On Sun, Sep 12, 2004 at 10:13:34PM +1100, Dmitry Lebkov wrote:
>16:44 < dmi> первый ещё работает :-)
>16:46 < dmi> http://www.security.com.vn/details.php?ID=215
>16:46 < dmi> instant root#
>16:46 < dmi> даже на сизифе
>Оно дествительно работает ... :(
Если закомментировать в эксплоите кусок, выделяющий себе всю память,
получаем очень странный шелл:

wrar@wrars-comp ~ $ ./a.out
sh-2.05b# whoami
root
sh-2.05b# ls /boot
ls: /boot: Permission denied
sh-2.05b# id
uid=0(root) gid=0(root)
группы=6(disk),10(wheel),14(uucp),16(rpm),36(hashman),80(cdwriter),81(audio),111(wine),500(wrar),501(wrar_a),502(wrar_b),503(hashuser)

Т.е. обычный юзер wrar, но с uid=gid=0, и даже не состоящий в группе root.

Впрочем, всё понятно:

$ < /tmp/own.c
int getuid() { return 0; }
int geteuid() { return 0; }
int getgid() { return 0; }
int getegid() { return 0; }

В принципе, никакого эксплоита не надо, можно скомпилить прямо этот код и
запустить шелл с LD_PRELOAD точно так же, как в эксплоите. Еще что я не
понял: в char hellc0de[] в конце после нулевого символа стоит /bin/sh, так
оно обрезается при fprintf().

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

Опыт показывает, что это не так - большинство пользователей rpm не читали
Maximum RPM.
		-- ldv in devel@