* Bug AIX et Hack du user root * via sudoers par un user sans privilège et avec le "." devant le PATH

Version imprimable

30/07/2010, 13h43
kalwin

* Bug AIX et Hack du user root * via sudoers par un user sans privilège et avec le "." devant le PATH

Voici la démonstration faite par mon collègue Nico K.
Il m'aide beaucoup et est un excellent AIXien pour ne pas dire linuxien
Encore merci à toi Nicolas

Donc voici la démo incroyable sous AIX 6100-05

il suffit de lire le fichiers sudoers et de voir si il n'y a pas un accès a un script que l'on peu transformer !!! ça c une autre histoire de droit

(pour l'exemple je vais faire gros et stupide mais ce n'est que pour la demo que vous pouvez reproduire)

sous root
entrez dans le sudoers # visudo
entrez la ligne suivante #

kalwin ALL = NOPASSWD: /tmp/kalw.ksh

enregistrez

déloguez vous et loguez vous sous kalwin (c'est un exemple le user kalwin )

et faite les commande suivante

/home/kalwin # cp /usr/bin/ksh /tmp/id

/home/kalwin # vi /tmp/kalw.ksh
#!/usr/bin/ksh
id

/home/kalwin # chmod u+x /tmp/kalw.ksh

/home/kalwin # export PATH=.:$PATH

/home/kalwin # cd /tmp

/tmp # sudo /tmp/kalw.ksh

/tmp # /usr/bin/id
uid=0(root) gid=0(system) groups=2(bin),3(sys),7(security),8(cron),10(audit),11(lp)

Vous voici en login root sous votre user

vous pouvez ouvrir tous les fichiers vous êtes root

/home/kalwin # cat /etc/security/user

*******************************************************************************
* VALID USER ATTRIBUTES FOR /ETC/SECURITY/USER:
*
* account_locked Defines whether the account is locked. Locked accounts can
* not be used for login. Possible values: true or false.
*
* admin Defines the administrative status of the user.

ça fonctionne

Voici

Encore Merci Nico
30/07/2010, 16h52
letis

hmmmm et en quoi l'exploitation d'un effet de bord de sudo, qui n'est pas soit dit au passage un programme fourni par les développeurs AIX mais un outil tierce, est-il un bug AIX ?

On peut obtenir des effets équivalents avec un chmod u+s sur un ksh recopié dans /tmp (donc accessible à tout user).

Bonjour,

En plus de n'être pas lié à AIX mais à sudo, le passage par . dans PATH ne sert à rien.

Ici, dans /etc/sudoers, tu donnes le droit à l'utilisateur d'exécuter un script en tant que root. Donc s'il s'avère que ce script ouvre un shell, il sera logiquement ouvert en root.
Code:

1 2 3 4 5 6 7 8 9 10 11 $ id uid=207(toto) gid=1(staff) $ echo $PATH /usr/bin:/etc:/usr/sbin:/usr/ucb:/usr/bin/X11:/sbin:/usr/java5/jre/bin:/usr/java5/bin $ sudo /tmp/test # id uid=0(root) gid=0(system) groups=2(bin),3(sys),7(security),8(cron),10(audit),11(lp) # cat /tmp/test /usr/bin/ksh #
La seule conclusion que l'on peut tirer de ca, c'est que si tu configures n'importe comment sudo, alors tu ouvres des failles de sécurité sur la machine. Ce n'est pas nouveau.

30/07/2010, 20h28
Sve@r

Citation:

Envoyé par kalwin

Donc voici la démo incroyable sous AIX 6100-05

Hum, n'en faisons pas trop non plus...:P

Citation:

Envoyé par kalwin

il suffit de lire le fichiers sudoers et de voir si il n'y a pas un accès a un script que l'on peu transformer !!! ça c une autre histoire de droit

Oui. Donc juste un problème de config sudo quoi. Dans cette histoire, le "." du PATH n'a aucune importance :mrgreen:
10/08/2010, 11h32
kalwin

But demo

Le but n'était pas de dire qu'il y a une faille le but était seulement une démonstration sur le fait de la dangerosité de certaine configuration et/ou droit ou point mis n'importe ou...

Je pense que le point dans un PATH avant la variable $PATH est dangereuse..
ET je n'en démordrai pas et (Cf les normes de sécurité de base sous UNIX)

Ce n'était que pour la simple compréhension d'une possibilité de faille ...
ET aussi une réponse à un point nommé ou j'avais fait un lien sur cette démo

Je m'abstiendrai dans les cas futur de répondre au novice ou au amateur (comme moi soit dite en passant) si ce n'est pour avoir des remarques du style oui "c'est bateau" ou encore c'est un effet de bord du sudo... qui soit dite en passant est livré avec AIX.

Cordialement.

Je ne me prends pour un expert malgré 12 ans expérience sur ce système
Mais je poste qq infos pour certaines personnes qui ont besoin d'être éclairé
Je ne fais pas de concours de connaissance ou de compétence

c'est dommage ...
10/08/2010, 14h31
gangsoleil

Bonjour,

Ton titre parle de bug AIX, et ton post de "démo incroyable", et je pense que c'est surtout ca qui a fait réagir.

Il ne s'agit pas d'un bug d'AIX, et ca n'a rien a voir avec le fait d'avoir . dans la variable d'environnement PATH.

sudo donne des droits spécifiques à un utilisateur. Si en plus il a la possibilité de modifier le programme exécutable, alors oui, l'utilisateur pourra lancer d'autres commandes avec les droits spécifiques. Cependant, même mal configuré, ca reste souvent plus sécurisé que de donner le mot de passe root de la machine à tous les utilisateurs.

Ceci dit, je t'encourage à continuer de répondre aux gens, indépendamment du fait que tu sois novice ou confirmé.
17/08/2010, 01h34
Sve@r

Citation:

Envoyé par kalwin

Je pense que le point dans un PATH avant la variable $PATH est dangereuse..
ET je n'en démordrai pas et (Cf les normes de sécurité de base sous UNIX)

Oui, moi aussi. C'est pourquoi, dans tous mes posts où j'en parlais, j'ai toujours précisé "à la fin de la variable" 8-)