home *** CD-ROM | disk | FTP | other *** search
/ Power Hacker 2003 / Power_Hacker_2003.iso / Exploit and vulnerability / hoobie / sgi_html.txt < prev    next >
Encoding:
Text File  |  2001-11-06  |  3.2 KB  |  70 lines
  1.  
  2. I just discovered that I can gain access to any IRIX 6.3 (and probably 6.4)
  3. machine by making a cgi script emulating the .tdf files in /usr/sysadm.
  4. The principle is simple - you make the cgi script use a mime type
  5. similar to an .edf or .tdf file (application/x-sgi-exec or
  6. application/x-sgi-task), and make the file name contain spaces and
  7. look quite similar to SaAddUserTask.tdf (or even SaModifyMyPassword.tdf),
  8. with the only difference being it containing the arguments too.
  9. If writing a cgi script to do this is too awkward, you can do this hack
  10. by simply installing a different web server than Netscape and modify
  11. the file type.  Apache works fine.  Basically, you make the server
  12. give one of the application types described above, and instruct it
  13. to execute one of the *legal* commands in /usr/sysadm when someone
  14. connects, with arguments enough to make it lethal.  Then make a link
  15. to it (with the spaces in the link - %20 is a space in HTML) from
  16. another page.  Then you just wait for someone with an SGI to access that
  17. file.  Now, what I ask myself is:
  18. Is that *huge* security hole, which is much like ActiveX a deliberate
  19. thing from SGI, or didn't the people who made it know that SGI users
  20. could access web pages beyond the local trusted LAN?
  21. Was /usr/sysadm/* made by the same people who made the
  22. (now thankfully obsolete) objectserver?
  23.  
  24. To everyone with IRIX 6.3+:  To feel a BIT safer, open the "General
  25. Preferences" in Netscape, and change the actions for "x-sgi-task" and
  26. "x-sgi-exec" to "Unknown - prompt user".
  27. This means you won't be able to use some of the sysadm pages on the
  28. server at port 2077, but that's no big worry.  You can do everything
  29. from root anyhow, and the 2077 server is by default running with access
  30. allowed from the whole world with root access, so it's a security bug
  31. in itself.  So call do the above mods (preferably to the file
  32. /usr/local/lib/netscape/mailcap as well), then "chkconfig webface off",
  33. and even better, "chkconfig privileges off", and then call SGI and tell
  34. them what you think about their Mickey Mouse attitude towards security.
  35.  
  36. (It took me almost 40 minutes to hack root with a .tdf file.  I'm thick,
  37. so it took me a while to figure out how.  I'm sure someone else can do
  38. better.  To my knowledge, it does work for ANY 6.3+ client with a
  39. privileged user accessing a remote web page set up for hacking SGI's.)
  40.  
  41. I *do* hope that SGI takes this seriously, and issues a warning that
  42. people who are accessing the internet (or anything outside the trusted
  43. LAN) should NOT run webface or privileges.  Even if it means losing
  44. face for some SGI developers.
  45.  
  46.  
  47. Regards,
  48. --
  49.     Arthur Hagen
  50.     art@broomstick.com
  51.  
  52. ========================================================================
  53.  
  54.  
  55. Furthermore on the html/privileges exploit:
  56.  
  57. Because I think it unlikely there will be a fix to this any time soon,
  58. it would help if people running proxy servers set the servers up to
  59. filter these MIME types:
  60.  
  61. application/x-sgi-exec          exts=edf
  62. application/x-sgi-task          exts=tdf
  63.  
  64. and it probably wouldn't hurt to block the other application/x-sgi-
  65. mime types too:
  66.  
  67. type=application/x-sgi-catalog  exts=cdf
  68. type=application/x-sgi-glossary exts=gloss
  69. type=application/x-sgi-lpr      exts=sgi-lpr
  70.