Exploit pro wu-ftpd, BeroFTPD, ProFTPD

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Pondělí Srpen 30 18:32:50 CEST 1999


On Sun, 29 Aug 1999, Lukas Futera wrote:

> Jestli jsem to dobre pochopil (mozna ne) vtip je v tom, ze se vytvori
> mnoho adresaru a to se pak vyuzije pro execnuti shellu.

Jo, tak nejak to ma fungovat. A lze povazovat za pravdepodobne, ze pokud
tam nekdo ty adresare nejakym zpusobem nevytvori (ne nutne pres FTP; kdyz
je utocnik---nebo jeho komplic---lokalni uzivatel, tak si je tam muze
vyrobit primo), tak te diry vyuzit nepujde.

> Jenze ... exploit se tedy provadi az kdyz je uzivatel zalogovany,
> v te dobe je uz ale EUID (effective uid) nastaveno na uid uzivatele, ktery
> se zalogoval. To znamena, ze i kdyz se podari spustit shell neni root. 

Bezni FTP demoni (to zni jako bezny praci prostredek) z ruznych pricin
bezi tak, aby se na konci seance mohli vratit zase k euid 0. Staci stejnou
sekvenci volani pridat do exploitu a uz je to.

> Jeste me napadlo ze by na to mohl mit vliv, jestli je uzivatelum menen
> root do jejich domovskych adresaru, potom totiz /bin/sh neexistuje. 

No a co? Root muze z neceho takoveho snadno utect (cviceni pro ctenare:
zkuste vymyslet tri ruzne zpusoby, z toho nejmene jeden, ktery nepotrebuje
filesystem). Staci prislusny kod pridat do exploitu. (Samozrejme, ze vubec
nejde o /bin/sh...to si tam muzu v pripade potreby uploadovat sam, ale o
pristup ke vsem souborum, abych z toho naboreni systemu taky neco mel. :>)

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."



Další informace o konferenci Linux