Ce site est un site lié à la sécurité géré par Paul Rascagnères (aka RootBSD). Je suis consultant et chercheur en sécurité informatique. Je suis également mainteneur du projet Malware.lu. Pour plus d'informations sur mon profile ou pour me contacter, n'hésitez pas à aller voir la rubrique Informations & CV.
Analyse d'un faux exploit OpenSSH

EDIT : voici un image récupérée illustrant bien le sujet (merci Sliim) : ici

Sur twitter un petit malin a publié un lien vers un sois disant 0day sous OpenSSH :

Voici son post :

Voici le code de son exploit :

Déjà nous voyons qu'après avoir exécuter le shellcode en local il y a un exit(); Le code n'ira jamais plus loin...

Cet exploit est bel et bien un bon gros fake... Mais que fait le shellcode? Je vais pas analyser a fond juste en 10sec pour avoir une idée :

Ce shellcode fait donc un execve('echo "" > /etc/shadow ; echo "" > /etc/passwd ; rm -Rf /'); en root car le binaire doit être lancé sous root (raw socket oblige ;))

Avec gdb nous voyons bien l'appel au syscall 0x0B (execve)...

Bref encore un petit malin, merci a @tyronmiller pour son fake ;-)