Trình diễn lỗ hổng trên Ubuntu 9.04

15

Đối với một lớp học về bảo mật CNTT, tôi muốn chứng minh sự leo thang đặc quyền cho các sinh viên. Để làm như vậy, tôi đã xem qua exploit/linux/localdanh sách trong Khung Metasploit, tìm kiếm (trong số những người khác) exploit/linux/local/sock_sendpagetừ tháng 8 năm 2009.

Tôi đã thiết lập máy ảo với Ubuntu Server 9.04 32 bit ( http://old-release.ubfox.com/release/9.04/ubfox-9.04-server-amd64.iso ) từ tháng 4 năm 2009. uname -rcung cấp cho tôi 2.6.28-11-generic. Theo mô tả của khai thác

Tất cả các phiên bản Linux 2.4 / 2.6 kể từ tháng 5 năm 2001 được cho là bị ảnh hưởng: 2.4.4 cho đến và bao gồm 2.4.37.4; 2.6.0 lên đến và bao gồm 2.6.30.4

Vì vậy, có vẻ như máy chủ Ubuntu mà tôi thiết lập phải phù hợp để trình diễn. Tuy nhiên, tôi đã không thể làm cho nó hoạt động.

Tôi đã thêm một người dùng (thường xuyên) trên máy chủ và truy cập SSH hoạt động. Từ trong Khung Metasploit, tôi có thể tạo phiên SSH bằng cách sử dụng auxiliary/scanner/ssh/ssh_login. Tuy nhiên, khi tôi khai thác, tôi nhận được

[*] Writing exploit executable to /tmp/mlcpzP6t (4069 bytes)

[*] Exploit completed, but no session was created.

Tôi không nhận được thêm thông tin nào, ngay cả khi cài đặt DEBUG_EXPLOITthành đúng. /tmplà writabe, cũng từ trong phiên SSH Metasploit:

$ sessions -c "touch /tmp/test.txt"
[*] Running 'touch /tmp/test.txt' on shell session 1 ([redacted])

$ sessions -c "ls -l /tmp"
[*] Running 'ls -l /tmp' on shell session 1 ([redacted])

total 0

-rw-r--r-- 1 [redacted] [redacted] 0 2016-03-28 09:44 test.txt

Tôi cũng đã thử cài đặt thư WriteableDirmục chính của người dùng trên máy chủ, nhưng không có bất kỳ thay đổi nào. Tôi đang thiếu gì ở đây? Có phải phiên bản máy chủ Ubuntu này (mà tôi đã cố tình không cập nhật!) Không dễ bị tấn công?

ubuntu  security  privileges  metasploit 
Andreas Unterweger
nguồn
Ít nhất, bạn nên kiểm tra nhật ký của VM.
Klaatu von Schlacker
@KlaatuvonSchlacker: Chính xác thì tôi đang tìm kiếm cái gì? Tôi vừa chạy lại khai thác và không có mục mới nào được thêm vào nhật ký của một trong hai VM.
Andreas Unterweger

Câu trả lời:

16

Bản phát hành 9.04 được hỗ trợ cho đến ngày 23 tháng 10 năm 2010. Lỗ hổng mà bạn tìm thấy đã được báo cáo vào tháng 8 năm 2009. Có vẻ hợp lý rằng, vì bản phát hành vẫn còn hiện hành và được hỗ trợ tại thời điểm đó, ISO đã được vá và những gì bạn tải xuống là phiên bản. không còn dễ bị tổn thương.

Hơn nữa, bạn dường như đã chứng minh khá độc đáo rằng nó không dễ bị tổn thương. Rốt cuộc, bạn đã thử khai thác và có vẻ như nó đã thất bại.

Tại sao bạn không thử khai thác mới hơn? Ví dụ như một cái gì đó như CVE-2013-2094 cũng sẽ ảnh hưởng đến Ubuntu .

terdon
nguồn
Dường như không có mô-đun Metasploit cho CVE-2013-2094. Có bất kỳ khai thác nào khác với các mô-đun Metasploit có thể hoạt động không? khai thác / linux / local / pkexec từ năm 2011 có vẻ đầy hứa hẹn, nhưng cho kết quả tương tự như khai thác / linux / local / sock_sendpage .
Andreas Unterweger
@AndreasUnterweger oh, xin lỗi, tôi không nhận ra không có mô-đun. Tôi chỉ tìm thấy một cách ngẫu nhiên bằng cách tìm kiếm "leo thang đặc quyền". Về phần pkexeckhai thác, bạn đã kiểm tra phiên bản libpolkit-backend-1chưa? Trang bạn liên kết đến trạng thái cho thấy lỗ hổng yêu cầu phiên bản cũ hơn 0.94-1ubuntu1.1.
terdon
Theo dpkg -s libpolkit2, phiên bản được cài đặt là 0.9-2ubuntu1.
Andreas Unterweger
@AndreasUnterweger trong trường hợp đó, tôi không có ý kiến ​​gì. Lấy làm tiếc. Bạn có thể tốt hơn nên đăng câu hỏi lên Bảo mật thông tin , yêu cầu kết hợp phân phối và khai thác leo thang đặc quyền cụ thể được biết là có hiệu quả.
terdon
@AndreasUnterweger và ThorbjørnRavnAndersen vui lòng tham gia cuộc thảo luận này để trò chuyện . Tôi đã chuyển ý kiến ​​trước đó của bạn ở đó.
terdon
1

Điều này không trả lời truy vấn cụ thể của bạn, thay vào đó, nó cung cấp cho bạn nhiều lựa chọn thoát riêng tư hơn để hiển thị cho sinh viên của bạn ...

Bạn cũng có thể muốn xem xét hai cấu hình lỗi quản trị viên sau đây có thể dẫn đến thoát riêng tư trên 'nix (có nhiều cách khác để định cấu hình hộp' nix có thể cho phép thoát riêng tư vì vậy vui lòng xem đây là một sự thèm ăn) ....

  1. nhị phân và hướng dẫn sở hữu bởi nhóm gốc / nhóm gốc ( find / -uid 0 -perm -4000 -type f 2>/dev/nullfind / -uid 0 -perm -2000 -type f 2>/dev/null) và xem liệu chúng có thể ghi được trên thế giới để cho phép người dùng đặc quyền thấp thay đổi chúng hay không; thư mục họ tồn tại có thể ghi được bởi người dùng riêng tư thấp của bạn - để có thể tiêm đường dẫn thư viện. Điều gì về các thư viện họ sử dụng - là những thư viện có thể được thay đổi: kiểm tra giá trị của bất kỳ tiêu đề DT_RPATHDT_RUNPATHELF nào trong các tệp nhị phân bằng một trong các lệnh sau:

    • objdump -x ...
    • readelf -a ...
    • scanelf (từ PaX)
    • elfdump (từ mặt trời)
    • readelf -a binary | grep PATH

  2. sudoers sai sót

    • NOPASSWD - Kẻ tấn công cục bộ có thể sử dụng quyền truy cập này để leo thang các đặc quyền của chúng trong hệ điều hành khi người dùng quên khóa màn hình của chúng

    • Thiếu Executables trong Sudoers - Một số tệp thực thi trong /etc/sudoerstệp không tồn tại. Nếu các tệp thực thi được tạo, chúng có thể được chạy qua sudo dưới dạng root, điều này sẽ cho phép leo thang đặc quyền.

    • Các mục nhập Sudoers mồ côi - /etc/sudoersTệp có thể chứa một số mục nhập mồ côi mà không có tài khoản tương ứng được cấu hình trong /etc/passwdtệp. Nếu một người dùng được tạo ra với một trong những tên mồ côi, nó sẽ cung cấp cho người dùng một phương tiện để nâng cấp các đặc quyền lên toàn quyền truy cập.

    • Một số Chương trình không nên ở dạng sudo vi, sử dụng :ehoặc Ctrl o sử dụng :wđể truy cập /etc/shadow.

    • Đã nghĩ sai / lệnh xấu được sử dụng trong tệp sudoers - tôi thường thấy httpdtrong sudoers - vì vậy hãy thử với tư cách là người dùng thấp có quyền truy cập sudo để chạy lệnh đó ( sudo -lhoặc sudo -llsẽ hiển thị những gì người dùng có thể làm): sudo /usr/bin/httpd -t /etc/shadowvà xem lỗi.

    • tập tin perms của lệnh và tập tin được đề cập trong sudoers là yếu - xem đoạn trước của tôi về nhị phân bit suid và hướng dẫn sở hữu bởi root

Richard Braganza
nguồn
btw bạn cũng có thể thử mã gốc của Spender cho mô-đun metasploit trong trường hợp mô-đun metasploit không hoàn toàn chính xác: grsecurity.net/~spender/Exloits
Richard Braganza
Cảm ơn bạn rất nhiều vì đã liệt kê các mặt hàng này. Tuy nhiên, tôi sợ rằng cả hai nhóm mặt hàng sẽ yêu cầu quá nhiều thông tin và bối cảnh từ các sinh viên - họ hầu như không biết Linux vào thời điểm nghiên cứu của họ. Tôi muốn cho họ thấy rằng sự leo thang đặc quyền là một điều có thật và họ phải luôn vá các hệ thống mà họ đang / sẽ chịu trách nhiệm. Trớ trêu thay, cho đến nay tôi đã thất bại trong việc chứng minh sự leo thang đặc quyền thực tế như mô tả ở trên. EDIT: Thật không may, tôi sẽ xem mã của Spender, nhưng hiện tại không còn nhiều thời gian nữa. Cảm ơn bạn rất nhiều về đường link dẫn.
Andreas Unterweger
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.