存档

文章标签 ‘linux 入侵检测’

linux非交互环境下本地提权思路与反思 linux localroot exploit

2011年1月13日 5 条评论

在iptables限制非常严格的时候,无法走icmp udp tcp的bind shell或connect back shell,又需要本地提权,root了之后关闭iptables,看看能否绕过访问控制手段(当然了,如果别人是硬件的防火墙,下文解决不了问题)。在这一场景下,可以考虑参考下文的非交互式本地提权的方法,或许还有其他linux localroot exploit也能实现,实战出真知。

另外有些时候不一定非得root的,nobody,非交互也能做非常多的事。

作为防御一方,面对这种场景,我们是否得反思

1、防御手段要与被防御系统分离,即使成功root了,依然难以快速渗透

2、我们对localroot是否有足够的事前的免疫能力,事中的发现能力及事后的定损取证能力?

阅读全文…

检测sk13b suckit linux rootkit

2010年12月22日 评论已被关闭

看了下面几行,再看看chkrootkit和rkhunter的检测代码,就知道为啥默认安装的suckit sk这么好检测了。检测sk1.x其实还有其他的方法,可以检测隐藏进程,还可以利用sk13b的一些bug来做检测 :) sk13b里还有个好东西,那就是让人怀念的elfuck,经典的ELF加密程序。

顺便发个sk13b的下载地址。04年的东西现在还能用,真没想到,一个内核rootkit写成这样,让那些经常更新还不稳定的软件情何以堪啊。

http://www.xfocus.net/tools/200408/763.html

阅读全文…

Linux下静态编译的一个TIP

2010年3月28日 评论已被关闭

linux下静态编译好处很多,一来是可以跨发行版(debian redhat gentoo),跨版本,跨架构(x86 x64)运行程序,可以联想到一些邪恶的东西;二来是可以避免动态库被修改影响程序输出,后门检测工具一般最好可以静态编译。

在linux里静态编译一些东西的时候,ld会报找不到libgcc_s,但是我们发现/usr/lib/下有libgcc_s.so,搞了半天,最后用strace发现Y去找libgcc_s.a了。但是libgcc_s这玩意是在gcc里的,我把gcc代码抓回来一看,makefile太复杂了,赶紧放弃。立马放狗狂搜,发现可以用lingcc.a代替libgcc_s.a,做了个ln解决问题了。

另外在debian下做静态包还是相对方便的,apt-get source ooxx命令用起来相当爽,免去了找代码的麻烦。

Linux入侵防御经验一则

2010年2月10日 3 条评论

还是继续那个耐人寻味的64位+fc3+2.6.24内核提权,在折腾的过程中,发现这哥们的sysctl.conf里有这么几行

# prevent Linux Kernel ‘sock_sendpage()’ NULL Pointer Dereference Vulnerability
vm.mmap_min_addr = 4096

我在这边配置一个和他那边完全一样的环境,依然是可以顺利提权成功的,但是到了他那边,则返回mmap: Permission denied,不知道Y搞了啥,不倒腾了,春节后再见。

我不知道为什么会出现这个现象,但由此可见通过一些捷径修复安全漏洞或许有时候不一定稳妥。捷径作为短期的缓解方案是可以的,但是随着expliot技术的提高,出现其他牛X的exp能绕过这一防护也不是不可能的事。比如极光IE 0day,一开始是无法攻击WIN7 IE8用户的,但JIT的那个PAPER一出,同样也是可以搞定的。看图说话: