Lokální útoky na operační systém linuxového typu (diskuse)

Co máte pořád všichni s tím /etc/passwd, to všichni pořád dokola opisují z nějaké 15 let staré knihy nebo je to nějaká epidemie? Zkusil si autor opravdu na nějaké (aspoň trochu) současné distribuci přidat do /etc/passwd řádek, který uvádí, a poté se přihlásit jako uživatel r00t bez hesla? A fungovalo mu to?

4.12.2007 11:40 satanatas | skóre: 14 | blog: vše co můžete s klidem hodit za hlavu ze světa linuxu i jiných světů | Graveyard
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

no vy ste tomu teda dal. teď už nic nebrání tomu, aby kdejaký bfu opsalo pár řádek do pc a dokázalo tak bez problému hackovat cokoliv. :*}

"Smoke me a kipper, I'll be back for breakfast!" - Ace Rimmer || gentoo infected. || the city of kremathorium || ZLO

4.12.2007 12:16 pele | skóre: 28 | blog: Bleabr | UH
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

Zkusil, funguje:)

Pravda má jednu velkou výhodu: člověk si nemusí pamatovat, co řekl.

4.12.2007 12:22 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

A to byla nějaká normální distribuce nebo jste nejdřív provedl řadu opatření, aby to mělo šanci fungovat?

4.12.2007 12:35 Mortal | skóre: 26 | blog: mortals_log
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

normalni gentoo bez zadnych specialnich uprav

V pekle jsou samé diskety a ďábel je velká disketová mechanika

4.12.2007 12:56 pele | skóre: 28 | blog: Bleabr | UH
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

+1 sarge

Pravda má jednu velkou výhodu: člověk si nemusí pamatovat, co řekl.

4.12.2007 14:14 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

Tak to by mne docela zajímalo, kde udělali soudruzi z Gentoo chybu. Když tu položku, kde kdysi dávno býval hash hesla, nenecháte prázdnou, ale zkopírujete tam hash nějakého známého hesla, půjde se s tímto heslem přihlásit jako r00t? Používá ta distribuce standardní pam_unix.so nebo nějakou specialitu?

4.12.2007 14:29 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

Je tam pam_unix.so, /etc/pam.d/system-auth vypadá takto:

#%PAM-1.0

auth       required     pam_env.so
auth       sufficient   pam_unix.so try_first_pass likeauth nullok
auth       required     pam_deny.so

account    required     pam_unix.so

password   required     pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 try_first_pass retry=3
password   sufficient   pam_unix.so try_first_pass use_authtok nullok md5 shadow
password   required     pam_deny.so

session    required     pam_limits.so
session    required     pam_unix.so

Standardní rootovský záznam v /etc/passwd je potom takovýto: root:x:0:0:root:/root:/bin/bash

V každém případě - není to jedno? Pokud by někdo zvládnul zapsat do /etc/passwd, zvládne i zápis do /etc/shadow, ne?

4.12.2007 15:48 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

V každém případě - není to jedno? Pokud by někdo zvládnul zapsat do /etc/passwd, zvládne i zápis do /etc/shadow, ne?

Tak to vůbec není tak jisté. Třeba proto, že shadow má svůj SELinux kontext.

4.12.2007 15:53 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

V tom případě nechť někdo vyzkouší, jestli to funguje i v rámci SELinuxu. Protože pochybuju, že by ho někdo z nás, kdo to zkoušel, měl zapnutý.

V každém případě to, soudě podle příspěvku peleho, dělá i Debian, takže asi půjde o obecnější záležitost.

4.12.2007 17:28 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

Sarge nemam nikde ale v Etch to urcite nejde (skusal som len prazdne heslo). Slackware 10.2 ide.

5.12.2007 00:47 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

Pro zajímavost jsem teď zkusil pod VMware nainstalovat čistý aktuální Arch Linux a přihlášení funguje jak s prázdným heslem, tak s kopií hashe z jiného účtu...

4.12.2007 14:35 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

Abych nezapomněl - zkopírovaný hash hesla funguje.

4.12.2007 18:08 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

Co máte pořád všichni s tím /etc/passwd, to všichni pořád dokola opisují z nějaké 15 let staré knihy nebo je to nějaká epidemie?

Co je na /etc/passwd, špatného nebo snad 15 let starého?

Zkusil si autor opravdu na nějaké (aspoň trochu) současné distribuci přidat do /etc/passwd řádek, který uvádí, a poté se přihlásit jako uživatel r00t bez hesla? A fungovalo mu to?

A proč by to nemělo fungovat? Dokonce znam distribuci ve které byla hesla uvedena v tomto souboru.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

4.12.2007 23:13 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

Trik je v tom, že na aspoň trochu rozumně nastavené distribuci to nemá nejmenší šanci fungovat. Už neexistence odpovídajícího řádku v /etc/shadow by měla být pro pam_unix.so dostatečným důvodem, aby přihlášení zamítl. Rozhodně by neměl umožnit přihlášení bez hesla na základě toho, co je (nebo není) ve druhé položce v /etc/passwd. A to nemluvím o tom, že mnohé distribuce vám přihlášení bez hesla neumožní ani v případě, že bude prázdná druhá položka v /etc/shadow. Pokud na nějaké distribuce uvedená finta projde v té podobě, v jaké je popsaná v článku, je to podle mne zralé na bugreport.

12.12.2007 16:44 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

Coz nic nemeni na moznosti zmenit /etc/shadow.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

12.12.2007 18:09 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

A přesně o tom tu od začátku mluvím. Proč autor nenapíše "lze změnit obsah libovolného souboru" (to mi zní dostatečně hrozivě) nebo proč to nedemonstruje na /etc/shadow? Nebo proč, když už si vybere /etc/passwd, raději nepoužije jako ukázku něco, co by opravdu fungovalo? Protože to buď všichni opisují už patnáct let jeden od druhého nebo jsou posedlí tím tajemně zavádějícím názvem. Těžko říct, co je horší.

12.12.2007 19:44 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

Protože to minimálně v několika distribucích (zkoušel jsem Gentoo a Arch, podle příspěvku výše se to týká i Debianu Sarge) funguje i dnes?

12.12.2007 20:30 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

A nebylo by lepší použít jako ukázku něco, co funguje nejen v distribucích, kde někdo něco zanedbal?

12.12.2007 20:57 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

O tom se hádat nechci. Jen jsem chtěl říct, že pokud to autor zkoušel a fungovalo mu to, těžko mu můžeme vyčítat, že ho nenapadlo, že by to mohlo být v jiných distribucích jinak.

Kdyby Intel při návrhu stránkování pro 386 měl trochu prozřetelnosti a zavedl u stránek atribut zakazující spouštění kódu, mohli jsme si tyto problémy ušetřit. No co, snad u všech 64bit x86 procesorů už tento atribut je a není problém ho použít. Tak snad do budoucna budou tyto typy útolů podstatně složitější.

5.12.2007 17:53 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: NX bit

Intel holt při návrhu 386 asi ještě pořád naivně předpokládal, že se autoři operačních systémů budou chovat rozumně a nebudou plácat instrukční a zásobníkové segmenty přes sebe…

5.12.2007 19:39 ...Jimmy
Rozbalit Rozbalit vše Re: NX bit

Intelu nezbyl ten posledni bit pro oznaceni varianty +r+w-x, cetl jsem o tom v DPMI specifikaci

5.12.2007 20:15 Rob
Rozbalit Rozbalit vše Re: NX bit

A to se jeste dnes/v dobe 386 procesoru dela? Neco jsem o tom cetl v knize z roku 1984, kde se tato "technika", pouzivala na PDP z duvodu usetreni pameti... :). Brr..

5.12.2007 20:59 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: NX bit

Kdyby se to nedělalo, jak byste chtěl spouštět kód uložený na zásobníku?

5.12.2007 22:44 Rob
Rozbalit Rozbalit vše Re: NX bit

aj. omlouvam se. pochopil jsem to trosku jinak

6.12.2007 10:26 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: NX bit

To je ovšem celý problém. Současný stav x86_32 takováto zvěrstva umožňuje, ale již neumožňuje je výběrově zakázat.

Kdo jiný potřebuje měnit kód za běhu než multimediální a jinak výkonově vyšinutí jedinci, kteří jsou pro pár cyklů ochotni obětovat cokoliv?

6.12.2007 16:57 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: NX bit

Asi jsem se vyjádřil trochu nešťastně. Možnost spouštění kódu uloženého na zásobníku (nebo v datovém segmentu) mi osobně nijak nechybí a samomodifikujícím se kódem jsem se ukájel naposledy na Spectru. Takže jsem asi měl napsat spíš "Kdyby se to nedělalo, nemohl by tento typ útoku fungovat, protože kód na zásobníku by spustit nešlo."

7.12.2007 09:23 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: NX bit

Nepoužívá se možnost spouštět kód uložený na zásobníku třeba pro debugery, profilery a podobné nástroje?

7.12.2007 21:16 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: NX bit

Pro ty by mělo stačit překrýt instrukční segment datovým. A navíc až když člověk chce ladit nebo profilovat. K překrývání zásobníkového a instrukčního segmentu při normálním běhu produkční aplikace není žádný důvod - kromě pohodlnosti autorů operačních systémů.

no rad jsem si to zopakoval i kdyz je mi jasne, ze tohle uz zacina byt docela dost z mody :)) no ale snad to alespon primeje soucasne zacinajici programatory vic myslet nad kodem..... i sam autor by se mel asi zamyslet nad par vecma v tomhle clanku.... IMHO kdyz mame deklaraci promenne:

char buffer[20];
a nakopirujeme do ni vic znaku, nez je schopna pojmout, tak v ni nebude 20 znaku (bajtu), ale 21, protoze se to indexuje od nuly... Tudiz tohle:

Ve funkci byl vytvořen buffer o velikosti 20 znaků, to je námi očekávaná hodnota. Do tohoto bufferu však vložíme 128 znaků. Z důvodu přetečení paměti program selže.

...neni pravda.

A tohle:

Když se funkce pokusí zapsat 128 bajtů dat do 20 bajtového bufferu, dojde k zapsání 20 bajtů do bufferu a zbylých 108 bajtů přepíše návratovou adresu, ukazatel na rámec a argument funkce.

...je zavadejici, protoze 20bajtovy buffer se definuje jako char buffer[19];.

Nechci byt jedovaty, ale proste mi to prijde u takovehoto clanku trosku trapne. A uz vubec se mi nechce verit ze to bylo v nejake knizce, tak trosku vaham, jestli nahodou neplacam blbosti... precijen jsem spis na ten Python, PHP a BASH ;)

7.12.2007 02:26 Jirka | skóre: 36
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

Jste si tím opravdu jistý?

char buffer[20];

Vytvoří pole 20 charů, čili 20 B. To, že se indexuje od nuly znamená, že nejvyšší index tohoto pole bude 19. Prvků v něm ale bude 20.

20 B bude pořád 20 B. Možná Vám někde řekli, že pokud do pole char pole[20] můžete dát jen 19 hodnot typu char, čili 1 B hodnot a do posledního znak '\0', kdybyste to chtěl vypsat knihovní funkcí jako řetězec.

7.12.2007 10:09 patok
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

aha, tak to se omlouvam... ja jsem to samozrejme vyzkousel, ale nejakym zahadnym zpusobem mi kompilator do toho buffer[20] vzdycky nakopiroval o 1 znak vic.... tzn. 21 znaku. no vlastne ono to neni tak zahadne... dokud to neprepise tu navratovou hodnotu, tak se to vicemene tvari jako by nic. ted jsem to pro jistotu zkusil znovu a trosku jinak a vazne musim uznat, ze uz jsem mlel k ranu blbosti. ale v zakladu jsem si spletl tedy princip indexovani pole s principem deklarace.
a ano... o tom ukoncovanim retezcu znakem \0 vim, ale neni to primo to co me zmatlo i kdyz mozna to k tomu take prizpelo. :-)

10.12.2007 11:23 IK
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

Programatorovi bylo sdeleno, ze jeho apartma je v 6-tem patre. Nastoupil do vytahu, stiskl seste tlacitko od spodu s napisem 5, prijel , vystoupil, nemohl ani za nic nalezt svuj pokoj. Ohromne se pozdeji divil, jaktoze ta patra nezacinaji od nuly. :-D

10.12.2007 12:24 bn1 | skóre: 2
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

jako bych to už někdy zažil :-D

..::kliknutím změníte text v patičce::..

10.12.2007 13:19 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

Ale patra jsou číslována od nuly – přízemí (= 1. podlaží), 1. patro (= 2. podlaží), 2. patro (= 3. podlaží) atd. Z toho plyne, že v hotelu byl mezanin ;-)

10.12.2007 16:21 Jirka | skóre: 36
Rozbalit Rozbalit vše Re: Lokální útoky na operační systém linuxového typu

Nebo ten prográmator byl Pascalista. :-)