Linux Privilege Escalation Kernel Exploits | Linux本地内核提权漏洞复现 CVE-2015-1328

于 2022-09-04 20:36:59 发布
阅读量843 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: linux docker 运维 网络安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shadow_DAI_990101/article/details/126694057
版权

Linux Privilege Escalation Kernel Exploits | Linux本地内核提权漏洞复现 CVE-2015-1328

文章目录

1. 概述

新技术、高性能技术的不断发展,越来越提升了操作系统的能力,而近几年出现的虚拟化技术,包括overlayfs虚拟层叠文件系统技术,则为docker这样的虚拟化方案提供了越来越强大的技术支撑,但是也同时带来了很多的安全问题,抛开传统的overflow溢出型漏洞不说,还有另一类漏洞属于"特性型"的漏洞,黑客利用系统原生提供的"功能",加上一些特殊设计的"使用组合方式",以此实现了非预期的操作结果,甚至root。

这也再次告诉我们,在系统层和黑客进行攻防,就需要比黑客更加深刻理解系统本身的特性,以及在极端条件下它们的组合方式,因为这些组合方式很有可能能够转化为攻击向量

在这里插入图片描述

1.1 Overlayfs

Overlayfs是一种类似aufs的一种堆叠文件系统,于2014年正式合入Linux-3.18主线内核,目前其功能已经基本稳定(虽然还存在一些特性尚未实现)且被逐渐推广,特别在容器技术中更是势头难挡。它依赖并建立在其它的文件系统之上(例如ext4fs和xfs等等),并不直接参与磁盘空间结构的划分,仅仅将原来底层文件系统中不同的目录进行“合并”,然后向用户呈现。因此对于用户来说,它所见到的overlay文件系统根目录下的内容就来自挂载时所指定的不同目录的“合集”。

在这里插入图片描述

1.2 漏洞简述

此漏洞源于overlayfs文件系统在上层文件系统目录中创建新文件时没有正确检查文件权限。它只检查了被修改文件的属主是否有权限在上层文件系统目录写入,导致当从底层文件系统目录中拷贝一个文件到上层文件系统目录时,文件属性也随同拷贝过去。如果Linux内核设置了CONFIG_USER_NS=y和FS_USERNS_MOUNT标志,将允许一个普通用户在低权限用户命名空间中mout一个overlayfs文件系统。本地普通用户可以利用该漏洞在敏感系统目录中创建新文件或读取敏感文件内容,从而提升到管理员权限。

1.3 风险等级

评定方式等级
CVSS Score7.2
CVSS Score9.3
Confidentiality ImpactComplete
Integrity ImpactComplete
Availability ImpactComplete
实现难度
基础权限不需要
漏洞类型缓存区溢出

在这里插入图片描述

1.4 影响范围

Ubuntu 12.04, 14.04, 14.10, 15.04 (Kernels before 2015-06-15)

1.5 漏洞详情

参见CVE-2015-1328 Ubuntu 12.04, 14.04, 14.10, 15.04 overlayfs Local Root

当在上层文件系统目录中创建新文件时,overlayfs文件系统未能正确检查此文件的权限。而这一缺陷则可以被内核中没有权限的进程所利用,只要满足该进程CONFIG_USER_NS=y及overlayfs所拥有得FS_USERNS_MOUNT标志,即允许挂载非特权挂载空间的overlayfs。而这一条件是Ubuntu 12.04、14.04、14.10和15.04版本中的默认配置,所以这些版本的Ubuntu系统都受此漏洞影响。
ovl_copy_up_ 函数未能正确检查用户是否有权限向upperdir目录写入文件。而该函数唯一检查的是被修改文件的拥有者是否拥有向upperdir目录写入文件的权限。此外,当从lowerdir目录复制一个文件时,同时也就复制了文件元数据,而并非文件属性,例如文件拥有者被修改为了触发copy_up_程序的用户。

2. 环境配置

本次漏洞复现采用方案二:线上靶场

2.1 方案一 VMware本地安装配置虚拟机

这里下载处于影响范围内的Ubuntu版本,并再VMware中安装配置。

注:

  • Ping一下,确保主机与靶机之间可以连通
  • 创建一个低权限用户

2.2 方案二 线上靶场

这里使用的是Tryhackme(一个优秀的渗透学习网站,有部分免费的教程)提供的关于Linux Privilege Escalation练习的虚拟机

在这里插入图片描述

3. 漏洞复现

如果是单纯想要了解内核漏洞提权可无视1-2步,从3.3看起即可

整体思路

  1. nmap扫描发现ssh服务
  2. 暴力破解ssh,得到一个低权限用户
  3. 登录靶机,信息收集,识别内核版本
  4. 搜索相关版本漏洞exp并下载
  5. 利用webshell工具/pythonde的http.sever等多种方法可以将下载的exp上传到靶机
  6. 编辑exp权限并运行
  7. Bingo!你现在是root了

3.1 Namp

使用nmap -sV -sC -T4 ip扫描

发现目标开放22端口,运行ssh服务

3.2 SSH暴力破解

这里知道存在一个低权限用户:karen

注:如果是自己配置的虚拟机可以通过`useradd`自行添加一个低权限用户

使用Kali中的Hydra进行暴力破解

hydra -l karen -P wordlists.txt ssh://ip

得到用户karen的密码为Password1,然后通过ssh登录

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WhMwXuMT-1662294692671)(./img/ssh_login.png)]

登陆后查看用户有无sudo权限,发现确实是一个低权限用户

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DcPjs9eJ-1662294692672)(./img/sudo.png)]

3.3 信息收集-识别操作系统和内核信息

关于更全面的Linux基础信息搜集参考herehere

方法一:手工枚举

这里采用此方法

uname -a ; lsb_release -a; cat /proc/version /etc/issue /etc/*-release; hostnamectl | grep Kernel

在这里插入图片描述

发现内核版本: 3.13.0

方法二:脚本自动枚举

这里列举几个GitHub上的工具可以节省枚举时间。

These tools should only be used to save time knowing they may miss some privilege escalation vectors.

因为靶机的系统环境会影响不同工具的使用。如果目标系统上未安装用 Python 编写的工具,将无法运行它。所以最好熟悉一些其他工具

LinPeas

LinEnum
LES (Linux Exploit Suggester)

Linux Smart Enumeration

Linux Priv Checker

3.4 查找可用的内核漏洞

这里也有多种方法如:

方法一:Searchspliot
  1. 在Kali中使用Searchspliot命令查找相关漏洞

searchsploit linux kernel x.x.x.x; searchsploit [OS name & version]

  1. 使用searchsploit -m path/to/exploit/xxxx.c将搜索到的exp镜像到本地

在这里插入图片描述

方法二: Linux Exploit Suggester

使用 Linux Exploit Suggester自动化脚本可以在目标机器上自动识别可用的内核漏洞

在这里插入图片描述

3.5 上传并编译漏洞

在这里插入图片描述

  1. 如上图所示这里在攻击机开启python自带的http.server服务后,就可以使用靶机访问攻击机了,然后cdtmp目录使用wget命令从攻击机下载准备好的exp,并查看

    在这里插入图片描述

  2. 通过chmod +x exp.c设置好可执行权限,然后使用gcc exp.c -o exploit对exp进行编译,

    在这里插入图片描述

    在这里插入图片描述

3.6 执行内核漏洞利用,获取root权限

在这里插入图片描述

4. 修复建议

  1. 根据Ubuntu已经发布的安全公告下载安装相应厂商补丁

  2. 升级系统

  3. 临时解决方法:

    如果您无法及时升级内核,也不需要使用overlayfs,可以将overelayfs加入黑名单或者直接删除overlayfs.ko或overlay.ko模块文件:

    modprobe -r overlayfs
echo "blacklist overlayfs" > /etc/modprobe.d/blacklist-overlayfs.conf

    注:在一些更老的版本中,该内核模块的名字也可能是overlay。
    可以先用modinfo overlay或modinfo overlayfs来确认准确的内核模块名字。

  4. diff --git a/fs/overlayfs/super.c b/fs/overlayfs/super.c(待验证)

    static struct file_system_type ovl_fs_type = {
    .name        = "overlay",
    .mount        = ovl_mount,
    .kill_sb    = kill_anon_super,
    .fs_flags    = FS_USERNS_MOUNT,
    };
    MODULE_ALIAS_FS("overlay");

5. 总结

虽然 Kernel Exploit 通常是一种简单的 提权方法,但它们应该是进行渗透测试时的最后手段,因为它们有会对设备造成破坏,而且很多时候它们只会运行一次。

6. References

CVE Details (2020) CVE-2015-1328. Available at: https://www.cvedetails.com/cve/CVE-2015-1328/…(Accessed: 29 Sept 2022).

Han Zhang. (2015) ‘CVE-2015-1328 Ubuntu 12.04, 14.04, 14.10, 15.04 overlayfs Local Root’ cnblogs. 25 June. Available at: https://www.cnblogs.com/LittleHann/p/4598120.html (Accessed: 01 Sept 2022).

Miklos Szeredi (2017). Overlayfs And Containers [PowerPoint Presentation] 23 March. Rat Hat.

ImShadowven
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【THM】Linux Privilege Escalation升)-初级渗透测试
追风少年亚索的博客
04-22 387
撰写本文目的仅仅供个人查看笔记用途,大家可以去官网查看,都一样的
103.网络安全渗透测试—[升篇1]—[Linux内核漏洞]
qwsn
02-15 7177
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、LINUX 内核漏洞 1、漏洞背景: 2、漏洞利用: (1)实验环境 (2)靶机链接 (3)突破MIME类型限制文件上传获取webshell (4)创建交互式shell (5)查看linux发行版 (6)查找可用的exp (7)进行 (8)切换shell
linux-kernel-exploitation:与Linux内核安全性和利用有关的链接的集合
02-05
linux-kernel-exploitation:与Linux内核安全性和利用有关的链接的集合
CVE-2022-37969 Windows 本地升 PoC
最新发布
08-23
CVE-2022-37969 是通用日志文件系统驱动 clfs 中的越界写入漏洞,通过该漏洞,可以完成。 // // Understanding the CVE-2022-37969 Windows Common Log File System Driver Local Privilege Escalation.  // Authors: www.chwm.vip // #pragma warning (disable : 4005) #include <stdio.h> #include <iostream> #include <windows.h> #include <clfsw32.h> #include <ntstatus.h> #include <processthreadsapi.h> #include <tlhelp32.h> #include "ntos.h" #include "crc32.h" #pragma comment(lib, "ntdll.lib") #pragma comment(lib, "Clfsw32.lib")
CVE-2020-0796-LPE-POC:CVE-2020-0796本地特升POC
03-20
CVE-2020-0796本地特升POC (c)2020 ZecOps,Inc.- ://www.zecops.com-查找攻击者的错误POC检查CVE-2020-0796 /“ SMBGhost”预期结果:启动cmd.exe并具有系统访问限仅用于公司环境中的教育和测试。 ZecOps对代码不承担任何责任,使用后果自负。如果您对用于服务器,端点和移动设备的无代理DFIR工具感兴趣,以自动检测SMBGhost和其他类型的攻击,请联系 。 用法 确保已安装Python,然后运行poc.py 参考
cve-2020-1337-poc:CVE-2020-1337的poc(Windows打印后台处理程序特升)
03-21
cve-2020-1337-poc CVE-2020-1337的poc(Windows打印后台处理程序特升) 感谢所有发此错误的研究人员。 参考: 从以下位置浏览的代码:
Linux第一篇-Linux内核漏洞(以CVE-2015-1328为例)
Love&Share
11-18 4512
文章目录Linux内核漏洞拿shell附件 Linux内核漏洞 一般webshell拿到的限都是web容器限,如iis就是iss用户组限,apache就是apache 限,可以执行普通命令,但是如果要进行内网渗透就需要拿到系统限或者超级管理员linux首先需要创建交互shell 靶机环境Ubuntu15.04 保证主机与靶机之间可以连通 拿shell 利用已有的web漏洞,如文件上传,命令执行等上传一句话木马,得到交互式shell 假如web界面存在文件上传 测试.
Linux内核漏洞与利用
Zlirving_的博客
07-14 848
漏洞 针对相应系统版本的cve漏洞 uname -a 所有版本 uname -r 内核版本信息 cat /proc/version 内核信息 Linux Exploit Suggester 下载linux-exploit-suggester.sh文件 wget https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh 若出无法连上服务器时 (这个当然要在root
CVE-2015-1328 Ubuntu 12.04, 14.04, 14.10, 15.04 overlayfs Local Root
weixin_34112181的博客
06-25 335
catalog 0. 引言 1. Description 2. Effected Scope 3. Exploit Analysis 4. Principle Of Vulnerability 5. Patch Fix   0. 引言 新技术、高性能技术的不断发展,越来越升了操作系统的能力,而近几年出的虚拟化技术,包括overlayfs虚拟层叠文件系统技术,则为doc...
Linux升—Kernel exploit
qq_27828281的博客
12-21 767
Linux升—利用kernel exploit进行升。
linux内核环境使用方法,【系列分享】Linux 内核漏洞利用教程(一):环境配置...
weixin_39603357的博客
04-29 363
预估稿费:300RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿传送门0x00: 前言一直想入门linux kernel exploit,但是网络上比较成熟的资料很少,只能找到一些slide和零碎的文档,对于入门选手来说真的很困难。还好在自己瞎摸索的过程中上了joker师傅的装甲车,师傅说:要有开源精神,要给大家学习的机会。所以就有了这个系列的文章,第一篇记录是环境配置篇...
dirty_sock:通过快照Linux升级漏洞CVE-2019-7304)
02-04
dirty_sock:Linux升级(通过快照) 在2019年1月,由于快照API的错误,发当前版本的Ubuntu Linux容易受到本地特升级的影响。 该存储库包含原始漏洞利用POC,可将其用于研究和教育。 有关此漏洞漏洞的详细...
kernel exploit】CVE-2021-41073 内核类型混淆漏洞利用分析
panhewu9919的博客
07-10 1046
CVE-2021-41073
kernel exploit】CVE-2016-9793 错误处理负值导致访问用户空间
panhewu9919的博客
09-07 684
影响版本:Linux v4.8.14 以前。v4.8.14已修补,v4.8.13未修补。 7.8分。 测试版本:Linux-4.8.13 exploit及测试环境下载地址—https://github.com/bsauce/kernel-exploit-factory 编译选项: CONFIG_SLAB=y General setup —> Choose SLAB allocator (SLUB (Unqueued Allocator)) —> SLAB 在编译时将.config中的C
学习 Linux_kernel_exploits 小记
weixin_30686845的博客
04-19 126
Linux_kernel_exploits+ 功能:自动生成UAF类型漏洞exp文件的工具,目前缺少文档介绍,可以参考test文件下的使用实例,但是源码中缺少dataflowanalyzer模块+ 相关内容:源码路径https://github.com/ww9210/Linux_kernel_exploits, 论文:   @inproceedings...
Linux Kernel Exploit 内核漏洞学习(3)-Bypass-Smep
热门推荐
钞sir的博客
08-09 1万+
简介 smep的全称是Supervisor Mode Execution Protection,它是内核的一种保护机制,作用是当CPU处于ring0模式的时候,如果执行了用户空间的代码就会触发页错误,很明这个保护机制就是为了防止ret2usr攻击的… 这里为了演示如何绕过这个保护机制,我仍然使用的是CISCN2017 babydriver,这道题基本分析和利用UAF的方法原理我已经在kernel...
linux内核溢出利用,利用Linux内核本地漏洞解决root密码忘记
weixin_28755331的博客
05-13 163
回家期间,同事说有台服务器的root密码不对了,无法通过su - root切换到root,问我如何解决。服务器环境:CentOS 6.3 x86_64 定制版默认登录:服务器添加了普通用户master用于remote ssh login,默认root是禁止直接remote ssh login的,只能通过master登录后,通过su来切换编译环境:gcc 4.4.6在网上查看了下Linux的本地溢出...
kernel exploit】CVE-2017-8890 Phoenix Talon漏洞分析与利用
panhewu9919的博客
06-11 626
影响版本:Linux 2.5.69~4.10.15 详细影响版本 评分7.8,可能导致远程代码执行。隐藏11年,通过syzkaller挖到。 测试版本:Linux-4.10.15 测试环境下载地址 — https://github.com/bsauce/kernel_exploit_factory 编译选项:CONFIG_E1000=y和CONFIG_E1000E=y General setup —> Choose SLAB allocator (SLUB (Unqueued Allocator))
Linux内核最新漏洞,【更新PoC】潜伏11年的Linux内核漏洞曝光
weixin_29137997的博客
05-01 261
// A proof-of-concept local root exploit for CVE-2017-6074.// Includes a semireliable SMAP/SMEP bypass.// Tested on 4.4.0-62-generic #83-Ubuntu kernel.// https://github.com/xairy/kernel-exploits/tree/...
linux上dbstart示ora-01031
05-17
EXEC DBMS_NETWORK_ACL_ADMIN.ADD_PRIVILEGE('your_user','connect','true'); COMMIT; 注意:您需要以sysdba身份登录才能执行此操作。 4. 如果您正在使用Oracle Restart,则需要使用srvctl启动数据库。您可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值