NFsec Logo

Ukryty mechanizm eskalacji uprawnień za pomocą różnych formatów binarnych

Napisał: Patryk Krawaczyński

04/11/2025 (4 tygodnie temu) w Bezpieczeństwo, Pen Test Możliwość komentowania Ukryty mechanizm eskalacji uprawnień za pomocą różnych formatów binarnych została wyłączona

R

óżne formaty binarne (ang. Miscellaneous Binary Format) to mechanizm jądra Linuksa, który umożliwia systemowi rozpoznawanie i uruchamianie dowolnych formatów plików wykonywalnych za pomocą określonych programów w przestrzeni użytkownika, takich jak: interpretery, emulatory lub maszyny wirtualne. Głównym celem BINFMT_MISC jest rozszerzenie zdolności jądra do interpretowania, jak należy uruchomić dany plik, który nie jest natywnym formatem ELF (ang. Executable and Linkable Format) Linuksa. Użytkownik (z uprawnieniami administratora) może zarejestrować nowy format binarny w określonej ścieżce wirtualnego systemu plików procfs. Rejestracja polega na zdefiniowaniu kryteriów dopasowania plików, które mogą opierać się na: magicznych bajtach (ang. magic bytes) – sekwencji bajtów na początku pliku, które są charakterystyczne dla danego formatu; rozszerzeniu nazwy pliku – na przykład: .py, .sh, .pl itd. W ten sposób użytkownik może po prostu wpisać nazwę pliku, np. skrypt.py, a jądro automatycznie rozpozna jego format i przekaże go do odpowiedniego interpretera, tak jakby był natywnym plikiem wykonywalnym Linuksa (a skrypt nie musi nawet posiadać wewnątrz siebie definicji shebang).
[ czytaj całość… ]

Keysniffer (keylogger) jako moduł do jądra Linuksa

Napisał: Patryk Krawaczyński

22/05/2016 w Bezpieczeństwo Możliwość komentowania Keysniffer (keylogger) jako moduł do jądra Linuksa została wyłączona

A

run Prakash Jana napisał moduł do jądra Linuksa, który przechwytuje naciśnięcia klawiszy na klawiaturze. Współpracuje z klawiaturami o układzie US (i zgodnych z nimi komputerami przenośnymi). Przyciśnięte klawisze są zapisywane w przestrzeni systemu plików pomagającym w debugowaniu innych systemów plików – debugfs tak długo dopóki moduł pozostaje załadowany w systemie.
[ czytaj całość… ]

Żegnaj OverlayFS

Napisał: Patryk Krawaczyński

26/02/2016 w Bezpieczeństwo Możliwość komentowania Żegnaj OverlayFS została wyłączona

N

a razie czas pożegnać się z systemem plików overlayfs dostępnym w jądrze Linux od wersji 3.18. Ostatnio ponownie pojawiły się kolejne błędy bezpieczeństwa w tym module. Jest to ostatnio jeden z najczęstszych składników wchodzących w skład możliwości eksploatacji bezpieczeństwa jądra. Skoro w systemie Ubuntu jest tylko modułem do załadowania, a na systemie nie uruchamiane są żadne kontenery – można go prosto wyłączyć tworząc plik /etc/modprobe.d/blacklist-ofs.conf:

# Overlayfs security issues
blacklist overlayfs
install overlayfs /bin/false

Ewidetnie widać, że projekt jest na razie zbyt młody pod względem kodu, aby mógł zostać z powodzeniem stosowany w systemach produkcyjnych.

Twitter @nfsec_pl
Dołącz do NFsociety
RSS via e-mail