際際滷

徭失�B初
}?? 巌樋來好�弔了伃�
}?? ＄＄寄僥の云輝にあった伽い三
}??

兆念�idkqh7
�U�s�ニ�`トしてたら寄僥へ
��T�バイオインフォマティクス
箸龍�プログラミングと盾裂

}?? �v�xで慌喘のパソコンを聞っていた
}?? 隠便弐�sの�v�Sで慧崔され�Aける巌樋

來があった
}?? $apt-get install ＄＄が聞いたかった。
}?? 縮娩に�S辛だけはもらえた
☆パソコンの秘れ紋えに育い、バグはFixさ
れています

＄＄寄僥の云輝にあった伽い三

セキュリティホ�`ルを旋喘して
云栖ならばありえない�嘛�
をさせるコ�`ドのこと。

　　これらはセキュリティホ�`ルの�編^コ�`ドとしてアプ
リやソ�`スコ�`ドの侘で匯違に塘下されている。

ただのバグだから
仝よく蛍からないけどアプリが�崙�K阻する�々
ときには揖じ圻咀によるときも´´

仝サ�`バ�`のル�`トとられた��々

セキュリティホ�`ルを旋喘した好��
}?? バッファオ�`バ�`フロ�`好�庁┘丱奪侫，離丱娃�
}?? フォ�`マット猟忖双好�庁��修離丱娃�
}?? ダングリングポインタ好�庁┘櫂ぅ鵐燭離丱娃�

モニタリングによる好��
：?? スニッフィング�パケットキャプチャリング�
：?? キ�`ロガ�`�キ�`ロギング�

CVE-2009-2692
　　The Linux kernel 2.6.0 through 2.6.30.4, and
2.4.4 through 2.4.37.4, does not initialize all
function pointers for socket operations in
proto_ops structures, which allows local users to
trigger a NULL pointer dereference and gain
privileges by using mmap to map page zero,
placing arbitrary code on this page, and then
invoking an unavailable operation, as
demonstrated by the sendpage operation
(sock_sendpage function) on a PF_PPPOX socket.
}??

proto_ops��夛悶�プロセス揖平で宥佚を佩うための
��夛悶�に�v方ポインタが贋壓するんだけど、ある圭
隈でアクセスするとポインタを兜豚晒せずに�NULLポ
インタ�聞える�デリファレンス�らしいよ。
　そこから mmap()�v方でメモリの�I囃を函って�プロ
グラムの��zめる�I囃をメモリ貧に�_隠�その嶄に
やばいコ�`ドを��rootとられちゃうよ。
NULLポインタの�_�Jもしないクソ勸隻は
sock_sendpage�v方です。云輝にありがとうござい
ました。

struct
roto_
p
ops

{

int

f iy;
am l

struct
odul
m
e

*ow ner;

int

( ease)
*rel

(
struct
ocket
sock)

s
*
;

int

( nd)
*bi

(struct
ocket
sock,
s
*

struct
ockaddr
m yaddr,
s
*

int
ockaddr_en)

s
l ;

int

(
*connect)

(
struct
ocket
sock,
s
*

struct
ockaddr
vaddr,
s
*

int
ockaddr_en,int
l ;
s
l
fags)

int

(
*socketpai (struct
ocket
sock1,
r)
s
*

struct
ocket
sock2)

s
*
;

int

(
*accept)

(struct
ocket
sock,
s
*

struct
ocket
new sock,int
l ;
s
*

fags)

..
.

}

;

}?? rootを函るってどういうこと�

}?? NULLポインタデリファレンスでどうなるの�

#include <unistd.h>
#include <stdlib.h>

int main(void)
{
setuid(0);
system("/bin/sh");

//ファイル侭嗤宀の�慙泙妊灰泪鵐匹�g佩
//シェルの柵び竃し

return 0;
}
System()はシステム?
コ�`ルであるexecve()
のWrapper�v方

ファイル侭嗤宀の�慙泙妊廛蹈哀薀爐�g佩する�C嬬。

聞い圭
�chmod ４711 hogehoge

user s-bit(4000) が羨っているコマンドはそのファ
イル侭嗤宀の�慙泙�g佩 (setuid) される。
★侭嗤宀をrootにすればrootの�慙泙�g佩できる�
噸宥SetUIDは匯違ユ�`ザ�`に匯�r議に蒙�悗鰉�
えるために聞う麗。

}??
}??
}??

Linux のプロセスは、task ��夛悶で燕�Fされている
task ��夛悶にはプロセスが聞喘するさまざまな秤�鵑�△�
creｄ��夛悶はuid、gid、groups 吉の�Y鯉秤�鵑魃蹐�

struct
cred
{

atom i
c_t

usage;

ui
d_t

ui

/*
realU I
of
the
task
*/

d;

D

gi
d_t

gi

/*
realG I
of
the
task
*/

d;

D

ui
d_t

sui

/*
saved
U I
of
the
task
*/

d;
D

gi
d_t

sgi

/*
saved
G I
of
the
task
*/

d;
D

ui
d_t

eui

/*
effecti U I
of
the
task
*/

d;
ve
D

gi
d_t

egi

/*
effecti G I
of
the
task
*/

d;
ve
D
..
.

struct
user_struct
*user;

/*
realuser
I
subscri on
*/

D
pti

struct
group_i *group_i

/*
suppl entary
groups
for
eui
nfo

nfo;
em
d/fsgi */

d

..
.

}

;

念戻�侭嗤宀がrootのとき、 SetUID(0)を�g佩

euid(effective uid) = 0(root)
つまり、 SetUID(0)のやっていることは、徭プロセス
creｄ��夛悶のeuid何蛍を��Qえているだけ。
Credを荷れるならば�慙泙�o隈仇｡

return?sock->ops->sendpage(sock, page, offset, size, flags);

#include <unistd.h>

#include <stdlib.h>

int main(void)
{

setuid(0);
//ファイル侭嗤宀の�慙泙妊灰泪鵐匹�g佩
system("/bin/sh"); //シェルの柵び竃し

return 0;

}

NULLポインタデリファレンスをうまく聞うと、貧�コ�`ドが�g佩できる��

sock_sendpage()�v方は

return?sock->ops->sendpage(sock, page,

offset, size, flags);

といきなり��い討い拭�

if?(unlikely(!sock->ops->sendpage))
?return?-EINVAL;
このようにすれば�v方ポインタの兜豚晒はチェックされてい
たはず。

NULLポインタ�どのアドレスも峺していないポインタ
��gに冱うと、兜豚晒していないポインタ。
((void *)0)　´NULLポインタ協方�協�x�
これをデリファレンスすると´´
*((void*)0)　?　*0
アドレスの0桑�､鰆原┐垢襪海箸砲覆�

‐デリファレンスとは／
}?? ポインタが峺し幣す坪否を誼ること
}?? �g俊歌孚?歌孚翌しとも�Uされる
}?? C冱�Zでいうところのコイツ★�

NULLポインタを喘いると0桑仇のアドレス坪否
にアクセス辛嬬となる
�アクセス�`郡などで�崙�K阻する圻咀にも�

バグの圻咀�

1.?
2.?

mmap�v方を聞って、 0 桑仇に�慙�N鯉コ�`ド
を碧�zんでおく。
まちがって NULL ポインタを�v方ポインタとして
デリファレンスすると、その�慙�N鯉コ�`ドが�g佩
される。

砿尖宀�慙泙妊瓮轡Ε湫�B�

mmap�v方を喘いて仟�アドレス腎�gを恬撹
◎
0 桑仇に�慙�N鯉コ�`ドを碧�zんでおく。

◎
ヌルポインタ�`でガッ�
◎
蒙�悒廛蹈哀薀爐�薀轡Д襪鯑��

�g廾するのは冱うほど
��gじゃない�

ソ�`スコ�`ドが�i盾できなくても噸宥です。
Exploitのソ�`スコ�`ドはかなり蒙歩�詰レイヤ�`荷恬�
な何�に秘るので、兜�ではまず尖盾できない。

}??

AndroidOSのrootハックでも揖じ巌樋來が聞われた

☆�Rり卦しになりますが、パソコンの秘れ紋えに
育いバグはFixされています

函り糊えず
>sudo apt-get install sl
}??

? ? ? ? ? ?==== ? ? ? ? ? ? ? ?________ ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?___________ ?
? ?_D ?_| ? ?|_______/ ? ? ? ? ? ? ? ?__I_I_____===__|_________| ?
? ? ?|(_)--- ? ?| ? ? ?H________/ ?| ? ? ?| ? ? ? ? ? ? ? ?=|___ ?___| ? ? ? ? ? ?_________________ ? ?
? ? ?/ ? ? ? ? ?| ? ?| ? ? ?H ? ?| ? ?| ? ? ? ? ?| ? ? ?| ? ? ? ? ? ? ? ? ?||_| ?|_|| ? ? ? ? ?_| ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?_____A ?
? ?| ? ? ? ? ? ?| ? ?| ? ? ?H ? ?|__--------------------| ?[___] ?| ? ? ?=| ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?| ?
? ?| ?________|___H__/__|_____/[][]~_______| ? ? ? ? ? ? ?| ? ? ?-| ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?| ?
? ?|/ ?| ? ? ?|-----------I_____I ?[][] ?[] ? ?D ? ? ?|=======|____|________________________|_ ?
__/ ?=| ?o ?|=-~~ ? ?/~~ ? ?/~~ ? ?/~~ ?____Y___________|__|__________________________|_ ?
?|/-=|___|| ? ? ? ?|| ? ? ? ?|| ? ? ? ?|| ? ? ? ?|_____/~___/ ? ? ? ? ? ? ? ? ? ?|_D__D__D_| ? ?|_D__D__D_| ?
? ?_/ ? ? ? ? ? ?__/ ? ?__/ ? ?__/ ? ?__/ ? ? ? ? ? ?_/ ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?_/ ? ? ?_/ ? ? ? ?_/ ? ? ?_/ ?

A. ぬるぽ★ガッ�

際際滷

＄＄寄僥の云輝にあった伽い三

More Related Content

＄＄寄僥の云輝にあった伽い三