当前位置:Linux教程 - Linux综合 - Solaris8模块加载严重系统漏洞

Solaris8模块加载严重系统漏洞

  最近,我在Solaris8上研究内核模块问题时,意外发现,   Solaris8在执行内核模块加载过程中,存在严重系统漏洞。   作为结果,任何普通用户都将可以拥有root权限。我们知道   Solaris上出现了很多系统漏洞,他们中的很多是缓冲区溢出   漏洞,利用这种类型的漏洞必须要求含有该漏洞的可执行文件   具有setuid标志。而大多数有经验的管理员已经将这些文件   的setuid标志去掉了。我下面介绍的方法不依赖任何其他的   setuid程序,就是说,你有执行程序的权利,你就是root了!     先让我们了解一下内核模块的基本知识,现代*作系统   大多拥有两种工作状态:核心态和用户态。我们使用的一般   应用程序工作在用户态,而内核模块和最基本的*作系统核   心一同工作在核心态。   为什么不在*作系统核心中实现所有功能,而要使用内   核模块呢?因为随着软件技术的向前发展,*作系统核心需   要支持的功能越来越多,体积也越来越大,如果在*作系统   核心中实现所有功能我们就将拥有一个庞大而缓慢的*作系   统内核了。   内核模块提供给我们一个较好的解决方案:在*作系统   启动时,仅加载最核心的部分,随着使用的应用程序需要,   再由*作系统动态的将相关的内核模块加载到核心态,不用   的时候就可以将这些模块卸载出内存。这样我们的内核就可   以即功能强大,又小巧快捷了。     现在步入正题,我们知道黑客们总是将获得root权限作   为目的,其实如果你可以在核心态运行你的程序,你一样可   以获得一般账号没有的权限,甚至比root权限更高级的权限。   因为*作系统只在用户态对用户权限进行限制。换句话说,   就是如果你可以在核心态运行你的程序,那么你就可以为所   欲为了。所以一般*作系统都只准许root账号来加载这种可   以运行在核心态的内核模块,Solaris8也不例外   (modload命令)。   但是在Solaris8上还有一些其他的命令(或系统调用),   可以最终导致系统加载内核模块,这些命令中的一些不需要   root账号。当然对于那些总是加载固定内核模块的命令,他   们也是安全的。那么有没有不需要root账号而又可以指定加   载某个内核模块的命令呢?   有!priocntl系统调用就是一个。priocntl是和进程切   换相关的一条系统调用,当他的第三个参数是PC_GETCID时,   他会加载在第四个参数中指定的内核模块。例:   ......   pcinfo_t pcinfo;   strcpy(pcinfo.pc_clname, "RT");   if(priocntl(0,0,PC_GETCID,(caddr_t)&pcinfo)==-1)   printf("error = d!\n",errno);   else   printf("OK!\n");   ......   编译并运行他,然后利用命令"modinfo grep RT"我们会发   现RT内核模块被Solaris8加载了。   好!这是最关键的地方,也是产生漏洞的地方!priocntl   系统调用加载内核模块的缺省路径是/kernel/sched和   /usr/kernel/sched(除非你在/etc/system文件中指定的其他   路径),而这两个路径及其中的文件都是只有root才有写权限   的,我们无法将自己的内核模块放到这两个目录中,但是!   priocntl居然支持"../"!!!改写的代码如下:   ......   pcinfo_t pcinfo;   strcpy(pcinfo.pc_clname, "../../tmp/gsu");   if(priocntl(0,0,PC_GETCID,(caddr_t)&pcinfo)==-1)   printf("error = d!\n",errno);   else   printf("OK!\n");   ......   然后编写一个自己的内核模块gsu,并放到/tmp目录下(/tmp目   录对我们是有写权限的)。OK!Solaris8将gsu加载到内核了!!   这里还有一个小问题,就是如果这个内核模块成功加载了,   那么Solaris8将使用这个内核模块,那就不知道会发生什么了。   可是我们的目的不是要加载这个内核模块,我们只需要我们的   代码运行在核心态就可以了,可以编写模块代码如下:   #include   #include   _init()   {   /* 在这里加入我们需要的代码 */   return -1;   }   _info(strUCt modinfo *modinfop)   {   return -1;   }   在函数_init中返回-1,表示加载模块失败,但没关系,我们   的代码已经运行了。     可以利用了上述功能将一个文件的所有者修改为root。而   这个文件恰恰拥有可执行和setuid标志......   其实,我们使用上述功能修改文件所有者,已经是"大才   小用"了,利用它我们可以实现隐藏文件,隐藏进程,截获系统   调用等等一切可以想到的功能。     那么,我们如何防止这种黑客行为呢?   屏蔽priocntl系统调用?(怎么做能实现?)   取消所有用户的执行程序权限?(#¥#¥#¥)   我们还是盼望SUN公司尽早推出对应这个漏洞的patch吧!
[1] [2] 下一页 

(出处:http://www.sheup.com)


上一页 [1] [2]