这个洞应该都不陌生,这篇文章就挨着poc流程分析一遍。
前置知识
1、linux的动态链接库,这个东西在web这里基本就在php的bypass_disable_function里面出现,以前php的bypass就是通过设置环境变量LD_PRELOAD来加载恶意的动态链接库执行我们想要执行的恶意代码,可以通过动态链接库重写函数也可以通过__attribute__这个特殊的函数直接执行恶意代码,在程序员的自我修养里面也提到过。
2、suid文件,这个东西大概就是使用文件者具有文件所有者的权限。
到这里就应该会想,既然LD_PRELOAD这个环境变量存放的动态链接库是预加载的,那suid文件运行是设置这个环境变量不就行了,但是事实是glibc有验证,这里就可以看得如果是setuid(也就是suid文件)就不会加载这个环境变量的动态链接库了,因为这是非常不安全的。

poc的流程分析
首先从github上面下载poc源码

https://github.com/blasty/CVE-2021-3156

然后调试第二个重写service_user的那个poc

https://www.qualys.com/2021/01/26/cve-2021-3156/baron-samedit-heap-based-overflow-sudo.txt

现在就来调试(后面的的调试都是在root的权限下,不然无法跟进子进程)这个poc吧,首先下载一个sudo(和本机的版本相同,我的是ubuntu的sudo 1.8.21)的源码,然后编译安装,这个可以参考

https://bbs.pediy.com/thread-265669.htm

编译安装完成后把生成的sudo复制到/usr/bin/sudd,并且设置为root的suid权限(chown root:root /usr/bin/sudd;chmod u+s /usr/bin/sudd)

然后修改一下poc的2个地方,然后make


先看一下漏洞的地方,在set_cmnd的这个函数,不过开始不能执行下断点,得在sudd这个elf文件加载后才行

先在hax.c的execve这里下好断点,然后运行

然后在__libc_start_main打好断点,因为要进入子进程了

然后在310行下好断点运行,到现在sudd这个elf文件已经加载进来了,但是set_cmnd并没有加载了,因为这个是在sudoers.so里面的,得等到他加载了这个动态链接库才行


然后单步(si)运行直到进入了main函数

再次在211下好断点,此时已经加载好了sudoers.so



现在就可以在set_cmnd打好断点了,继续运行了

现在就可以开始看他写入修改了什么

先看看to变量,发现有本来就只可以写入0x70这么多的数据,后面是一个unsortedbin的chunk,当然这个poc来打开启调试的这个sudo(sudd)是打不通的,因为堆布局不同,这里的目的就是看看他可以修改后面的哪些数据


看看av,可以知道他存放了4个地址,然后挨着看一下


看看第一个A后面还有什么,发现了很多005c(\\x00),这个就是\\x00,当指向这里时from就会先向后移一位(就指到了\x00),然后to写入\x00,from又会加一这样就到了005c(\\x00)后面的那个字符了,这样*from就不为空,就会继续循环,循环后会在最后那里写入空格,这也是为什么poc在创建恶意动态链接库时有个空格


好了现在我们通过开启debug的sudo看了流程,大概就是可以堆溢出向后写入数据,现在我们可以退出去调试没有开启debug的sudo了
现在修改hax.c,然后make

然后继续调试,在__libc_start_main断点之前都一样,现在没有一些符号字符串就比较难下断点了,不过通过刚才的流程可以知道,真正起作用的部分是在加载sudoers.so之后的操作,所以我们在_dl_open下好断点


一直继续运行,直到sudoers.so出现,然后finish执行完当前函数返回,然后就加载了sudoers.so



现在我们也不知道具体断点该下在哪里,不过漏洞发布的地方写了是修改的systemd这个字符串,并且将library设置为了空

经过刚刚有完整符号表的那个调试可以知道,影响修改的地方是在堆中(堆(heap)的范围通过vmmap指令看到),所以我们通过find命令来查找systemd

然后watch这2个地址后,继续运行,成功断在了想要停止的地方


然后观察寄存器,R13应该就是to的指针了,让我们在看看这部分堆块的内容


现在看看汇编,然后在计算一下偏移(也就是通过vmmap查看sudoers.so的基址,然后和这里这个地址相减)


好了,现在重新开始,目的是为了看看没有溢出前后面的原始数据,重复步骤,直到sudoers.so加载后,vmmap得到基址,加上偏移,然后下好断点,继续运行直到停在断点



停在断点后查看寄存器和堆块的初始值,可以发现没有开启debug的sudo后面不是unsortedbin


然后我们把断点下在nss_load_library继续运行,就可以发现指针指向的service_user这个结构体的地方已经被我们修改了


我用bp的一个字符串比较对比了一下修改前后的区别,这个地址是一个service_user结构体,我们看看这个结构体的定义,可以发现在ubuntu18下面修改的应该是compat的名字,对于的图中的0x55859fd2a3d0地址的值


然后看看nss_load_library函数,发现如果ni->library->lib_handle如果为空就可以触发__libc_dlopen,这个就是加载动态链接库的,配合开始的动态链接库知识就知道,只要加载了我们的恶意链接库就成功了

由于ni->library此时是空,所以会初始化ni->library,初始化的代码,发现他会先到database->library里面找,如果存在就直接返回,不存在就会初始化设置(*currentp)->lib_handle = NULL这样就满足后面的那个ni->library->lib_handle==NULL了,所以我们修改的名字只要不出现在database->library里面就可以了

然后继续运行就会看到shlib_name就为libnss_X/P0P_SH3LLZ_ .so.2,这就和poc生成的动态链接库名字一样了

退出调试运行就直接成功提权了

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖