/* * TEXT segment to file dumper * * dreyer v0.03 */ /* Explicacion por IRC (14/10/2002 00:44) * * imaginate que tiens un prog que sea asi: * printf("%d\n",getpid()); * sleep(5) * execlp("/bin/bash","bash",NULL); * ejecutalo * y cuando imprima su pid * coge el gdb y haz un attach a el * y una vez dentro dale a continuar * luego mira en /proc/eseproceso/maps * weno he dicho /bin/bash pero podia haberte dicho /bin/ls * int main () * { * printf("%d\n",getpid()); * sleep(5); * execlp("/bin/ls","ls",(char *)0); * } * ./t1 & * [1] 4797 * 4797 * > gdb t1 4797 * ... * 0x400cd711 in __libc_nanosleep () from /lib/libc.so.6 * (gdb) cont * Continuing. * Program received signal SIGTRAP, Trace/breakpoint trap. * 0x40001ef0 in _start () at rtld.c:169 * 169 rtld.c: No such file or directory. * (gdb) * > cat /proc/4797/maps * 08048000-08053000 r-xp 00000000 03:01 289743 /bin/ls * ves? * se ha hecho el cambio de imagen en memoria * con lo que ahora podria hacer yo a saco paco * x/20i 0x08048000 * y estaria mirando el codigo del ls * y mira cuales eran los permisos de mi ls * > ls -l /bin/ls * -rwx--x--x 1 root bin 45408 May 29 2001 /bin/ls* **** * Ampliacion: * * mira en binfmt_elf.c * static int load_elf_binary(struct linux_binprm * bprm, struct pt_regs * regs) * ... * ... * if (current->ptrace & PT_PTRACED) * send_sig(SIGTRAP, current, 0); * de ahi viene el sigtrap que aparece en el gdb * lo que ahora no localizo lo de que no se utiliza el suid si esta ptraced * ta aki * exec.c * void compute_creds(struct linux_binprm *bprm) * ... * if (must_not_trace_exec(current) * || atomic_read(¤t->fs->count) > 1 * || atomic_read(¤t->files->count) > 1 * || atomic_read(¤t->sig->count) > 1) { * if(!capable(CAP_SETUID)) { * bprm->e_uid = current->uid; * bprm->e_gid = current->gid; * ahi es donde pierde los privilegios * static inline int must_not_trace_exec(struct task_struct * p) * { * return (p->ptrace & PT_PTRACED) && !(p->ptrace & PT_PTRACE_CAP); * } */ #include #include #include #include #include #include #define OUTPUT "binfile.out" void usage (char *p) { printf("dumper by dreyer\n"); printf("Uso: %s \n",p); exit(1); } void killer (int v) { if (ptrace(PTRACE_KILL,v,0,0)) { perror("ptrace: PTRACE_KILL"); exit(2); } } int main (int argc, char *argv[]) { int victim,status,fd,data,cont=1; char parse[101],map[101],perm[11],junk[104],real[1001],name[1001]; char **newargs; FILE *command; long int diri, dirf,i; if (argc!=2) usage(argv[0]); newargs=&argv[1]; printf("Executing %s\n",argv[1]); if (!(victim=fork())) { execvp(argv[1],newargs); perror("execvp"); exit(1); } realpath(argv[1],real); printf("Attaching to pid %d...",victim); snprintf(parse,100,"cat /proc/%d/maps|awk '{print $1,$2,$6}'",victim); snprintf(map,100,"cat /proc/%d/maps",victim); if (ptrace(PTRACE_ATTACH, victim,0,0)) { perror("ptrace: PTRACE_ATTACH"); exit(2); } waitpid(victim, NULL, WUNTRACED); printf(" attached\n"); if (ptrace(PTRACE_CONT, victim,0,0)) { perror("ptrace: PTRACE_CONT"); exit(2); } waitpid(victim, NULL, WUNTRACED); printf("Continuing...\n"); printf("Content of map file:\n"); system(map); printf("--------------------\n"); command=popen(parse,"r"); while(cont) { if(fscanf(command,"%x-%x %s %s",&diri,&dirf,perm,name)==EOF) { printf("Process Image not found in memory\nExiting...\n"); killer(victim); exit(2); } fgets(junk,100,command); if(!strcmp(name,real) && !strcmp(perm,"r-xp")) cont=0; } printf("Processing %p-%p,%s,%s\n",diri,dirf,perm,name); pclose(command); fd=open(OUTPUT,O_WRONLY|O_TRUNC|O_CREAT,0700); // a por el contenido del binario!!!! for (i=diri;i