如何实现sudo提权漏洞CVE-2021-3156的利用及分析


如何实现sudo提权漏洞CVE-2021-3156的利用及分析,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。sudo程序存在一个高危安全漏洞,漏洞编号为CVE-2021-3156,非root用户可通过执行“sudoedit -s”和以单个''结尾的命令行参数利用漏洞,获取root权限。该漏洞NVD的打分为 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H,最终得分为7.8分。漏洞影响范围为:sudo 1.8.2-1.8.31p2sudo 1.9.0-1.9.5p1sudo sudoers.c源文件中的set_cmnd()函数在拷贝参数时,由于错误处理”,造成堆写越界的问题,攻击者可通过控制参数和环境变量向特定堆地址之后的内存中写入任意长度的数据,其中包括’’。该漏洞存在多种利用方式,常见利用方式包括:1、通过堆溢出覆盖process_hooks_getenvsudo_hook_entry结构体的函数指针,进而通过execve()`函数执行代码得到root权限。2、通过堆溢出覆盖glibcnss_load_library()函数ni结构体,进而通过__libc_dlopen()加载恶意动态库,执行代码得到root权限。由于不同版本的环境上执行时,堆内存分布不同,发生溢出的缓冲区大小、溢出长度、环境变量等参数需要模糊测试或暴力破解等方式得到,本文分析的是第二种利用方式。使用execve()函数执行系统中的/usr/bin/sudoedit,并将payload通过参数变量char *sudo_argv[]和环境变量char *sudo_envp[]进行传递。(这里使用execve()的目的是为了便于控制执行时的env环境变量。)char *sudo_argv[]char *sudo_envp[]值分别如下。sudo.cmain()函数先调用paese_args()解析运行状态并转义特殊字符,然后调用set_cmnd()函数。set_cmnd()函数存在堆溢出漏洞,可向堆中写入任意长的数据main()函数首先调用parse_args.c中的parse_args()函数。该函数处理如下。1、根据用户执行命令及相关参数对modeflags标志位进行赋值。2、根据modeflags标志位的值,判断是否需要对''等特殊字符进行转义。3、对参数数量变量int nargc以及参数指针变量char **nargv进行赋值。4、将mode|flags的计算结果作为返回值赋给主函数的sudo_mode变量。攻击者执行sudoedit [-s shell] file命令时,parse_args()函数会判断用户命令行输入的执行文件名char *progname是否为**”sudoedit”字符串,如果是则将int mode变量置为MODE_EDIT**(该宏为0x02)。然后使用switch()语句判断参数是否包含**’-s’,如果是则将int flags变量置为MODE_SHELL**(该宏为0x20000)。当mode值为MODE_EDIT(该宏为0x02),且flagsMODE_SHELL(该宏为0x20000)时。语句(ISSET(mode, MODE_RUN) &&am免费云主机域名p; ISSET(flags, MODE_SHELL))执行结果为false,可绕过判断。否则代码在包含''在内的特殊字符前添加''进行转义,会导致攻击失效。最终将*nargc赋值为argc,将*nargv 赋值为argv。并mode | flags的计算结果返回给主函数的sudo_mode变量。执行代码后,modeflags打印如下。函数返回值sudo_mode打印如下。main()函数进入set_cmnd()函数,此时调用栈如下。set_cmnd()函数会先通过malloc分配堆空间,用于拷贝参数。此时分配空间的size0x74。然后对sudo_mode变量进行判断。此时变量sudo_mode值为0x20002,语句ISSET(sudo_mode, MODE_SHELL|MODE_LOGIN_SHELL)的执行结果为True(宏MODE_SHELL0x20000,宏MODE_EDIT0x02),通过if判断后,程序进入溢出点。set_cmnd()函数执行for循环将参数字符串拷贝到堆中。执行过程中当*from为”且*(from+1)不为空格时,会执行from++语句,然后指针指向下一字节拷贝。当拷贝的参数字符串以''符号结尾时,会进入if语句Ture分支执行from++,指针指向下一个字节**’’**。当执行*to++=*from++语句时,会将from指向的字节''拷贝到堆中。拷贝完成后from指针加1,指向下一个字符串的首字节接着进行拷贝,从而造成堆写越界。初始时from指针指向0x7fffffffee02。其中0x7fffffffee020x7fffffffee75execve()执行时设置的s_argv[]参数值。0x7fffffffee760x7fffffffefe5s_envp[]环境变量值。环境变量包含''、字符串"/SHELL_CODExx"以及LC_ALL=C.UTF-8@等。设置环境变量LC_ALL的目的是为了影响堆chunk的分配。打印环境变量数据如下。拷贝完成后,将覆盖0x5555557843200x5555557844e6的堆区域。此时写数据的长度为0x1c6个字节,越界写的长度为152个字节,其部分内容如下。通过溢出可覆盖glibc中的ni结构体指针指向的堆区域,ni指针指向了service_user类型的机构体,service_user结构体定义如下。ni指针指向的内存区域为0x5555557843a00x5555557843df。写溢出后,该区域数据如下。结构体ni->library变量(地址为0x5555557843c0)被覆盖为0x0ni->name变量(0x5555557843d0)被覆盖为**”/SHELL_CODExx”**。接下来会调用glibc库nsswitch.c文件中的nss_load_library()函数加载动态库,函数调用栈如下。检测ni->library为null后,将调用nss_new_service()ni->library进行赋值。赋值完成后,ni->library指向0x555555792970nss_load_library()ni->name变量拼接so动态库的名称。进行拼接后后,shlib_name的值为**”libnss/SHELL_CODExx .so.2″**。
当调用__libc_dlopen (shlib_name)加载动态库时,动态库的_init()函数会得到执行。通过恶意构造_libnss_/SHELL_CODExx .so.2动态库,可通过加载动态库获取root权限。动态库内容如下。最终提权效果如下。看完上述内容,你们掌握如何实现sudo提权漏洞CVE-2021-3156的利用及分析的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注云编程开发博客行业资讯频道,感谢各位的阅读!

相关推荐: Paddind Oracle Attack的示例分析

这篇文章将为大家详细讲解有关Paddind Oracle Attack的示例分析,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。加密方式为AES免费云主机域名.CBC模式已知加密后的cipher已知加密时初始的iv如果明文过长…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

Like (0)
Donate 微信扫一扫 微信扫一扫
Previous 02/05 12:58
Next 02/05 12:58