Chinaunix首页 | 论坛 | 博客
  • 博客访问: 10171070
  • 博文数量: 1669
  • 博客积分: 16831
  • 博客等级: 上将
  • 技术积分: 12594
  • 用 户 组: 普通用户
  • 注册时间: 2011-02-25 07:23
个人简介

柔中带刚,刚中带柔,淫荡中富含柔和,刚猛中荡漾风骚,无坚不摧,无孔不入!

文章分类

全部博文(1669)

文章存档

2023年(4)

2022年(1)

2021年(10)

2020年(24)

2019年(4)

2018年(19)

2017年(66)

2016年(60)

2015年(49)

2014年(201)

2013年(221)

2012年(638)

2011年(372)

分类: LINUX

2013-03-13 09:23:57

[CVE-2013-1763]Linux内核3.3-3.8本地提权漏洞  

2013-03-12 11:36:13|  分类: linux安全 |  标签: |字号 

先来看一下我们的测试环境:ubuntu12.10 32bit


[CVE-2013-1763]Linux内核3.3-3.8本地提权漏洞 - zhuzhu - 五事九思 (大连Linux主机维护)
 

上周公布了一个Linux本地权限提升漏洞,利用Linux内核3.3到3.8版本,成功的使用允许攻击者获得root权限

访问Linux机器。我想一个装在虚拟机的Ubuntu12.10的“guest用户”来提升权限


[CVE-2013-1763]Linux内核3.3-3.8本地提权漏洞 - zhuzhu - 五事九思 (大连Linux主机维护)
 

可以看到从上图登录到Ubuntu 12.10并查看了guest用户权限。这个账户默认下是没设置密码的。

运行该漏洞创建的 ./CVE1763 

[CVE-2013-1763]Linux内核3.3-3.8本地提权漏洞 - zhuzhu - 五事九思 (大连Linux主机维护)
 

运行“id”命令显示用户id(uid)0,或 root。

但是‘guest’用户是否获取了root权限呢,于是添加一个用户(Hakerz)来进行测试

打开两组Terminal,一个终端运行了上述漏洞文件,一个没有运行漏洞来创建用户


[CVE-2013-1763]Linux内核3.3-3.8本地提权漏洞 - zhuzhu - 五事九思 (大连Linux主机维护)
 

如图:右边的终端”guest用户”失败了,左边利用了提升用户权限等级的漏洞成功创建了用户(hakerz)。

这是问题Ubuntu已经发布了一个关于它的安全公告。他们已经开始提供了一个补丁来修复该漏洞。

所有您需要做的就是运行Ubuntu的更新管理器自动安装并修复。

立即更新您的Linux系统,特别是你允许公共guest用户访问。

POC下载:[SecurityFocus]

阅读(1528) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~