、このアクセスを使用してオペレーティングシステム内で権限を昇格させる可能性があります。

   • Sudoersの実行可能ファイルの欠落-ファイル内の一部の実行可能/etc/sudoersファイルは存在しません。実行可能ファイルが作成された場合、sudoを介してrootとして実行でき、特権の昇格が可能になります。

   • 孤立したSudoersエントリ- /etc/sudoersファイルには、対応するアカウントが/etc/passwdファイルに構成されていない孤立したエントリがいくつか含まれている場合があります。孤立した名前の1つを使用してユーザーが作成された場合、ユーザーに特権を完全なルートアクセスにエスカレートする手段が提供されます。

   • 一部のプログラムは、sudo-like vi、use :eまたはCtrl o use :wto accessにしないでください/etc/shadow。

   • sudoersファイルで誤って考え出された/悪いコマンド-私httpdはsudoersでよく見ます-したがって、sudoアクセスを持つ低特権ユーザーとして試して、そのコマンドだけを実行してください（sudo -lまたはsudo -llユーザーができることsudo /usr/bin/httpd -t /etc/shadowを表示します）：エラーを見てください。

   • sudoersで言及されているコマンドとファイルのファイルのパーマは脆弱です-rootが所有するsuidおよびguidビットのバイナリに関する以前の段落を参照してください