Solaris8模块加载严重系统漏洞

　　Solaris8模块加载严重系统漏洞 （该漏洞不依赖任何其他的setuid程序） 侯杰（jerryhj@yeah.net) 最近，，我在Solaris8上研究内核模块问题时，意外发现， Solaris8在执行内核模块加载过程中，存在严重系统漏洞。 作为结果，任何普通用户都将可以拥有root权限。我们知道 Solaris上出现了很多系统漏洞，他们中的很多是缓冲区溢出 漏洞，利用这种类型的漏洞必须要求含有该漏洞的可执行文件 具有setuid标志。而大多数有经验的管理员已经将这些文件 的setuid标志去掉了。我下面介绍的方法不依赖任何其他的 setuid程序，就是说，你有执行程序的权利，你就是root了！ 先让我们了解一下内核模块的基本知识，现代*作系统 大多拥有两种工作状态：核心态和用户态。我们使用的一般 应用程序工作在用户态，而内核模块和最基本的*作系统核 心一同工作在核心态。 为什么不在*作系统核心中实现所有功能，而要使用内 核模块呢？因为随着软件技术的向前发展，*作系统核心需 要支持的功能越来越多，体积也越来越大，如果在*作系统 核心中实现所有功能我们就将拥有一个庞大而缓慢的*作系 统内核了。 内核模块提供给我们一个较好的解决方案：在*作系统 启动时，仅加载最核心的部分，随着使用的应用程序需要， 再由*作系统动态的将相关的内核模块加载到核心态，不用 的时候就可以将这些模块卸载出内存。这样我们的内核就可 以即功能强大，又小巧快捷了。 现在步入正题，我们知道黑客们总是将获得root权限作 为目的，其实如果你可以在核心态运行你的程序，你一样可 以获得一般账号没有的权限，甚至比root权限更高级的权限。 因为*作系统只在用户态对用户权限进行限制。换句话说， 就是如果你可以在核心态运行你的程序，那么你就可以为所 欲为了。所以一般*作系统都只准许root账号来加载这种可 以运行在核心态的内核模块，Solaris8也不例外 （modload命令）。 但是在Solaris8上还有一些其他的命令（或系统调用）， 可以最终导致系统加载内核模块，这些命令中的一些不需要 root账号。当然对于那些总是加载固定内核模块的命令，他 们也是安全的。那么有没有不需要root账号而又可以指定加 载某个内核模块的命令呢？ 有！priocntl系统调用就是一个。priocntl是和进程切 换相关的一条系统调用，当他的第三个参数是PC_GETCID时， 他会加载在第四个参数中指定的内核模块。例： …… pcinfo_tpcinfo; strcpy(pcinfo.pc_clname, “RT”); if(priocntl(0,0,PC_GETCID,(caddr_t)&pcinfo)==-1) printf(“error = d!\n”,errno); else printf(“OK!\n”); …… 编译并运行他，然后利用命令”modinfo | grep RT”我们会发 现RT内核模块被Solaris8加载了。 好！这是最关键的地方，也是产生漏洞的地方！priocntl 系统调用加载内核模块的缺省路径是/kernel/sched和 /usr/kernel/sched（除非你在/etc/system文件中指定的其他 路径），而这两个路径及其中的文件都是只有root才有写权限 的，我们无法将自己的内核模块放到这两个目录中，但是！ priocntl居然支持”../”！！！改写的代码如下： …… pcinfo_tpcinfo; strcpy(pcinfo.pc_clname, “../../tmp/gsu”); if(priocntl(0,0,PC_GETCID,(caddr_t)&pcinfo)==-1) printf(“error = d!\n”,errno); else printf(“OK!\n”); …… 然后编写一个自己的内核模块gsu,并放到/tmp目录下（/tmp目 录对我们是有写权限的）。OK！Solaris8将gsu加载到内核了！！ 这里还有一个小问题，就是如果这个内核模块成功加载了， 那么Solaris8将使用这个内核模块，那就不知道会发生什么了。 可是我们的目的不是要加载这个内核模块，我们只需要我们的 代码运行在核心态就可以了，可以编写模块代码如下： #include #include _init() { /* 在这里加入我们需要的代码 */ return -1; } _info(struct modinfo *modinfop) { return -1; } 在函数_init中返回-1，表示加载模块失败，但没关系，我们 的代码已经运行了。 可以利用了上述功能将一个文件的所有者修改为root。而 这个文件恰恰拥有可执行和setuid标志…… 其实，我们使用上述功能修改文件所有者，已经是”大才 小用”了,利用它我们可以实现隐藏文件，隐藏进程，截获系统 调用等等一切可以想到的功能。 那么，我们如何防止这种黑客行为呢？ 屏蔽priocntl系统调用？（怎么做能实现？） 取消所有用户的执行程序权限？（#￥#￥#￥） 我们还是盼望SUN公司尽早推出对应这个漏洞的patch吧！ 上述漏洞，已通知Sun Microsystems. （转载请注明作者） 警 告 以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。 使用者风险自负！ 代码下载~jerryhj/Gsu.zip ;(18K) （该网站连接不稳定，请多试几遍） ========================================================= 测试成功（转载注）。 你曾经说，你曾经说。走在爱的旅途，我们的脚步多么轻松……