CVE-2021-3560的漏洞说明及利用流程

最新推荐文章于 2024-02-28 09:22:26 发布
最新推荐文章于 2024-02-28 09:22:26 发布
阅读量3.4k 收藏 2
点赞数
文章标签: linux ubuntu nginx epoll redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smellycat000/article/details/118949421
版权

 聚焦源代码安全,网罗国内外最新资讯!

漏洞说明

polkit是默认安装在很多Linux发行版上的系统服务。CVE-2021-3560是polkit中潜伏了7年之久的漏洞,于2021年6月份公布。该漏洞能使非特权本地用户获得系统root权限。CVE-2021-3560漏洞于polkit 0.113版引入,但是很多流行的Linux发行版直到最近才引入包含漏洞的版本。下表展示的是一些流行的Linux发行版及是否包含此漏洞的情况:

为了帮助解释该漏洞,首先对dbus-send命令执行过程进行说明。

虚线上方的两个进程dbus-send和Authentication Agent是非特权用户进程。线下的那些是特权系统进程。中间是dbus-daemon,它处理所有的通信:其他四个进程通过发送 D-Bus 消息相互通信。下面是通过dbus-send创建新用户的事件顺序:

1. dbus-send要求accounts-daemon创建一个新用户。

2. accounts-daemon从dbus-send接收 D-Bus 消息。该消息包含唯一的连接名称,我们假设它是“:1.96”。此名称被dbus-daemon附加到消息中,且不能被伪造。

3. accounts-daemon向polkit询问连接:1.96 是否被授权以创建新用户。

4. polkit向dbus-daemon询问连接:1.96的 UID。

5. 如果连接:1.96 的 UID 为“0”,则 polkit 立即授权该请求。否则,它会向身份验证代理发送允许授权请求的管理员用户列表。

6. Authentication Agent打开一个对话框以从用户那里获取密码。

7. Authentication Agent将密码发送给 polkit。

8. polkit 将“是”回复发送回accounts-daemon。

9. accounts-daemon 创建新的用户帐户。

CVE-2021-3560漏洞位于上述事件序列的第四步。如果 polkit 向dbus-daemon请求总线:1.96 的 UID,但总线:1.96 不再存在,会发生什么?dbus-daemon正确处理这种情况并返回错误。但事实上 polkit 没有正确处理该错误,它没有拒绝请求,而是将请求视为来自 UID 0 的进程。换句话说,它立即授权请求。向dbus-demon请求总线UID的函数为polkit_system_bus_name_get_creds_sync。

利用过程

操作系统:Ubuntu20.04

该漏洞非常容易被利用,它需要的只是标准的工具,比如终端的几个命令bash、kill和dbus-send,本节中描述的PoC依赖两个软件包accountsservicegnome-control-center在 Ubuntu等桌面图形系统上,这两个软件包通常默认安装。该漏洞与accountsservicegnome-control-center没有任何关系,它们只是 polkit 客户端,同时是方便利用的载体。

为了避免重复触发身份验证对话框,建议从 SSH 会话运行命令:

该漏洞是通过启动dbus-send命令但在 polkit 仍在处理请求的过程中将其杀死而触发的。为了确定杀死dbus-send进程的时间,首先我们要测量dbus-send正常运行的时间:

因此我们可以在7毫秒内杀死dbus-send进程进程以触发漏洞,完成用户创建的目的:

接着使用同样的方式为这个用户设置密码:

最后,我们就可以以boris2身份登录并成为root用户:

参考

https://github.blog/2021-06-10-privilege-escalation-polkit-root-on-linux-with-bug/#vulnerability

推荐阅读

Windows PrintNightmare 漏洞和补丁分析

从 CVE-2020-1048 到 CVE-2020-17001:Windows打印机模块中多个提权漏洞分析

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

详细分析开源软件 ExifTool 的任意代码执行漏洞 (CVE-2021-22204)

详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)

手把手教你详细分析 Chrome 1day 漏洞 (CVE-2021-21224)

Codecov后门事件验证分析

题图:Pixabay License

本文由奇安信代码卫士原创出品转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
Ubuntu服务器accounts-daemon进程占用50%CPU
Alice
01-27 4016
问题:服务器上的网站突然反应迟钝 top 指令查看CPU使用情况 如上所示,top命令可以看到总体的系统运行状态和cpu的使用率 。 %us:表示用户空间程序的cpu使用率(没有通过nice调度) %sy:表示系统空间的cpu使用率,主要是内核程序。 %ni:表示用户空间且通过nice调度过的程序的cpu使用率。 %id:空闲cpu %wa:cpu运行时在等待io的时间 %hi:cpu处理硬中断的数量 %si:cpu处理软中断的数量 %st:被虚拟机偷走的cpu 解决方案: rm wtmp 原因 U
CVE漏洞检索工具操作手册
weixin_44820552的博客
06-30 1004
这是一个用于查询组件CVE漏洞信息的Python脚本。它使用NIST NVD的RESTful API来获取CVE数据,并提供格式化的输出和导出到Excel功能。
nginx漏洞修复
最新发布
hnh_blog的博客
02-28 1010
解决,在以下各个监听端口加上一行,然后重启。解决:在nginx配置文件中添加以下配置。解决:请求头加上以下参数。写在location中。
Linux审计工具audit
weixin_43800781的博客
04-19 1583
审计 基于事先配置的规则生成日志,记录可能发生在系统上的事件。会发现并记录违反安全策略的人及其行为,但是不会提供额外的安全保护 可以记录日期与事件及结果,触发事件的用户,所有认证都可以被记录,如ssh等,还可记录数据文件的修改行为。比如监控文件访问,监控系统调用,记录用户运行的命令,审计可以监控网络访问行为 ausearch工具,可以根据条件过滤审计日志 aureport工具,可以生成审计...
(23)【漏洞利用】【原理、利用过程】中间件解析漏洞、CMS漏洞、编辑器漏洞CVE漏洞
03-16 7725
实战为本,理论先行
Linux学习笔记41——什么是 daemon 与服务 (service)
苏云南雁的博客
02-28 4255
在 Unix-Like 的系统中,你会常常听到 daemon 这个字眼!那么什么是传说中的 daemon呢?这些 daemon 放在什么地方?他的功能是什么?该如何启动这些 daemon ?又如何有效的将这些 daemon 管理妥当?此外,要如何视察这些 daemon 开了多少个 ports ?又这些ports 要如何关闭?还有还有,晓得你系统的这些 port 各代表的是什么服务吗? 这些都是最基...
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
CVE-2021-25735:利用CVE-2021-25735
05-14
利用CVE-2021-25735:Kubernetes验证准入Webhook绕过 设置脆弱的环境 让我们从运行脚本gencerts.sh开始以生成TLS证书和密钥。 bash gencerts.sh 要部署接纳控制器,您需要在本地构建Docker容器映像,使用以下命令...
CVE-2021-25646-Apache Druid漏洞POC.py
02-26
CVE-2021-25646-Apache Druid漏洞POC.py
检测通过“ proxylogon”组漏洞CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065)利用的Microsoft Exchange服务器上掉落的Web Shell-.NET开发
05-27
预认证SSRF,CVSS:3.0 9.1 / 8.4 CVE-2021-26857,不安全的反序列化导致特权升级到SYSTEM级别,CVSS:3.0 7.8 / 7.2 CVE-2021-26858,认证后文件写入, CVSS:3.0 7.8 / 7.2 CVE-2021-27065,认证后文件写入,CVSS...
ubuntu获取root权限_Ubuntu accountsdeamon获取root权限
weixin_39762666的博客
12-11 678
最近看到Ubuntu爆出了一个可以获取root权限的漏洞,于是学习复现一下。accountsservice守护程序(accounts-daemon)是一项系统服务,可以执行诸如创建新用户帐户或更改用户密码的操作。这里在主目录下创建了一个软连接:ln -s /dev/zero .pam_environment然后在设置里面打开区域和语言,随便更改一种语言,之后会出现对话框卡住情况。回到对话...
Linux 系统开机启动项清理
hanyun9988的博客
12-04 1346
Linux 系统开机启动项清理 中文翻译:https://linux.cn/article-8835-1.html https://linux.cn/article-8835-1.html Linux 系统开机启动项清理 Linux 系统开机启动项清理 Cleaning Up Your Linux Startup Process
【网络安全】CVE漏洞分析以及复现
Android_wxf的博客
04-21 1625
这个比 Shiro550、Shiro721 要增加一些东西,首先看 pom.xml 这个配置文件,因为漏洞是 shiro 1.0.0 版本的。Shiro 在路径控制的时候,未能对传入的 url 编码进行 decode 解码,导致攻击者可以绕过过滤器,访问被过滤的路径。的 bypass 方式也是合理的,可能一些其他特殊字符也是可以的,前提是对请求并不造成影响,像。继续往下走,判断 html 的目录与当前请求的目录是否相同,因为我们请求被拆分出来是。的匹配范围,这里之前我们设定的访问方式是。
CVE-2019-13956 漏洞利用
Foreverlove112的博客
10-01 1039
CVE-2019-13956 漏洞利用
【网络安全---漏洞复现】Tomcat CVE-2020-1938 漏洞复现和利用过程(特详细)
m0_67844671的博客
09-12 6437
Tomcat CVE-2020-1938 漏洞复现和利用过程(特详细);Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。AJP(Apache JServ Protocol)是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。WEB服务器通过 TCP连接
Linux 云服务器搭建 FTP 服务
JJJJJJJQK的博客
08-26 419
操作场景 Vsftpd(very secure FTP daemon)是众多 Linux 发行版中默认的 FTP 服务器。本文以 CentOS 7.6 64位操作系统的腾讯云服务器(CVM)为例,使用 vsftpd 软件搭建 Linux 云服务器的 FTP 服务。 示例软件版本 本文搭建 FTP 服务组成版本如下: Linux 操作系统:本文以公共镜像 CentOS 7.6 为例。 Vsftpd:本文以 vsftpd 3.0.2 为例。 操作步骤 步骤1:登录云服务器 使用标准方式登录 Lin
CVE-2021-4034漏洞原理解析
Ays.Ie的博客
11-18 7986
本篇文章主要分析了CVE-2021-4034漏洞,同时介绍了相关知识点以及使用方法,漏洞复现在前渗透测试(七)中体现,记录自己学习过程。
cve漏洞是什么意思?cve漏洞复现及利用
白帽黑客鹏哥的博客
12-08 2294
CVE(Common Vulnerabilities and Exposures)漏洞是一个网安技术术语,用于描述和标识信息安全领域的已知漏洞和安全风险。CVE是一个公开的列表或数据库,它为各种公开知晓的信息安全漏洞和风险提供了标准化的名称。每个CVE标识符都是唯一的,并按照一定的格式命名。这些标识符允许安全专家和研究人员在讨论、分析或修复特定的漏洞时保持一致性。
CVE-2021-26084 tomcat漏洞修复
05-11
CVE-2021-26084是Tomcat的一个严重漏洞,攻击者可以利用漏洞在未经授权的情况下执行任意代码或进行任意文件读取。建议尽快修复此漏洞以保护您的系统。 以下是修复此漏洞的步骤: 1. 升级Tomcat到最新版本。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值