Mmap() local root exploit

Pause Café
#1

C’est grave docteur?

#2

On dirait… mais ça ne touche pas les 2.4 et encore moins les 2.2 on dirait :slightly_smiling: [pour Misterfreeze]

#3

ni mon 2.6.24-3.
par contre, je n’arrives pas à compiler l’exploit pour tester, j’ai des erreurs dans stdio.h :astonished:

#4

J’ai essayé(pas sur mon serveur) et j’obtiens bien un accés root alors que j’étais en user…
Donc on est obligé d’avoir déjà un compte ?
Voila une bonne raison pour ne pas installer d’outils de compilation sur un serveur(je les désinstalle après la compilation d’un nouveau noyau).

#5

[code]-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz

[+] mmap: 0x0 … 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 … 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 … 0x2000
[+] page: 0x1000
[+] mmap: 0xb7dee000 … 0xb7e20000
[+] root
Exploit gone!
[/code]Apparemment ça fonctionne aussi sur ubuntu (Machine au boulot)
J’ai trouvé une version ici qui compilait sans erreurs
ping.uio.no/~mortehu/disable … loitable.c

#6

2.2 et 2.4…

[quote]-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz

[+] mmap: 0x0 … 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 … 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 … 0x2000
[+] page: 0x1000
[+] mmap: 0x4014f000 … 0x40181000
[-] vmsplice: Function not implemented
[/quote] et surtout dédidace spéciale Misterfreeze
Noyau 2.6.12 [size=150]sarge[/size] amd64

[quote]-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz

[+] mmap: 0x0 … 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 … 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 … 0x2000
[+] page: 0x1000
[+] mmap: 0x556b7000 … 0x556e9000
[-] vmsplice: Function not implemented
/home/boisson
boisson@NC-13D3923EBA:~$ uname -a
Linux NC-13D3923EBA 2.6.12-1-amd64-generic #1 Fri Jul 22 18:12:08 CEST 2005 x86_64 GNU/Linux[/quote]

:smiley: :smiley: :smiling_imp:

#7

[code]$ ./a.out

Linux vmsplice Local Root Exploit
By qaaz

[+] mmap: 0x0 … 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 … 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 … 0x2000
[+] page: 0x1000
[+] mmap: 0xb7d8f000 … 0xb7dc1000
[+] root
[/code]

:open_mouth:

#8

Ca m’affiche pareil, mais tu te retrouve pas en root :smiley:. noyau 2.6.23.

#9

L’équipe de sécurité fait du bon boulot:

[code]-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz

[+] mmap: 0x100000000000 … 0x100000001000
[+] page: 0x100000000000
[+] page: 0x100000000038
[+] mmap: 0x4000 … 0x5000
[+] page: 0x4000
[+] page: 0x4038
[+] mmap: 0x1000 … 0x2000
[+] page: 0x1000
[+] mmap: 0x2aef5a892000 … 0x2aef5a8c4000
[-] vmsplice: Bad address
dimm@mambo:~/exploit$ uname -a
Linux mambo 2.6.18-dimm-7 #1 Mon Feb 11 19:07:02 CET 2008 x86_64 GNU/Linux
[/code]

#10

[quote=“dimm”]J’ai essayé(pas sur mon serveur) et j’obtiens bien un accés root alors que j’étais en user…
Donc on est obligé d’avoir déjà un compte ?
Voila une bonne raison pour ne pas installer d’outils de compilation sur un serveur(je les désinstalle après la compilation d’un nouveau noyau).[/quote]
Tu le rapatries sans pbm,

[quote]francois@totoche:/tmp$ ./root

Linux vmsplice Local Root Exploit
By qaaz

[+] mmap: 0x0 … 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 … 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 … 0x2000
[+] page: 0x1000
[+] mmap: 0xb7dcc000 … 0xb7dfe000
[+] root
root@totoche:/tmp#
[/quote]
PS: c’est le fichier d’origine, pas eu de soucis de compilation.

#11

[code]> :/tmp$ ./boum
-bash: ./boum: Permission non accordée

:/tmp$ cp boum ~/
:/tmp$ cd
:~$ ./boum
-bash: ./boum: cannot execute binary file
[/code]
:slightly_smiling:

#12

[quote=“dimm”][code]> :/tmp$ ./boum
-bash: ./boum: Permission non accordée

:/tmp$ cp boum ~/
:/tmp$ cd
:~$ ./boum
-bash: ./boum: cannot execute binary file
[/code]
:slightly_smiling:[/quote]
Une machine où on ne peut exécuter un programme perso n’a guère d’intérêt souvent :slightly_smiling:

#13

[quote=“dimm”]J’ai essayé(pas sur mon serveur) et j’obtiens bien un accés root alors que j’étais en user…
Donc on est obligé d’avoir déjà un compte ?
Voila une bonne raison pour ne pas installer d’outils de compilation sur un serveur(je les désinstalle après la compilation d’un nouveau noyau).[/quote]Oui, enfin même sans outil de compil, avec un bête scp, tu peux importer l’exploit.
Sinon:

[quote]roc@roc:~/devel/C$ ./exploit ; whoami

Linux vmsplice Local Root Exploit
By qaaz

[+] mmap: 0x100000000000 … 0x100000001000
[+] page: 0x100000000000
[+] page: 0x100000000038
[+] mmap: 0x4000 … 0x5000
[+] page: 0x4000
[+] page: 0x4038
[+] mmap: 0x1000 … 0x2000
[+] page: 0x1000
[+] mmap: 0x2b3a41f1a000 … 0x2b3a41f4c000
[+] root
Exploit gone!
roc [/quote] Bon, mais j’avoue que le premier test à figé ma machine.

#14

Ben si je peux:

[code]> :~$ cat test
#!/bin/sh

echo “salut”

:~$ ./test
salut
[/code]
Dans /tmp c’est normal il est en noexec, mais je ne sais pas pourquoi il échoue dans mon répertoire perso.

#15

J’ai déjà dis sur le post en question que je m’étais planté. :confused:

#16

Le même exploit mais donnant réellement un shell root :wink: