Solaris8模块加载严重系统漏洞
(该漏洞不依赖任何其他的setuid程式)
最近,我在Solaris8上研究内核模块问题时,意外发现,
Solaris8在执行内核模块加载过程中,存在严重系统漏洞。
作为结果,任何普通用户都将能够拥有root权限。我们知道
Solaris上出现了很多系统漏洞,他们中的很多是缓冲区溢出
漏洞,利用这种类型的漏洞必须需要含有该漏洞的可执行文档
具备setuid标志。而大多数有经验的管理员已将这些文档
的setuid标志去掉了。我下面介绍的方法不依赖任何其他的
setuid程式,就是说,您有执行程式的权利,您就是root了!
先让我们了解一下内核模块的基本知识,现代操作系统
大多拥有两种工作状态:核心态和用户态。我们使用的一般
应用程式工作在用户态,而内核模块和最基本的操作系统核
心一同工作在核心态。
为什么不在操作系统核心中实现任何功能,而要使用内
核模块呢?因为随着软件技术的向前发展,操作系统核心需
要支持的功能越来越多,体积也越来越大,假如在操作系统
核心中实现任何功能我们就将拥有一个庞大而缓慢的操作系
统内核了。
内核模块提供给我们一个较好的解决方案:在操作系统
启动时,仅加载最核心的部分,随着使用的应用程式需要,
再由操作系统动态的将相关的内核模块加载到核心态,不用
的时候就能够将这些模块卸载出内存。这样我们的内核就可
以即功能强大,又小巧快捷了。
现在步入正题,我们知道黑客们总是将获得root权限作
为目的,其实假如您能够在核心态运行您的程式,您相同可
以获得一般账号没有的权限,甚至比root权限更高级的权限。
因为操作系统只在用户态对用户权限进行限制。换句话说,
就是假如您能够在核心态运行您的程式,那么您就能够为所
欲为了。所以一般操作系统都只准许root账号来加载这种可
以运行在核心态的内核模块,Solaris8也不例外
(modload命令)。
但是在Solaris8上更有一些其他的命令(或系统调用),
能够最终导致系统加载内核模块,这些命令中的一些无需
root账号。当然对于那些总是加载固定内核模块的命令,他
们也是安全的。那么有没有无需root账号而又能够指定加
载某个内核模块的命令呢?
有!priocntl系统调用就是个。priocntl是和进程切
换相关的一条系统调用,当他的第三个参数是PC_GETCID时,
他会加载在第四个参数中指定的内核模块。例:
......
pcinfo_t pcinfo;
strcpy(pcinfo.pc_clname, "RT");
if(priocntl(0,0,PC_GETCID,(caddr_t)&pcinfo)==-1)
printf("error = d!\n",errno);
else
printf("OK!\n");
......
编译并运行他,然后利用命令"modinfo | grep RT"我们会发
现RT内核模块被Solaris8加载了。
好!这是最关键的地方,也是产生漏洞的地方!priocntl
系统调用加载内核模块的缺省路径是/kernel/sched和
/usr/kernel/sched(除非您在/etc/system文档中指定的其他
路径),而这两个路径及其中的文档都是只有root才有写权限
的,我们无法将自己的内核模块放到这两个目录中,但是!
priocntl居然支持"../"!!!改写的代码如下:
......
pcinfo_t pcinfo;
strcpy(pcinfo.pc_clname, "../../tmp/gsu");
if(priocntl(0,0,PC_GETCID,(caddr_t)&pcinfo)==-1)
printf("error = d!\n",errno);
else
printf("OK!\n");
......
然后编写一个自己的内核模块gsu,并放到/tmp目录下(/tmp目
录对我们是有写权限的)。OK!Solaris8将gsu加载到内核了!!
这里更有一个小问题,就是假如这个内核模块成功加载了,
那么Solaris8将使用这个内核模块,那就不知道会发生什么了。
可是我们的目的不是要加载这个内核模块,我们只需要我们的
代码运行在核心态就能够了,能够编写模块代码如下:
#include <sys/modctl.h>
#include <sys/sunddi.h>
_init()
{
/* 在这里加入我们需要的代码 */
return -1;
}
_info(struct modinfo *modinfop)
{
return -1;
}
在函数_init中返回-1,表示加载模块失败,但没关系,我们
的代码已运行了。
能够利用了上述功能将一个文档的任何者修改为root。而
这个文档恰恰拥有可执行和setuid标志......
其实,我们使用上述功能修改文档任何者,已是"大才
小用"了,利用他我们能够实现隐藏文档,隐藏进程,截获系统
调用等等一切能够想到的功能。
那么,我们如何防止这种黑客行为呢?
屏蔽priocntl系统调用?(怎么做能实现?)
取消任何用户的执行程式权限?(#¥#¥#¥)
我们还是盼望SUN公司尽早推出对应这个漏洞的patch吧!
上述漏洞,已通知Sun Microsystems.
(转载请注明作者)
警 告
以下程式(方法)可能带有攻击性,仅供安全研究和教学之用。
使用者风险自负!
代码下载:http://www.mycgiserver.com/~jerryhj/Gsu.zip (18K)
(该网站连接不稳定,请多试几遍)
[color=blue:c877244228][/color:c877244228]
