CVE-2021-3156(sudo Heap overflow sudo本地提權復現與分析)

原創 osc_tp43x0xv 2021-02-06 21:14

CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit)
CVE-2021-3156簡介:
sudo是一個幾乎無處不在的實用程序,可用於主要的類Unix操作系統。通過利用此漏洞,任何未經授權的用戶都可以使用默認sudo配置在易受攻擊的主機上獲得root權限。
Sudo是一個強大的實用程序,它包含在大多數基於Unix和Linux的操作系統中。它允許用戶以另一個用戶的安全權限運行程序。近10年來,這個漏洞本身一直隱藏在人們的視線中。
根據安全研究員[email protected]的報告:
受到威脅的系統有:
Ubuntu 18.04.5 (Bionic Beaver) - sudo 1.8.21, libc-2.27
Ubuntu 20.04.1 (Focal Fossa) - sudo 1.8.31, libc-2.31
Debian 10.0 (Buster) - sudo 1.8.27, libc-2.28


通過審計Sudo Mode模塊代碼:






571     if (ISSET(mode, MODE_RUN) && ISSET(flags, MODE_SHELL)) {
   
    
572         char **av, *cmnd = NULL; 
573         int ac = 1; 
... 
581             cmnd = dst = reallocarray(NULL, cmnd_size, 2); 
... 
587             for (av = argv; *av != NULL; av++) {
   
    
588                 for (src = *av; *src != '\0'; src++) {
   
    
589                     /* quote potential meta characters */ 
590                     if (!isalnum((unsigned char)*src) && *src != '_' && *src != '-' && *src != '$') 
591                         *dst++ = '\\'; 
592                     *dst++ = *src; 
593                 } 
594                 *dst++ = ' '; 
595             } 
... 
600             ac += 2; /* -c cmnd */ 
... 
603         av = reallocarray(NULL, ac + 1, sizeof(char *)); 
... 
609         av[0] = (char *)user_details.shell; /* plugin may override shell */ 
610         if (cmnd != NULL) {
   
    
611             av[1] = "-c"; 
612             av[2] = cmnd; 
613         } 
614         av[ac] = NULL; 
615  
616         argv = av; 
617         argc = ac; 
618     }

稍後,在sudoers\u policy\u main()中,set\cmnd()將命令行參數連接到基於堆的緩衝區“user\u args”(第864-871行)中,並取消對元字符(第866-867行)的scape,“用於sudoers匹配和日誌記錄目的”:

819     if (sudo_mode & (MODE_RUN | MODE_EDIT | MODE_CHECK)) {
   
    
... 
852             for (size = 0, av = NewArgv + 1; *av; av++) 
853                 size += strlen(*av) + 1; 
854             if (size == 0 || (user_args = malloc(size)) == NULL) {
   
    
... 
857             } 
858             if (ISSET(sudo_mode, MODE_SHELL|MODE_LOGIN_SHELL)) {
   
    
... 
864                 for (to = user_args, av = NewArgv + 1; (from = *av); av++) {
   
    
865                     while (*from) {
   
    
866                         if (from[0] == '\\' && !isspace((unsigned char)from[1])) 
867                             from++; 
868                         *to++ = *from++; 
869                     } 
870                     *to++ = ' '; 
871                 } 
... 
884             } 
... 
886     }

在第866行,“from[0]”是反斜槓字符,“from[1]”是參數的空終止符(即,不是空格字符);
在第867行,“from”遞增並指向空終止符;
在第868行,空終止符被複制到“user\u args”緩衝區,“from”再次遞增並指向空終止符後面的第一個字符(即,超出參數的邊界);
第865-869行的“while”循環讀取越界字符並將其複製到“user\u args”緩衝區。
換句話說,set\u cmnd()易受基於堆的緩衝區溢出的攻擊,因爲複製到“user\u args”緩衝區的越界字符未包含在其大小中(在第852-853行計算)。



但是,理論上,沒有命令行參數可以以單個反斜槓字符結尾:如果設置了MODE\u SHELL或MODE\u LOGIN\u SHELL(第858行,這是到達易受攻擊代碼的必要條件),則設置MODE\u SHELL(第571行),parse\u args()已經轉義了所有元字符,包括反斜槓(即。,它用第二個反斜槓逃過了每一個反斜槓)。
但實際上,set\u cmnd()中的易受攻擊代碼和
parse\u args()中的轉義代碼被稍微不同的條件包圍:

819     if (sudo_mode & (MODE_RUN | MODE_EDIT | MODE_CHECK)) {
   
    
... 
858             if (ISSET(sudo_mode, MODE_SHELL|MODE_LOGIN_SHELL)) {
   
    

571     if (ISSET(mode, MODE_RUN) && ISSET(flags, MODE_SHELL)) {

我們的問題是:我們是否可以設置模式\u SHELL和模式\u EDIT或模式\u CHECK(以訪問易受攻擊的代碼),而不是默認模式\u RUN(以避免轉義代碼)?

答案似乎是否定的:如果我們設置MODE_EDIT(-e option,第361行)或MODE_CHECK(-l option,第423行和第519行),那麼parse_args()將MODE_SHELL從“valid_flags”(第363行和第424行)中刪除,如果我們指定了MODE_SHELL(第532-533行)之類的無效標誌,則返回錯誤:

358                 case 'e': 
... 
361                     mode = MODE_EDIT; 
362                     sudo_settings[ARG_SUDOEDIT].value = "true"; 
363                     valid_flags = MODE_NONINTERACTIVE; 
364                     break; 
... 
416                 case 'l': 
... 
423                     mode = MODE_LIST; 
424                     valid_flags = MODE_NONINTERACTIVE|MODE_LONG_LIST; 
425                     break; 
... 
518     if (argc > 0 && mode == MODE_LIST) 
519         mode = MODE_CHECK; 
... 
532     if ((flags & valid_flags) != flags) 
533         usage(1);

但是我們發現了一個漏洞:如果我們將Sudo作爲“sudoedit”而不是“Sudo”執行,那麼parse\u args()會自動設置模式\u EDIT(第270行),但不會重置“valid\u flags”,“valid\u flags”默認包括模式\u SHELL(第127行和第249行):

127 #define DEFAULT_VALID_FLAGS     (MODE_BACKGROUND|MODE_PRESERVE_ENV|MODE_RESET_HOME|MODE_LOGIN_SHELL|MODE_NONINTERACTIVE|MODE_SHELL) 
... 
249     int valid_flags = DEFAULT_VALID_FLAGS; 
... 
267     proglen = strlen(progname); 
268     if (proglen > 4 && strcmp(progname + proglen - 4, "edit") == 0) {
   
    
269         progname = "sudoedit"; 
270         mode = MODE_EDIT; 
271         sudo_settings[ARG_SUDOEDIT].value = "true"; 
272     }

因此,如果我們執行“sudoedit-s”,那麼我們同時設置模式\u EDIT和模式\u SHELL(而不是模式\u RUN),我們就避免了轉義代碼,到達易受攻擊的代碼,並通過以單個反斜槓字符結尾的命令行參數使基於堆的緩衝區“user \u args”溢出:

sudoedit-s'\'`perl-e'print“A”x 65536'
malloc(): corrupted top size 
Aborted (core dumped)

從攻擊者的角度來看,這種緩衝區溢出非常理想,原因如下:
1) 攻擊者控制可以溢出的“user\u args”緩衝區的大小(在第852-854行連接的命令行參數的大小);

2) 攻擊者獨立控制溢出本身的大小和內容(最後一個命令行參數後面緊跟着第一個環境變量,這些變量不包括在第852-853行的大小計算中);

3) 攻擊者甚至可以將空字節寫入溢出的緩衝區(每個以單個反斜槓結尾的命令行參數或環境變量都會將空字節寫入第866-868行的“用戶參數”)。

例如,在amd64 Linux上,下面的命令分配一個24字節的“user\u args”緩衝區(一個32字節的堆塊)並用。
歡迎關注CSDN:知柯信息安全

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

在Linux操作系統的安裝過程中,如何選擇合適的發行版

【關鍵詞】{{linux安裝}} 【提問】{{question}} 在Linux操作系統的安裝過程中,如何選擇合適的發行版,並確保安裝過程順利進行?此外,對於不同硬件配置的用戶,有哪些特定的安裝注意事項和優化策略? 【文章】{{Linux操

原創 2024-05-17 01:49:06

【AI應用開發全流程】使用AscendCL開發板完成模型推理

本文分享自華爲雲社區《【昇騰開發全流程】AscendCL開發板模型推理》,作者:沉迷sk。 前言 學會如何安裝配置華爲雲ModelArts、開發板Atlas 200I DK A2。 並打通一個Ascend910訓練到Ascend310推理

原創 2024-06-05 22:57:15

修復 MySQL 8.4 的 "mysql_native_password is not loaded" 插件未加載錯誤

修復 MySQL 8.4 的 "mysql_native_password is not loaded" 插件未加載錯誤 將 mysql_native_password 用戶更新到 caching_sha2_password 在具有足夠權限

vga 2024-06-04 14:30:04

二進制文件查看工具和方法

查看二進制文件可以通過多種方法實現,取決於你想要的具體信息和你使用的操作系統。以下是一些常見的方法和工具: 使用十六進制編輯器 十六進制編輯器可以顯示文件的十六進制表示和對應的ASCII字符。這些工具非常適合查看和編輯二進制文件。 Win

原創 2024-05-30 02:27:38

scp遠程連接複製文件或目錄

文件拷貝 將本地文件拷貝到遠程服務器中 scp 本地文件 遠程服務用戶名@遠程服務器IP地址:指定拷貝到遠程服務器的文件夾路徑 或 scp 本地文件 遠程服務用戶名@遠程服務器名稱:指定拷貝到遠程服務器的文件夾路徑  將遠程服務器

原創 2024-05-30 00:06:48

乾貨收藏!Calico的BGP RouteReflector策略實踐

本文分享自華爲雲社區《Calico BGP RouteReflector策略實踐》,作者:可以交個朋友。 一 背景 容器網絡組件Calico支持多種後端模式,有Overlay的IPIP、Vxlan模式,也有Underlay純路由的BGP模

原創 2024-05-29 22:58:38

centos7按照MYSQL8(安裝包)

查詢Linux的clibc版本 rpm -qa | grep glibc 現在mysql官網找到對應glibc版本的下載url 然後在linux內下載 wget https://dev.mysql.com/get/Downloads

Rsky08 2024-05-29 22:15:17

由淺入深在實踐中玩轉Zabbix,解決剩下20%的監控需求!

本文整理自Zabbix中級認證專家李銘栓(滿分學員)在Zabbix Meetup廣州站的演講。 掌握這幾種監控方式解決80%的監控問題,剩下的20%如何實現?這裏有答案! 幾點經驗分享: 1

Zabbix中國 2024-05-24 22:33:53

Linux操作系統的安裝策略與過程

【關鍵詞】linux安裝 【提問】如何在不同硬件配置和操作系統環境下成功安裝Linux? 【文章】Linux操作系統的安裝策略與過程 在現代計算機技術不斷演進的今天,Linux已成爲世界上最流行且功能強大的開源操作系統之一。它不僅廣泛應用於

原創 2024-05-22 01:50:32

linux加載動態庫失敗

一般我們在Linux下執行某些外部程序的時候可能會提示找不到共享庫的錯誤, 比如: tmux: error while loading shared libraries: libevent-1.4.so.2: cannot open sha

mskk 2024-05-21 00:52:55

Docker on Centos-docker-compose

1、查看網絡 docker network ls docker network inspect $container_name 2、docker-compose微服務庫擴容 前提:application.yml配置文件要做相應調整 dock

原創 2024-05-20 11:27:29

Linux中的tty和pts

一、幾個基本概念 tty(Teletypewriter) 來源於“電傳打印機”,Linux系統中則是終端設備的統稱,同時也代指操作系統中支持終端設備的tty子系統。   console(控制檯)

原創 2024-05-18 00:45:13

個人開發者如何入門 Java 異步編程

標題:《從零開始:一份詳盡的Linux安裝教程》 引言: 在數字化的世界裏,Linux操作系統以其開源的特性、高度的安全性和穩定性,成爲了服務器和個人電腦的熱門選擇。無論是開發者、系統管理員還是技術愛好者,掌握Linux的安裝與配置都是一項

原創 2024-05-17 01:49:09

流水線 YAML 高級用法來了!大幅降低重複代碼、靈活編排多任務

作者:木煙 在 YAML 化配置流水線時,你是否會遇到以下問題? 單流水線中批量執行類似任務場景時,YAML 中需要定義多個類似邏輯的 Job,Job 越多,流水線 YAML 配置的越長,YAML 中的重複代碼越多,代碼複用性低,可讀性差

原創 2024-05-16 21:13:44

高效調度新篇章:詳解DolphinScheduler 3.2.0生產級集羣搭建

轉載自tuoluzhe8521 導讀:通過簡化複雜的任務依賴關係, DolphinScheduler爲數據工程師提供了強大的工作流程管理和調度能力。在3.2.0版本中,DolphinScheduler帶來了一系列新功能和改進,使其在生產環

原創 2024-05-15 21:22:54