通杀漏洞CVE-2021-4034提权原理和应用

最新推荐文章于 2024-05-18 10:43:35 发布
最新推荐文章于 2024-05-18 10:43:35 发布
阅读量293 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39641273/article/details/131211618
版权

免责声明:本文章仅供安全从业人员,了解CVE-2021-4034的原理,技术讨论,不允许将其用于非法用途。

什么是CVE?

CVE的英文全称是Common Vulnerabilities & Exposures(公共漏洞和暴露)。

危害等级

高危

liunx权限

基本权限 UGO

属主------->u 属组------->g 其他人------>o

 

文件的权限分为三种即 r w x ,
r: Read 对文件而言,具有读取文件内容的权限;对目录来说,具有浏览该目录信息的权限
w Write 对文件而言,具有修改文件内容的权限;对目录来说具有删除移动目录内文件的权限
执行
x execute 对文件而言,具有执行文件的权限;对目录来说,具有进入目录的权限

图片出处:xiaosha

SUID、SGID、SBIT详解

读(read):r   ---->4
写(write):w  ---->2
执行: x(exec) ----->1
  • SUID的基本权限位有x权限,标识符为s,代表数字为4,生效对象为用户位
  • SGID的基本权限位有x权限,标识符为s,代表数字为2,生肖对象为用户组位
  • SBIT的基本权限位有x权限,标识符为t,代表数字为1,生效对象为其他用户
  • 因此 4+2+1=7 chmod 777 就是ugo都有读写执行权力
r w x        rw-        r--       
属主权限    属组权限   其他人权限

SUID

suid通过s字符标识判定,当s出现在文件所有者的x权限时,如上图/usr/bin/passwd文件,状态位:-rwsr-xr-x,此时就可以判定为时suid。

  1. suid权限仅对二进制程序有效
  2. 该权限仅在执行该程序的过程中有效
  3. 执行者将拥有该程序拥有者的权限

SUID的目的:为了让本来没有相应权限的用户运行这个程序,可以短暂的享有该程序拥有者的权限。就比如上方图例,/usr/bin/passwd该二进制程序是用来修改密码的,但是linux系统中用户众多,有root、普通用户等等,这些用户都需要在特殊情况修改密码,比如在忘记登录密码时。

具体流程:

因为passwd的权限对任何用户都是可执行的,所以系统中不管什么用户都可执行passwd文件的拥有者是属于root当普通用户在执行passwd命令时,会在执行期间短暂拥有root权限普通用户借助root权限修改了/etc/shadow文件最后把密码修改成功这时候,在攻击者的角度,就可以利用此类拥有者为root的二进制程序,提权成功.

当在渗透过程中获取了shell,可以使用find命令查询系统上所有的s权限位文件,命令:
find / -perm -4000 -type f -ls

sgid

  •  sgid和suid差不多,先查看s是否在所属用户组的x位置上,如果在,那就是sgid
  • sgid获得该程序所属用户组的权限
  • sgid仅对二进制程序有用
  • sgid主要用在目录上

注:sgid,如果用户在此目录下具有w,写的权限的话,若使用者在此目录下建立新文件,则新文件的群组与此目录的群组相同。

SBIT权限位

  • sbit主要针对other来设置的,和suid,sgid大同小异,只是功能上不同而已
  • sbit只对目录有效,当用户在该目录下新建文件或目录时,仅自己和root才有权利删除
  • 最具代表的就是/tmp目录,之前在渗透项目中,获得了webshell,都要先进到/tmp目录下进行一系列下载之类的操作,因为/tmp目录,任何人都可以增加、修改文件(权限为rwx)

注:SBIT对文件不起作用
 

提权实例

这toto命令具有SUID权限,

echo "/bin/bash" > /tmp/id
chmod 777 /tmp/id
export PATH=/tmp:$PATH
./toto

将命令/bin/bash写入文件/tmp/id中,然后设置文件的执行权限为777(允许任何人执行)。接着将/tmp加入环境变量PATH中,这将导致系统在查找应用程序时首先搜索/tmp目录。最后,运行文件toto,因为toto不存在于$PATH中,所以这个命令将在/tmp目录中查找toto文件并执行它。

 获得john权限

接下里在john用户下执行sudo -l列出当前用户可以在目标系统上运行的所有 sudo 命令

  •  Matching Defaults entries 显示当前用户的默认特权,
  •  env_reset 表示环境变量是受保护的
  • mail_badpass 表示用户输入错误密码时会向管理员发送邮件,
  • secure_path 表示用户在使用 sudo 命令时要使用的特定路径。
  • 接着,这里列出了 john 用户可以以 root 身份运行的仅一个命令,即 /usr/bin/python3 /home/john/file.py。这表明 john 用户可以使用 sudo 访问该命令,而无需提供 root 用户的密码。
  • 在这种情况下,john 可以以 root 身份在目标系统上运行 /usr/bin/python3 /home/john/file.py 这个命令。
echo "import pty;pty.spawn('/bin/bash')" > file.py
sudo python3 /home/john/file.py

 

贺越洋
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
CVE-2021-4034 Pkexec LPE原理精析
「鸿渐之翼」的博客
02-26 5383
国外Qualys安全团队在CVE平台披露了Linux系统Polkit中的pkexec组件存在的本地漏洞CVE-2021-4034)。Polkit默认安装在各个主要的 Linux 发行版本上(诸如Ubuntu、Debian、Fedora等知名Linux发型版本),pkexec程序对传入参数未过滤,攻击者可以将环境变量bash作为命令执行,从而诱导 pkexec 执行任意代码,利用成功可导致非特用户获得管理员r
Linux Polkit漏洞复现(CVE-2021-4034)
weixin_45945976的博客
01-26 7492
Linux Polkit漏洞 CVE-2021-4034 漏洞描述 Qualys 研究团队在 polkit 的 pkexec 中发现了一个内存损坏漏洞,该 SUID 根程序默认安装在每个主要的 Linux 发行版上。这个易于利用的漏洞允许任何非特用户过在其默认配置中利用此漏洞来获得易受攻击主机上的完全 root 限。 漏洞影响 Polkit > 2009 漏洞复现 from ctypes import * from ctypes.util import find_library impo
vulntarget-b靶场详细关记录
tpaer的博客
11-23 2983
vulntarget-b靶场最详细关记录。
CVE-2021-4034漏洞攻击案例(
weixin_50281314的博客
07-22 422
CVE-2021-4034漏洞攻击案例(
CVE-2021-4034-pkexec本地复现】
xhwfa的博客
03-20 5113
一、漏洞简述 Trustwave安全和工程团队于1月25日发现了Polkit的pkexec组件中的漏洞,该漏洞被识别为CVE-2021-4034 (PwnKit)。在polkit的pkexec实用程序中发现了一个本地漏洞。pkexec应用程序是一个setuid工具,旨在允许非特用户根据预定义的策略以特用户身份运行命令。当前版本的pkexec无法正确处理调用参数计数,并最终尝试将环境变量作为命令执行。攻击者可以过制作环境变量来利用这一点,从而诱导pkexec执行任意代码。成功执行后,由于目标计
CVE-2021-4034 pkexec本地漏洞分析
蚁景网安学院
02-21 1697
点击蓝字关注我们前言Qualys 研究团队在 polkit 的 pkexec 中发现了一个内存损坏漏洞,该 SUID 根程序默认安装在每个主要的 Linux 发行版上。这个易于利用的漏洞允...
Polkit(CVE-2021-4034复现)
m0_62207170的博客
03-02 192
CVE-2021-4034复现
CVE-2021-4034 pkexec 本地”神洞”
hackzkaq的博客
01-27 4671
搜索公众号:白帽子左一,每天更新技术干货! 作者:掌控安全-spider 其实这个漏洞大家看编号就知道是2021的洞了,但是poc一直没有被得到披漏。直至最近才有poc! Qualys 研究团队在 polkit 的 pkexec 中发现了一个内存损坏漏洞,该 SUID 根程序默认安装在每个主要的 Linux 发行版上。 这个易于利用的漏洞允许任何非特用户过在其默认配置中利用此漏洞来获得易受攻击主机上的完全 root 限。 关于 Polkit pkexec for Linux Polkit(以前称
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
漏洞利用 CVE-2021-4034-main.zip 漏洞
03-03
漏洞利用 CVE-2021-4034-main.zip 漏洞
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
Linux pkexec高危漏洞 CVE-2021-4034修复
02-10
polkit rpm包 执行rpm -Uvh polkit-0.112-26.el7_9.1.x86_64.rpm 即可修复
CVE-2021-25646-Apache Druid漏洞POC.py
02-26
CVE-2021-25646-Apache Druid漏洞POC.py
【最新漏洞预警】天王级视频监控产品某华认证绕过漏洞CVE-2021-330*复现与分析
QTcyber的博客
11-12 5880
1.引言 某华是全球占有率排名第二的视频监控品牌。2021年10月,多款摄像产品曝光了认证绕过漏洞,攻击者可利用该漏洞绕过身份验证,获得设备管理限,可对摄像头进行配置修改、获取配置信息、修改口令、重启设备、添加用户等,危害很高,影响IPC/VTH/VTO/NVR/DVR等主流产品。 2.漏洞复现 根据github上POC中的`requirements.txt`搭建环境: sudo pip3 install -r requirements.txt 运行`Console.py`,登陆方式选择`l
CVE-2021-4034:Linux Polkit 漏洞复现及修复
热门推荐
一只爱吃橙子的羊
01-27 2万+
本文仅为验证漏洞,在本地环境测试验证,无其它目的 CVE 编号: CVE-2021-4034 漏洞说明: 近期,国外安全研究团队在 polkit 的 pkexec 中发现存在的本地漏洞CVE-2021-4034) 关于 Polkit pkexec for Linux Polkit(以前称为 PolicyKit)是一个用于在类 Unix 操作系统中控制系统范围限的组件。它为非特进程与特进程供了一种有组织的方式。也可以使用 polkit 执行具有限的命令,使用命令 pkexec 后
Linux Polkit本地漏洞处理(CVE-2021- 4034)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
02-07 9842
一、背景   安全部门近期发出安全预警,示:常见发现版本的 CentOS、Ubuntu及Debian Linux系统中默认安装的Polkit工具集存在本地升的漏洞CVE-2021- 4034),目前漏洞利用代码已在互联网公开;    Linux Polkit工具集是Linux系统在安装过程中自带的系统工具集,其中包括大量运维常用工具。该工具集中的pkexec在特定情况下无法正确处理调用参数计数,因此会尝试将环境变量作为命令执行。攻击者可以过控制环境变量,使自身从系统普用户升至管理员限,对
pkexec本地CVE-2021-4034)ubuntu18
千寻的博客
05-17 2907
Polkit(以前称为 PolicyKit)是一个用于在类 Unix 操作系统中控制系统范围限的组件。它为非特进程与特进程供了一种有组织的方式。也可以使用 polkit 执行具有限的命令,使用命令 pkexec 后跟要执行的命令(具有 root 限)。polkit 的 pkexec application存在缓冲区错误漏洞,攻击者可利用该漏洞过精心设计环境变量诱导pkexec执行任意代码。
CVE-2021-4034漏洞复现
m0_66299232的博客
10-15 1445
当前版本的pkexec中没有正确处理参数和环境变量,导致攻击者可以利用这个Bug劫持环境变量`GCONV_PATH`,进而劫持动态链接库,以root身份执行任意代码。因为这个漏洞不是存在于一个服务中,所以Vulhub只是供了一个包含Polkit(PolicyKit)v0.105版本套件的Ubuntu。Polkit(之前名为PolicyKit)是一个限相关的套件,pkexec是其中用于以其他用户身份执行命令的工具,它具有suid限。./cve-2021-4034 //执行后,成功。
[图解]SysML和EA建模住宅安全系统-05
最新发布
rolt的专栏
05-18 651
作用就是定义属性之间的数学关系
CVE-2021-34527漏洞
05-12
CVE-2021-34527,也被称为PrintNightmare漏洞,是一个Windows Print Spooler服务中的安全漏洞,影响了Windows 7、Windows Server 2008、Windows Server 2012和Windows Server 2016等操作系统版本。攻击者可以利用这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

贺越洋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值