forum.opennet.ru

Составление сообщения

Исходное сообщение

"Эксплоит для проверки систем на root-уязвимость в Linux-ядре..."
Отправлено pavlinux, 21-Сен-10 02:04

>Че-то не пойму, где они там "бэкдор" нашли? Ну да, несколько модулей
>ядра пропатчены, selinux отключен, но где бэкдор?
# echo ':32bits:M::\x7fELF\x01::/bin/echo:' > /proc/sys/fs/binfmt_misc/register
Формат записи в этот register такой - :name:type:offset:magic:mask:interpreter:flags
32bits - просто идентификатор.
M - тип распознавания, М - это значит распознавать по MAGIC строке.
далее идет смещение, но в у них оно пустое - ::
\x7fELF\x01 - этот самый MAGIC, \x7fELF - это Эксхуйтэйбл Линкин Формат , 0x01 - 32 бита, (64 битный 0x02)
далее идет маска, она тоже пустая - :: ,точнее, по умолчанию 0xff
/bin/echo - интерпретатор
ну и флаги - пустые.
Чё имеем: при запуске любого 32-разрядного бинарника, будет запускаться /bin/echo binarnic.
Кто знает по каким UID будет запускаться /bin/echo ???
Вроде если запускать не от рута, ниче страшного, только выведет на экран своё имя.
А если от рута, то это ж......а.
Нету у меня 32 битов больше, проверил бы. :)

Исходное сообщение
"Эксплоит для проверки систем на root-уязвимость в Linux-ядре..." Отправлено pavlinux, 21-Сен-10 02:04
>Че-то не пойму, где они там "бэкдор" нашли? Ну да, несколько модулей >ядра пропатчены, selinux отключен, но где бэкдор? # echo ':32bits:M::\x7fELF\x01::/bin/echo:' > /proc/sys/fs/binfmt_misc/register Формат записи в этот register такой - :name:type:offset:magic:mask:interpreter:flags 32bits - просто идентификатор. M - тип распознавания, М - это значит распознавать по MAGIC строке. далее идет смещение, но в у них оно пустое - :: \x7fELF\x01 - этот самый MAGIC, \x7fELF - это Эксхуйтэйбл Линкин Формат , 0x01 - 32 бита, (64 битный 0x02) далее идет маска, она тоже пустая - :: ,точнее, по умолчанию 0xff /bin/echo - интерпретатор ну и флаги - пустые. Чё имеем: при запуске любого 32-разрядного бинарника, будет запускаться /bin/echo binarnic. Кто знает по каким UID будет запускаться /bin/echo ??? Вроде если запускать не от рута, ниче страшного, только выведет на экран своё имя. А если от рута, то это ж......а. Нету у меня 32 битов больше, проверил бы. :)

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру