NFsec Logo

Obchodzenie flagi montowania noexec za pomocą ddexec

Napisał: Patryk Krawaczyński

27/01/2025 (4 tygodnie temu) w Bezpieczeństwo Możliwość komentowania Obchodzenie flagi montowania noexec za pomocą ddexec została wyłączona

W

systemie Linux wszystko jest plikiem. W celu uruchomienia programu w tym systemie musi on istnieć jako plik i być dostępny w jakiś sposób przez hierarchię systemu plików (tak właśnie działa execve() wykonując program, do którego odnosi się ścieżka dostępu). Plik ten może znajdować się na dysku lub w pamięci (tmpfs), ale nadal potrzebujemy ścieżki do pliku. Dzięki temu bardzo łatwo jest kontrolować, co jest uruchamiane w systemie Linux i ułatwia to wykrywanie zagrożeń oraz narzędzi atakujących. Pomaga to też w nakładaniu opowiednich praw dostępu i polityk kontroli dostępu zapobiegając nieuprzywilejowanym użytkownikom umieszczać i wykonywać pliki gdziekolwiek. Jednak technika użyta w DDexec nie uruchamia nowego procesu w danej ścieżce, ale przejmuje już istniejący.
[ czytaj całość… ]

KASAN – odkrywa nową podatność w jądrze od 2.6 do 4.20

Napisał: Patryk Krawaczyński

20/02/2019 w Bezpieczeństwo Możliwość komentowania KASAN – odkrywa nową podatność w jądrze od 2.6 do 4.20 została wyłączona

K

ASAN (The Kernel Address Sanitizer) – wykrywający błędy pamięci dynamicznej w kodzie jądra Linuksa właśnie odkrył nową lukę typu: use-after-free (użycia po zwolnieniu pamięci), która pojawiła się od wczesnych wersji jądra Linux 2.6. KASAN (wraz z innymi środkami do sanityzacji) okazał się dość cenny w wykrywaniu różnych błędów w programowaniu zanim zostaną wykorzystane w rzeczywistym świecie. Tym razem padło na odkrycie: CVE-2019-8912. W kodzie podsystemu sieciowego sockfs wykrył podatność use-after-free, która może doprowadzić do wykonania dowolnego kodu (ang. arbitrary code execution). Problem został zgłoszony w zeszłym tygodniu przez inżyniera Huawei i wkrótce po tym został naprawiony. Wydanie jądra Linuksa w wersji 4.20.11 nie wydaje się jeszcze posiadać tej poprawki, ale wkrótce powinna pojawić się w różnych stabilnych / długoterminowych gałęziach.
[ czytaj całość… ]

Ewolucja Kodów Powłoki

Napisał: Patryk Krawaczyński

15/11/2009 w Magazyny Możliwość komentowania Ewolucja Kodów Powłoki została wyłączona

K

od powłoki jest fragmentem kodu maszynowego, który wykorzystuje się jako ładunek przy atakach bazujących na wykorzystaniu błędów softwarowych. Wykorzystywanie słabych punktów w rodzaju przepełnienia bufora przydzielonego na stosie lub stercie lub stringów formatujących wymagają kodu powłoki. Kod ten będzie wykonany jeśli proces wykorzystania luki się powiedzie.
[ czytaj całość… ]

Optymalizacja szelkodów w Linuksie

Napisał: Patryk Krawaczyński

20/08/2009 w Magazyny Możliwość komentowania Optymalizacja szelkodów w Linuksie została wyłączona

S

zelkod jest nieodłącznym elementem każdego eksploita. Podczas ataku zostaje wstrzyknięty do działającego programu i w kontekście tego programu wykonuje zadane operacje. Znajomość budowy i sposobu działania kodu powłoki, mimo że nie wymaga nadzwyczajnych umiejętności, nie jest jednak powszechna.
[ czytaj całość… ]

Odkrywanie przepełnień bufora

Napisał: Marcin Ulikowski

08/12/2005 w Bezpieczeństwo Możliwość komentowania Odkrywanie przepełnień bufora została wyłączona

(root@osiris ~)# uname -srmp
Linux 2.4.26 i586 Pentium_MMX
(root@osiris ~)# gcc --version
2.95.4

[ czytaj całość… ]

Twitter @nfsec_pl
Dołącz do NFsociety
RSS via e-mail