Linux sudo权限提升漏洞复现(CVE-2021-3156)
1.简介
sudo是linux系统管理指令,是允许系统管理员让普通用户执行root命令的一个工具。
2.漏洞概述
- 编号:CVE-2021-3156
在sudo解析命令行参数的方式中发现了基于堆的缓冲区溢出。任何本地用户都可以利用此漏洞,不需要进行身份验证,也不用知道用户的密码。利用成功可以获得root权限。
3.影响版本
- sudo 1.9.0 到 1.9.5p1 所有版本
- sudo 1.8.2 到 1.8.31p2 所有版本
4.环境搭建
kali 2020 ,直接用虚拟机就可以了
用非root登录,我的是kali
5.漏洞复现
执行以下命令
git clone https://github.com/dengxmenglihua/sudo.git
cd sudo
chmod +x sudo
make
./sudo
运行截图,成功提权
kali:
ubuntu:
6.解决方案
- 官方下载链接:https://www.sudo.ws/download.html