CVE-2021-3156:Sudo中基于堆的缓冲区溢出 (Baron Samedit)

最新推荐文章于 2024-08-23 08:28:37 发布
最新推荐文章于 2024-08-23 08:28:37 发布
阅读量1.1w 收藏 3
点赞数 1
分类专栏: Penetration test 文章标签: sudo CVE 缓冲区溢出 Baron Samedit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33163046/article/details/113536491
版权

Qualys研究小组在sudo中发现了一个堆溢出漏洞,sudo是一个几乎无处不在的实用程序,可用于主要的类Unix操作系统。通过利用此漏洞,任何未经授权的用户都可以使用默认sudo配置在易受攻击的主机上获得root权限。

Sudo是一个强大的实用程序,它包含在大多数基于Unix和Linux的操作系统中。它允许用户以另一个用户的安全权限运行程序。近10年来,这个漏洞本身一直隐藏在人们的视线中。它于2011年7月引入(commit 8255ed69),在默认配置中影响从1.8.2到1.8.31p2的所有旧版本和从1.9.0到1.9.5p1的所有稳定版本。

成功利用此漏洞可使任何未经授权的用户在易受攻击的主机上获得根用户权限。Qualys安全研究人员已经能够独立验证该漏洞,开发多种漏洞变体,并在Ubuntu 20.04(Sudo 1.8.31)、Debian 10(Sudo 1.8.27)和Fedora 33(Sudo 1.9.2)上获得完整的root权限。其他操作系统和发行版也可能被利用。

Qualys研究团队确认该漏洞后,Qualys立即进行了负责任的漏洞披露,并协调sudo的作者和开源发行版公布该漏洞。

技术细节

  • 如果在“shell”模式下执行 Sudo 以运行命令(shell-c 命令)
  • 通过-s选项,设置Sudo的MODE_SHELL标志

  • 通过-i 选项设置 Sudo 的 MODE shell 和 MODE login shell 标志; 然后,在 Sudo 的 main ()的开头,parse args ()通过串联所有命令行参数(第587-595行)和用反斜杠转义所有元字符(第590-591行)来重写 argv

-------------------------------------------------------------------- 
571     if (ISSET(mode, MODE_RUN) && ISSET(flags, MODE_SHELL)) { 
572         char **av, *cmnd = NULL; 
573         int ac = 1; 
... 
581             cmnd = dst = reallocarray(NULL, cmnd_size, 2); 
... 
587             for (av = argv; *av != NULL; av++) { 
588                 for (src = *av; *src != '\0'; src++) { 
589                     /* quote potential meta characters */ 
590                     if (!isalnum((unsigned char)*src) && *src != '_' && *src != '-' && *src != '$') 
591                         *dst++ = '\\'; 
592                     *dst++ = *src; 
593                 } 
594                 *dst++ = ' '; 
595             } 
... 
600             ac += 2; /* -c cmnd */ 
... 
603         av = reallocarray(NULL, ac + 1, sizeof(char *)); 
... 
609         av[0] = (char *)user_details.shell; /* plugin may override shell */ 
610         if (cmnd != NULL) { 
611             av[1] = "-c"; 
612             av[2] = cmnd; 
613         } 
614         av[ac] = NULL; 
615  
616         argv = av; 
617         argc = ac; 
618     } 
---------------------------------------------------------------------

稍后,在sudoers\u policy\u main()中,set\cmnd()将命令行参数连接到基于堆的缓冲区“user\u args”(第864-871行)中,并取消对元字符(第866-867行)的scape,“用于sudoers匹配和日志记录目的”:

--------------------------------------------------------------  
819     if (sudo_mode & (MODE_RUN | MODE_EDIT | MODE_CHECK)) { 
... 
852             for (size = 0, av = NewArgv + 1; *av; av++) 
853                 size += strlen(*av) + 1; 
854             if (size == 0 || (user_args = malloc(size)) == NULL) { 
... 
857             } 
858             if (ISSET(sudo_mode, MODE_SHELL|MODE_LOGIN_SHELL)) { 
... 
864                 for (to = user_args, av = NewArgv + 1; (from = *av); av++) { 
865                     while (*from) { 
866                         if (from[0] == '\\' && !isspace((unsigned char)from[1])) 
867                             from++; 
868                         *to++ = *from++; 
869                     } 
870                     *to++ = ' '; 
871                 } 
... 
884             } 
... 
886     } 
---------------------------------------------------------------------

不幸的是,如果命令行参数以单个反斜杠字符结尾,则:

  • 在第866行,“ from [0]”是反斜杠字符,“ from [1]”是参数的 null 结束符(即,不是空格字符) ;
  • 在第867行,“ from”递增,并指向null 结束符;
  • 在第868行,null 结束符被复制到“ user _ args”缓冲区,“ from”再次递增并指向 null 结束符之后的第一个字符(即超出参数的边界) ;
  • 第865-869行的“ while”循环读取超出界限的字符并将其复制到“ user _ args”缓冲区。

换句话说,set cmnd ()容易受到基于堆的缓冲区溢出的影响,因为复制到“ user args”缓冲区的界外字符没有包含在其大小中(计算在 lines852-853)。

然而,理论上,任何命令行参数都不能以单个反斜杠字符结束: 如果设置了 MODE shell 或 MODE login shell (第858行,这是到达易受攻击代码的必要条件) ,那么设置了 MODE shell (第571行) ,并且 parse _ args ()已经转义了所有元字符,包括反斜杠(即,它用第二个反斜杠对每个反斜杠进行转义)。
但实际上,set_cmnd()中的弱势代码和parse_args()中的转义代码周围的条件略有不同:

--------------------------------------------------------------------- 
819     if (sudo_mode & (MODE_RUN | MODE_EDIT | MODE_CHECK)) { 
... 
858             if (ISSET(sudo_mode, MODE_SHELL|MODE_LOGIN_SHELL)) { 
---------------------------------------------------------------------

对比:

--------------------------------------------------------------------- 
571     if (ISSET(mode, MODE_RUN) && ISSET(flags, MODE_SHELL)) { 
---------------------------------------------------------------------

我们的问题是: 我们是否可以设置 MODE shell 和 MODE edit 或 MODE check (以达到易受攻击的代码) ,而不设置默认的 MODE run (以避免转义代码) ?

答案似乎是否定的: 如果我们设置 MODE edit (- e 选项,第361行)或 MODE check (- l 选项,第423和519行) ,然后 parse args ()从“ valid flags”(第363和424行)中删除 MODE shell,如果我们指定无效的标志如 MODE shell (第532-533行) ,则退出时将出现错误:

--------------------------------------------------------------------- 
358                 case 'e': 
... 
361                     mode = MODE_EDIT; 
362                     sudo_settings[ARG_SUDOEDIT].value = "true"; 
363                     valid_flags = MODE_NONINTERACTIVE; 
364                     break; 
... 
416                 case 'l': 
... 
423                     mode = MODE_LIST; 
424                     valid_flags = MODE_NONINTERACTIVE|MODE_LONG_LIST; 
425                     break; 
... 
518     if (argc > 0 && mode == MODE_LIST) 
519         mode = MODE_CHECK; 
... 
532     if ((flags & valid_flags) != flags) 
533         usage(1); 
---------------------------------------------------------------------

但我们发现了一个漏洞:如果我们以 "sudoedit "而不是 "sudo "的方式执行Sudo,那么parse_args()会自动设置MODE_EDIT(第270行),但不会重置 "valid_flags",而且 "valid_flags "默认包括MODE_SHELL(第127行和249行)

--------------------------------------------------------------------- 
127 #define DEFAULT_VALID_FLAGS     (MODE_BACKGROUND|MODE_PRESERVE_ENV|MODE_RESET_HOME|MODE_LOGIN_SHELL|MODE_NONINTERACTIVE|MODE_SHELL) 
... 
249     int valid_flags = DEFAULT_VALID_FLAGS; 
... 
267     proglen = strlen(progname); 
268     if (proglen > 4 && strcmp(progname + proglen - 4, "edit") == 0) { 
269         progname = "sudoedit"; 
270         mode = MODE_EDIT; 
271         sudo_settings[ARG_SUDOEDIT].value = "true"; 
272     } 
------------------------------------------------------------------------

 

因此,如果我们执行“ sudoedit-s”,然后我们同时设置 MODE edit 和 MODE shell (但不设置 MODE run) ,我们就避免了转义代码,达到了易受攻击的代码,并且通过一个以一个反斜杠字符结尾的命令行参数溢出了基于堆的缓冲区“ user args”:

 

--------------------------------------------------------------------- 
sudoedit -s '\' `perl -e 'print "A" x 65536'` 
malloc(): corrupted top size 
Aborted (core dumped) 
---------------------------------------------------------------------

从攻击者的角度来看,这种缓冲区溢出是理想的,原因如下:

1)攻击者控制可以溢出的“ user _ args”缓冲区的大小(串联的命令行参数的大小,在第852-854行) ;

2)攻击者独立控制溢出本身的大小和内容(我们最后的命令行参数后面跟着我们的第一个环境变量,这些变量不包括在第852-853行的大小计算中) ;

3)攻击者甚至可以向溢出的缓冲区写入空字节(每个命令行参数或者以一个反斜杠结尾的环境变量向“ user _ args”写入一个空字节,第866-868行)。

例如,在 amd64 Linux 上,下面的命令分配一个24字节的“ user _ args”缓冲区(一个32字节的堆块) ,并用“ a = a 0B = b0”(0x00623d4200613d41)覆盖下一个块的大小字段,用“ c = c 0D = d 0”(0x00643d4400633d43)覆盖其 fd 字段及其 bk 字段“ e = e0f = f0”(0x00663d4600653d45) :

--------------------------------------------------------------------- 
env -i 'AA=a\' 'B=b\' 'C=c\' 'D=d\' 'E=e\' 'F=f' sudoedit -s '1234567890123456789012\' 
--------------------------------------------------------------------- 
 
--|--------+--------+--------+--------|--------+--------+--------+--------+-- 
  |        |        |12345678|90123456|789012.A|A=a.B=b.|C=c.D=d.|E=e.F=f.| 
--|--------+--------+--------+--------|--------+--------+--------+--------+-- 
 
              size  <---- user_args buffer ---->  size      fd       bk

解决方案

  • 鉴于该漏洞的攻击面很广,Qualys建议用户立即应用该漏洞的补丁。
  • Qualys客户可以在漏洞知识库中搜索CVE-2021-3156,以确定所有易受此漏洞影响的QID和资产。
  • 如果您不是客户,请开始您的免费Qualys VMDR试用版,以获得对CVE-2021-3156的QIDs(检测)的完整访问权限,这样您就可以识别您的易受攻击的资产。

Qualys 覆盖范围

QID 374891: Sudo Heap-based Buffer Overflow 漏洞。

该QID在vulnsigs版本VULNSIGS-2.5.90-4和Linux Cloud Agent manififest版本lx_manifest-2.5.90.4-3中可用。

见问题解答(FAQs)

哪些版本容易受到攻击?

以下版本的 sudo 易受攻击:

  • 从1.8.2到1.8.31p2的所有旧版本
  • 从1.9.0到1.9.5p1的所有稳定版本

如何测试我是否有易受攻击的版本?

  • 要测试系统是否易受攻击,请以非 root 用户登录系统。
  • 运行命令“sudoedit -s /”
  • 如果系统易受攻击,它将响应以“sudoedit:”开头的错误
  • 如果系统打了补丁,它将以一个以“usage:”开头的错误响应

1.8.2之前的版本容易受到攻击吗?

没有。见上文解释。
是否需要一个本地用户来利用这个漏洞?
是的,但是这个用户不需要是特权用户或成为sudoers列表的一部分。例如,即使是账户 "nobody "也可以利用这个问题。
为什么把这个漏洞命名为 “Baron Samedit”?
这是对Baron Samedi和sudoedit的戏称。
Qualys 研究团队是否会发布此漏洞的利用代码?
不会。

 

参考资料:

https://bbs.pediy.com/thread-265672.htm

https://seclists.org/fulldisclosure/2021/Jan/79

 

晓翔仔
关注
专栏目录
CVE-2021-3156Sudo 缓冲区溢出漏洞
墨痕诉清风的博客
01-28 3408
源码编译安装最新Sudo软件包,下载链接为: https://www.sudo.ws/dist/)都可以利用此漏洞,而无需进行身份验证,攻击者不需要知道用户的密码。成功利用此漏洞可以获得。解析命令行参数的方式发现了基于缓冲区溢出。任何本地用户(普通用户和系统用户,1. 进入CVE-2021-3156-main目录下。使用make命令对当前目录下的文件进行编译。根据我们版本,我们选择0,尝试。,获取Root权限,提权成功。查看EXP支持的系统版本。
Linux sudo权限提升漏洞 CVE-2021-3156
PeiQi的博客
01-31 837
Linux sudo权限提升漏洞 CVE-2021-3156 漏洞描述 2021年1月26日,Linux安全工具sudo被发现严重的基于缓冲区溢出漏洞。利用这一漏洞,攻击者无需知道用户密码,一样可以获得root权限,并且是在默认配置下。此漏洞已分配为CVE-2021-3156,危险等级评分为7分。 当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数使用反斜杠转义特殊字符。但使用-s或-i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。因此只要存在su
Sudo 缓冲区溢出漏洞CVE-2021-3156
z4yn:)的博客
02-09 567
Baron SameditCVE-2021-3156) A tutorial room exploring CVE-2021-3156 in the Unix Sudo Program. Room Three in the SudoVulns Series Sudo 缓冲区溢出漏洞 受影响版本: Sudo 1.8.2 - 1.8.31p2 Sudo 1.9.0 - 1.9.5p1 POC: sudoedit -s '\' $(python3 -c 'pri...
CVE-2021-3156 开源项目教程
最新发布
gitblog_00488的博客
08-23 365
CVE-2021-3156 开源项目教程 CVE-2021-3156Sudo Baron Samedit Exploit项目地址:https://gitcode.com/gh_mirrors/cve/CVE-2021-3156 1. 项目的目录结构及介绍 CVE-2021-3156 项目的目录结构如下: CVE-2021-3156/ ├── exploit.py ├── exploit_nss....
CVE-2021-3156 sudo溢出漏洞
qq_49279082的博客
02-21 455
sudo溢出漏洞(一个属于内网提权的漏洞)
sudo缓冲区溢出提权漏洞CVE-2021-3156
Ryan的博客
01-13 2870
sudo缓冲区溢出提权漏洞CVE-2021-3156
CVE-2021-3156:有关CVE-2021-3156的注意事项
05-24
几天前,在sudo发现了严重的基于缓冲区溢出,任何本地用户都可以利用该缓冲区溢出。 它的发现者将其命名为Baron Samedit。 即使未在sudoers文件列出用户,也可以利用该错误将特权提升为root用户。 利用该...
pwnedit:CVE-2021-3156 - Sudo Baron Samedit
08-04
CVE-2021-3156 - Sudo Baron Samedit 在进入技术细节之前,您可以在此处观看简短摘要: : 剧集 [| | ] 为什么选择 sudo 作为研究对象? [| | ] 使用 AFL 进行模糊测试的工作原理 [| | ] AFL 模糊问题故障排除 [| ...
cve-2021-3156:보안취약점
02-09
CVE-2021-3156,也被称为“Baron Samedit漏洞,是Linux操作系统的一个严重安全漏洞,影响了多个版本的OpenSSH。这个漏洞允许未经身份验证的远程攻击者通过滥用`sudo`命令来获取系统上的根权限。`sudo`是一个在...
CVE-2021-3156 Sudo溢出漏洞
m0_48520508的博客
02-04 1705
0x00简介 sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt、reboot、su等等。这样不仅减少了root用户的登录 和管理时间,同样也提高了安全性。sudo不是对shell的一个代替,它是面向每个命令的。 0x01漏洞概述 2021年01月26日,sudo被披露存在一个基于缓冲区溢出漏洞CVE-2021-3156,该漏洞被命名为“Baron Samedit”),可导致本地权限提升。 当在类Unix的操作系统上执行命令时,非root用
CVE-2021-3156 Sudo溢出漏洞复现
BROTHERYY的博客
01-31 2842
CVE-2021-3156漏洞介绍 Sudo是一个功能强大的工具,其允许普通用户执行root权限命令,大多数基于Unix和Linux的操作系统都包含sudo2021年01月26日,sudo被披露存在一个基于缓冲区溢出漏洞CVE-2021-3156,该漏洞被命名为“Baron Samedit”),可导致本地权限提升。 当在类Unix的操作系统上执行命令时,非root用户可以使用sudo命令来以root用户身份执行命令。由于sudo错误地在参数转义了反斜杠导致缓冲区溢出,从而允许任何本地用户(无论
Sudo缓冲区溢出漏洞(CVE-2021-3156)
04-06
linux sudo升级为1.9.5p2 及以上版本,sudo-1.9.10-1.el7.x86_64.rpm
CVE-2021-3156
03-05
CVE-2021-3156 PoC 介绍 这是CVE-2021-3156 sudo漏洞(由Qualys称为的漏洞)的利用程序。 用法 建造: $ make 列出目标: $ ./sudo-hax-me-a-sandwich 跑: $ ./sudo-hax-me-a-sandwich <target> 手动模式: $ ./sudo-hax-me-a-sandwich <smash> <smash> <null> <lc> 蛮力目标发现(实验性) 确保已安装。 $ make brute $ ./brute.sh <smash> <smash> <null> <null> <lc> <lc> 一些默认尝试: $ ./brute.sh 90 120 50
CVE-2021-3156:CVE-2021-3156
03-06
CVE-2021-3156
如何解决基于sudo缓冲区溢出漏洞:如何解决基于Sudo缓冲区溢出漏洞CVE-2021-3156
02-12
如何解决基于Sudo缓冲区溢出漏洞-CVE-2021-3156sudo基于缓冲区溢出漏洞CVE-2021-3156原始发行日期:2021年2月2日Sudo发布了一个针对基于缓冲区溢出漏洞CVE-2021-3156的公告,该公告影响sudo旧版1.8.2至1.8。 .31p2和稳定版本1.9.0至1.9.5p1。 终端命令: 解决方案 : wget tar xvzf sudo-1.9.5p2.tar.gz sudo apt安装make 须藤./configure 进行&& sudo进行安装 sudo --version sudoedit -s /
Sudo 缓冲区溢出致本地提权漏洞(CVE-2021-3156)
qq_42947816的博客
05-29 3207
2021年1月26日,Sudo发布安全通告,修复了一个类Unix操作系统在命令参数转义反斜杠时存在基于缓冲区溢出漏洞。当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数使用反斜杠转义特殊字符。但使用-s或 -i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出
pwn入门:sploitfun-典型的基于栈的缓冲区溢出详解
EternalBurning的博客
04-12 1745
虚拟机环境:Ubuntu 14.04(x86) 本文是基于sploitfun系列教程的详细解析,sploitfun对于纯新手而言,其有些东西还是不够详细,新手不能很好的接触到其原理,故作此文进行补充 编译代码第一行,表示关闭ASLR(地址空间布局随机化)。kernel.randomize_va_space栈地址随机初始化,很好理解,就是在每次将程序加载到内存时,进程地址空间的...
win10基于栈的缓冲区溢出_Windows内存破坏漏洞的现代探索:栈溢出(一)
热门推荐
weixin_32002013的博客
01-22 1万+
介紹内存损坏漏洞这个话题,对于初学者来说是一道坎。当我第一次开始在Windows操作系统上探索这个话题时,我立刻被现代的、公开的、专门针对这个话题的信息的奇缺震惊了。因此,这篇文章的目的并不是提供新奇的内容,而是要记录自己在探索这个话题时踩过的坑,同时,也是为相关问题的探索过程做个记录。除此之外,还有一个目的为了整合和更新与漏洞缓解系统演变相关的信息,因为这些信息通常散落在不同的地方,并且有些已经...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

晓翔仔

星光很亮,我们永远胸怀梦想

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值