分析|CVE-2021-3156-sudo堆溢出高危漏洞

最新推荐文章于 2024-08-11 23:50:54 发布
最新推荐文章于 2024-08-11 23:50:54 发布
阅读量598 收藏 1
点赞数
分类专栏: Web安全
原文链接:https://mp.weixin.qq.com/s/SPOB6EVy-cAAq0psQu87EA
版权

编辑前言

Qualys的安全研究人员于1月13日发文称,攻击者无需知道用户密码即可成功利用此漏洞,在众多基于 Linux 的发行版本中获得最高的 root 权限。受影响的 Sudo 漏洞版本包括从 1.8.2 到 1.8.32p2 的经典版本,以及从 1.9.0 到 1.9.5p1 所有稳定版本。

调试方式

首先从github下载代码:

https://github.com/sudo-project/sudo/archive/SUDO_1_9_5p1.tar.gz

编译

tar xf sudo-SUDO_1_9_5p1.tar.gz
cd sudo-SUDO_1_9_5p1/
mkdir build
cd build/
../configure --enable-env-debug
make -j
sudo make install

调试(请以root方式执行gdb)

gdb --args sudoedit -s '\' `perl -e 'print "A" x 65536'`

gdb加载执行后进程会crash,这时候就可以对有漏洞的源码位置下断点,因为漏洞diamante貌似是动态加载的,直接下断点下不到,crash之后就可以下了

断点命令:

b ../../../plugins/sudoers/sudoers/sudoers.c:964
b ../../../plugins/sudoers/sudoers/sudoers.c:978

漏洞成因

调试用poc:

sudoedit -s '\' 112233445566

 

漏洞位于 set_cmnd 函数中,关键代码如下:

/* Alloc and build up user_args */
for (size = 0, av = NewArgv + 1; *av; av++) 
    size += strlen(*av) + 1;
    if (size == 0 || (user_args = malloc(size)) == NULL) {
        if (ISSET(sudo_mode, MODE_SHELL|MODE_LOGIN_SHELL)) {
            for (to = user_args, av = NewArgv + 1; (from = *av); av++) {
                while (*from) {
                    if (from[0] == '\\' && !isspace((unsigned char)from[1])) //关键逻辑!!!
                        from++;
                    *to++ = *from++;
                }
            *to++ = ' ';
        }
        *--to = '\0';
    }

进入该函数时NewArgv的结构如下:

NewArgv[0]: sudoexit

NewArgv[1]: \

NewArgv[2]: 112233445566

首先会计算NewArgv 1-2两个参数的长度 2 + 13 = 15.

因此user_args分配的内存大小为 15 字节。

然后会把NewArgv 1-2的数据拷贝到user_args里面。

拷贝过程中如果from[0]为\,且from[1]不是空格就会from++。

if (from[0] == '\\' && !isspace((unsigned char)from[1]))  //关键逻辑!!!
    from++;

所以在处理NewArgv[1]时,from[0]就是\,from[1]为\x00,会通过这个判断让from++,然后后面会再次from++。

*to++ = *from++;

之后from就指向了NewArgv[1]字符串\x00后面一个字符的位置,我们看看调试时NewArgv[1]后面是什么。

图片

可以看到NewArgv[1] (0x5c 0x00)后面紧跟着的是NewArgv[2]( 0x31 0x31 ...),所以此时 from 执行的就是 NewArgv[2] 的开头。

 

从而会再次进入while循环把NewArgv[2]拷贝到user_args。

 

然后处理NewArgv[2]会再次把NewArgv[2]拷贝到user_args。

 

因此最终结果就是 NewArgv[2] 被拷贝了两次,实际的写入数据长度为26字节。

图片

这个漏洞是一个堆溢出,不过写的数据需要是非\x00,如果user_args分配的内存比较小(比如15字节)的话,其后面是unsorted bin,如果分配的比较大的话(使用原始的poc)其后面跟的是top chunk,感觉都不是很好利用。

感觉需要花一些事件捋一捋代码的逻辑,看看有没有什么其他的想法。

修改NewArgv[1]和NewArgv[2]的长度可以控制user_args堆块后面的空闲堆块的大小。

此外到达漏洞代码的poc构造过程也很精彩,这部分可以去发布漏洞的博客查看。

参考链接:

https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit

zhangge3663
关注
专栏目录
CVE-2021-3156Sudo 缓冲区溢出漏洞
墨痕诉清风的博客
01-28 3392
源码编译安装最新Sudo软件包,下载链接为: https://www.sudo.ws/dist/)都可以利用此漏洞,而无需进行身份验证,攻击者不需要知道用户的密码。成功利用此漏洞可以获得。解析命令行参数的方式中发现了基于的缓冲区溢出。任何本地用户(普通用户和系统用户,1. 进入CVE-2021-3156-main目录下。使用make命令对当前目录下的文件进行编译。根据我们版本,我们选择0,尝试。,获取Root权限,提权成功。查看EXP支持的系统版本。
CVE-2021-3156 —— Sudo 缓冲区溢出漏洞
战神/calmness的博客
02-01 571
CVE-2021-3156 —— Sudo 缓冲区溢出漏洞 描述 2021年01月27日,监测到RedHat官方发布了sudo 缓冲区/栈溢出漏洞的风险通告,该漏洞编号为CVE-2021-3156Sudo具有基于的缓冲区溢出,攻击者可以通过“ sudoedit -s”和以单个反斜杠字符结尾的命令行参数将特权提升到root用户。 在sudo解析命令行参数的方式中发现了基于的缓冲区溢出。任何本地用户(普通用户和系统用户,sudoer和非sudoers)都可以利用此漏洞,从而绕过策略从普通账号权限提
Linux sudo权限提升漏洞 CVE-2021-3156
PeiQi的博客
01-31 806
Linux sudo权限提升漏洞 CVE-2021-3156 漏洞描述 2021年1月26日,Linux安全工具sudo被发现严重的基于缓冲区溢出漏洞。利用这一漏洞,攻击者无需知道用户密码,一样可以获得root权限,并且是在默认配置下。此漏洞已分配为CVE-2021-3156,危险等级评分为7分。 当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或-i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。因此只要存在su
CVE-2010-2553:Microsoft Cinepak Codec CVDecompress 函数溢出漏洞调试分析
墨鱼菜鸡
02-23 186
0x01 前言 微软提供一个叫 Cinepak 的视频解码器,通过调用 iccvid.dll 这个动态链接库文件可以使用这个解码器...
渗透学习之漏洞复现
最新发布
Zombie_QP的博客
08-11 473
2)i.d在php中$_REQUEST,自动转为i_d,而 $request_uri 接收i.d就是i.d。这个代码在burp中可以这样写,但是在页面的搜索框中输入的话,要将其编码。然后咋们去进行burpsuit抓包,将抓到的包放入repeater里面。3)注入绕过 =(like) 单引号(十六进制) 空格(/**/)这里我们运用临时文件去做一个绕过,编写一个HTML文件。查看源代码后,发现有防范,那么应该如何去绕过呢?1)hpp全局污染,php接受相同参数。这里的两条限制了长度,限制了字母和数字。
CVE-2021-3156 Sudo溢出提权漏洞
weixin_39205521的博客
03-24 197
CVE-2021-3156: 缓冲区溢出漏洞sudo解析命令行参数的方式中发现了基于的缓冲区溢出。任何本地用户(普通用户和系统用户,sudoer和非sudoers)都可以利用此漏洞,而无需进行身份验证,攻击者不需要知道用户的密码。成功利用此漏洞可以获得root权限。 用户可以使用如下方法进行自查:以非root用户登录系统,并使用命令sudoedit -s / 如果响应一个以sudoedit:开头的报错,那么表明存在漏洞。 如果响应一个以usage:开头的报错,那么表明补丁已经生效。 影响版本 Sudo
CVE-2021-3156sudo Heap overflow sudo本地提权复现与分析
「鸿渐之翼」的博客
02-04 4451
CVE-2021-3156简介:
CVE-2021-3156(Linux sudo权限提升漏洞漏洞复现
markecheng的博客
02-02 1300
一、漏洞简介 1月26日,Sudo发布安全通告,修复了一个类Unix操作系统在命令参数中转义反斜杠时存在基于的缓冲区溢出漏洞。当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或 -i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。只要存在sudoers文件(通常是 /etc/sudoers),攻击者就可以使用本地普通用户利用sudo获得系统root权限。请受影响的用户尽快采取措施进行防护。 二、影响版本 Sudo 1
修复Linux Sudo|CVE-2021-3156高危漏洞,别踩这个坑!
seo591的博客
02-01 1118
修复Linux Sudo|CVE-2021-3156高危漏洞,别踩这个坑! Linux是有漏洞的,2021年01月27日,据360CERT监测发现RedHat发布了sudo 缓冲区/栈溢出漏洞的风险通告,该漏洞编号为CVE-2021-3156漏洞等级:高危漏洞评分:7.0。 漏洞的具体危害: 在sudo解析命令行参数的方式中发现了基于的缓冲区溢出。任何本地用户(普通用户和系统用户,sudoer和非sudoers)都可以利用此漏洞,而无需进行身份验证,攻击者不需要知道用户的密码。.
CVE-2021-3156漏洞复现-centos7
weixin_43867542的博客
07-19 2398
漏洞名称:sudo 缓冲区错误漏洞 等级危害:高危 CVSS评分: 漏洞类型:缓冲区错误 漏洞概述 Sudo是一款使用于类Unix系统的,允许用户通过安全的方式使用特殊的权限执行命令的程序。 Sudo 1.9.5p2 之前版本存在缓冲区错误漏洞,攻击者可使用sudoedit -s和一个以单个反斜杠字符结束的命令行参数升级到root。 受影响版本 sudo 1.8.2 - 1.8.31p2;sudo 1.9.0 - 1.9.5p1 环境概述 centos7 漏洞复现 1...
CVE-2021-3156 Sudo溢出提权漏洞复现
afei001
01-30 1072
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞复现 4.1 漏洞验证 4.2 漏洞验证POC 4.3漏洞利用 5.漏洞修复 5.1 临时缓解措施 5.2 升级sudo 1.漏洞概述 2021年1月26号左右,Qualys研究小组发现了sudo中的溢出漏洞,该漏洞在Unix和Linux的操作系统上都可以使用。通过利用此漏洞,攻击者可以将任何普通用户提权至root权限。 Sudo是一个功能强大的实用程序,绝大多数基于Unix和Linux的...
CVE-2021-3156
03-05
CVE-2021-3156 PoC 介绍 这是CVE-2021-3156 sudo漏洞(由Qualys称为的漏洞)的利用程序。 用法 建造: $ make 列出目标: $ ./sudo-hax-me-a-sandwich 跑: $ ./sudo-hax-me-a-sandwich <target> 手动模式: $ ./sudo-hax-me-a-sandwich <smash> <smash> <null> <lc> 蛮力目标发现(实验性) 确保已安装。 $ make brute $ ./brute.sh <smash> <smash> <null> <null> <lc> <lc> 一些默认尝试: $ ./brute.sh 90 120 50
CVE-2021-3156:CVE-2021-3156
03-06
CVE-2021-3156
CVE-2021-3156 sudo溢出漏洞
qq_49279082的博客
02-21 420
sudo溢出漏洞(一个属于内网提权漏洞)
vim/vim 缓冲区溢出漏洞CVE-2022-1381)
murphysec的博客
04-18 2994
CVE-2022-1381 漏洞影响了 8.2.4763 版本之前的vim,vim中的skip_range方法,存在缓冲区溢出的问题,极可能导致软件崩溃、远程执行等缺陷。 作为一个广泛使用的文本编辑器,此问题的影响辐射很广,建议低于此版本的用户,尽快下载官方补丁,以避免此漏洞造成的影响。
Sudo 缓冲区溢出漏洞CVE-2021-3156
z4yn:)的博客
02-09 548
Baron Samedit(CVE-2021-3156) A tutorial room exploring CVE-2021-3156 in the Unix Sudo Program. Room Three in the SudoVulns Series Sudo 缓冲区溢出漏洞 受影响版本: Sudo 1.8.2 - 1.8.31p2 Sudo 1.9.0 - 1.9.5p1 POC: sudoedit -s '\' $(python3 -c 'pri...
【操作系统安全】_sudo提权_CVE-2021-3156
soldi_er的博客
04-04 4145
文章目录sudo提权简单叙述实验利用Linux用户管理烂土豆提权cve-2019-14287参考 sudo提权 简单叙述 发布时间 CVE编号 类型 等级 影响范围 远程利用 2021-01-27 CVE-2021-3156 权限提升 高危 Sudo 1.8.2-31p2,Sudo 1.9.0-5p1 否   Sudo是一款允许普通用户执行root权限命令的工具, 在2021年01月26日被披露存在一个基于的缓冲区溢出漏洞(被命名为Baron Samedit),可导致本地权限提升。
CVE-2021-3156 Sudo
zhangguan96的博客
02-02 252
CVE-2021-3156 Sudo 漏洞的解决方案 这个漏洞有10多年了,最近刚公布解决方案。 主要是linux的sudo需要升级到 1.9.5p2 第一步 先根据版本号下载: centos 5: https://github.com/sudo-project/sudo/releases/download/SUDO_1_9_5p2/sudo-1.9.5-3.el5.x86_64.rpm centos 6 : https://github.com/sudo-project/sudo/releases/dow
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值