本文分析了CVE-2016-1240,一个影响Debian系统Linux上的Tomcat的本地提权漏洞。通过该漏洞,攻击者能利用Tomcat的启动脚本,利用LD_PRELOAD环境变量和/etc/ld.so.preload文件,以root权限覆盖系统函数,实现提权。尽管此漏洞已在2014年被修复,但文章详述了利用过程和修复建议,提醒用户保持系统和软件更新。
前几天刷Freebuf的时候发现了在国庆期间爆了一个Tomcat本地提权漏洞,乍一看漏洞利用脚本是一个shell批处理,想着也不会太难,就抱着学习的目的试着做了分析。以下是本人的分析学习总结。
0x0 漏洞描述
Debian系统的Linux上管理员通常利用apt-get进行包管理,CVE-2016-1240这一漏洞其问题出在Tomcat的deb包中,使 deb包安装的Tomcat程序会自动为管理员安装一个启动脚本:/etc/init.d/tomcat<版本号>.sh。利用该脚本,可导致攻击者通过低权限的Tomcat用户获得系统root权限。
这次出问题的地方如下:
# Run the catalina.sh script as a daemon
set +e
touch "$CATALINA_PID" "$CATALINA_BASE"/logs/catalina.out
chown $TOMCAT6_USER "$CATALINA_PID" "$CATALINA_BASE"/logs/catalina.out乍一看似乎没什么问题。我们能够从上面的代码得出三点:
1.这个脚本运行时的权限必然是root权限;
2.使用touch命令创建文件,此时存在文件存在、不存在、存在为符号链接等等的情况,当文件为符号链接时会默认地对链接的文件进行操作。
3.脚本运行完毕后Tomcat服务器启动,此时catalina.out这个log文件的所属用户为tomcat,所属组为root。
这就给漏洞利用创造了可能。
0x1 基础知识
在具体的利用之前我们还需要提高下自己的知识水平。首先来了解一个Linux的特性:Windows和Linux系统都支持应用程序在运行时进行动态链接库函数,以提供强大的扩展能力。例如,当一个程序使用了dlopen函数时,Linux会在运行时链接libdl.so这个库来得到dlopen函数的可执行代码并且执行。查看一个程序在运行时需要动态链接哪些库可以通过ldd命令来查看。
Linux提供了一种可以在运行时重载/覆盖调用默认函数的环境变量,即LD_PRELOAD。相信玩过Linux的码友都不会陌生,在解决sublime支持基于fcitx的输入法(如搜狗输入法)的问题时,就使用了这个环境变量来解决问题。
LD_PRELOAD可以影响程序运行时的链接,它允许你定义在程序运行前优先加载动态链接库。这个功能主要用来有选择性的载入不同动态链接库中相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。
此外,Linux强大的权限控制机制和功能也并非坚不可摧。了解Linux系统的朋友们都知道除了rwx之外还有一种重要的权限,即s。linux系统中每个进程都有2个ID,分别为用户ID(uid)和有效用户ID(euid),UID一般表示进程的创建者(属于哪个用户创建),而EUID表示进程对于文件和资源的访问权限(具备等同于哪个用户的权限)。即真实的进程权限是有EUID标注的而非UID。当一个可执行文件的权限设置了set-user-ID位,那么它在执行时,进程的euid就是程序文件所属用户的ID!最直接的例子,可以看看sudo这个程序的文件权限:
所以当执行sudo程序的时候,我们可以以它所属用户的权限,即root(0)来操作系统。因此,一个最常见的提权思路,即为控制sudo的执行思路,绕过或者更改验证而直接执行代码。
结合LD_PRELOAD环境变量,似乎已经渐渐地有了思路。sudo的执行过程中必然会用到getuid或者setuid这种函数(查看一个可执行程序需要引用哪些外部函数可以使用readelf命令),由于sudo程序只要装载进内存中它的euid必然是root,那么在执行验证之前那么我们使用LD_PRELOAD来覆盖要加载的getuid函数,就可以绕过验证使用root权限来执行代码了。
想象是美好的现实总是残酷的。事实上这个漏洞在2014年2月已经被悄悄地修复了。sudo现在已经不会接收通过命令行传递而来的环境变量。详细分析见:我是怎么通过sudo获取root权限的
然而这样就没办法了吗?不要灰心,再来复习一下Linux加载动态库的方法:
最低0.47元/天 解锁文章
扫一扫
2753
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
