这个漏洞是在5.30号正式公布的,国内有很多文章有关于该漏洞的预警,也就是介绍下影响范围,版本之类的信息,而且基本都是一份的各种转载。在freebuf上有一个比较详细的介绍,但是也主要是以翻译为主,并未讲的很透彻。
http://www.freebuf.com/vuls/136156.html
因此准备对这个漏洞进行分析,并依据github上公布的PoC对该漏洞复现。
主要解决两个问题:
- 造成该漏洞的原因是什么? 补丁如何修补
- 利用该漏洞能够达到怎样的效果
漏洞成因与补丁修复
原因是在Linux执行sudo操作的时候,需要获取进程的tty设备号,而获取的地方是在/proc/[pid]/stat文件下。stat文件的详细描述在http://blog.csdn.net/cybertan/article/details/7596633 这篇博客中有很详细的描述。
其中我们比较关系的是两点,一是这里面的值都是一项一项的,并且每一项都是使用空格进行分隔开。
二是第二项表示 应用程序(进程)的名字,是用小括号包含,并且允许空格的存在;第七项是tty_nr,就是前面提到需要获取的tty设备号。
漏洞成因就在获取tty设备号的时候:
https://bugzilla.redhat.com/attachment.cgi?id=1282109 (补丁前后对比的代码)
使用的函数为get_process_ttyname,关键代码如下:
1 | len = getline(&line, &linesize, fp); |
基本流程为从 stat文件下读取一行(tty设备号在第一行),然后按照空格取值,当遇到第七个空格的时候,那么前面那个记录的cp指针指向的就是tty设备号了,然后将其拿出来即可获取。而成功的前提在于前面只有用于分隔的空格,项中是没有空格的,而第二项的进程名中是允许包含空格的,而这一项是我们可以控制的。
所以我们可以通过给第二项添加空格,来控制第七项的值,因此我们能够随意控制tty设备号。这是第一个问题点所在。
所以对应的补丁就修补了查询方式:
1 | + /* |
主要的添加代码,在对第七项的查询时,通过进程名项使用小括号包着的特点,从’)’往后开始查询。
看到前面链接中的代码,其实还补了另外一处:
1 | static char *ignore_devs[] = { |
这就和后面的利用有关系了,获取设备号后处理流程,当获取到一个不为0的设备号后,即认为是存在tty设备的,此时将调用sudo_ttyname_dev函数依据设备号去搜索指定的设备名。搜索顺序是首先在search_devs数组中包含的路径下搜索,若不存在,将在/dev路径下进行广度优先搜索。详细可见:https://github.com/Distrotech/sudo/blob/master/src/ttyname.c 的sudo_ttyname_dev(dev_t rdev)函数,代码比较简单。
我在centos 7上查看了dev文件夹下的权限情况。
1 | [root@localhost dev]# ls -ld |
其中 shm和mqueue文件夹是普通用户可写,那么也就意味着当我们设置为一个不存在的tty设备号的时候,通过对/dev文件夹进行搜索时,能够触碰到我们自己创建的文件。
所以第二个修补位置就是添加了两个忽视搜索的路径,即shm和mqueue文件夹不放置在搜索路径下。
漏洞影响和复现
freebuf上给的标题为
SELinux曝新安全漏洞:用户执行sudo命令可获取root权限
其实很多时候不是很明确sudo和root之间的区别,尤其是在ubuntu上默认用户安装的时候,sudo之后的用户基本上和root是一个权限。
但是在包含SELinux的Linux系统中,sudo获取的权限和root的差异很明显,尤其是在使用centos的时候差异很明显。
详细可以参考:http://www.jb51.net/LINUXjishu/12713.html
简单描述为,普通用户使用sudo执行命令流程是当前用户切换到root,然后以root的身份执行命令,执行完成后再次回到当前用户。
权限问题:普通用户的sudo权限是root给定的,root决定普通用户能够使用sudo执行哪些操作。具体的设置在/etc/sudoers文件下,如添加一条
1 | ## Allows members of the users group to shutdown this system |
那么centos用户能够执行sudo,但是只能执行sum命令
1 | [centos@localhost ~]$ sudo vim /etc/passwd |
废话少说了,入正题:漏洞效果怎样?
因为是通过sudo命令对get_process_ttyname函数执行的,因此利用该漏洞前提是能够拿到一个用户的sudo权限,而在使用了SELinux的系统中,会将标准输入输出(stdout, stderr, stdin)信息写入到文件之中,这个文件是当前进程所对应的虚拟终端的文件。(使用sudo -r unconfined_r能够触发)(这里因为不是很了解,描述比较模糊,详细可参考SELinux的一些处理)。
因此当我们能够控制这个文件,就能够控制对任意文件的写入,因为这个写入操作也是在root权限下,所以能够对敏感文件写入,如/etc/sudoers。
所以该漏洞的利用效果为,能够将一个用于sudo权限的用户提升到root权限。
因为github找到了PoC,能够实现任意文件的写入,并且也测试成功,因此将依据该PoC来介绍下如何提权。
https://github.com/c0d3z3r0/sudo-CVE-2017-1000367/blob/master/sudopwn.c
1 | mkdir("/dev/shm/_tmp", 0755); |
首先是创建一下符号链接了,先看第二个,第一个的作用将在后面描述。因为将/dev/shm/_tmp/ 34873 链接到sudo了,所以执行它的时候也会调用漏洞函数get_process_ttyname,使用execlp执行,那么就能够把我们的34873写入到第七项tty设备号中了,下次获取的时候就是通过34873来调用sudo_ttyname_dev来查询了,因为这个是我们写入的一个不存在的tty设备号,那么在search_devs[]数组中是找不到的,因此需要去/dev文件夹下搜索,此时添加一个消息反馈,当搜索到我们创建的文件夹/dev/shm/_tmp的时候给予消息,即
1 | wd = inotify_add_watch( fd, "/dev/shm/_tmp", IN_OPEN | IN_CLOSE_NOWRITE ); |
此时接着是一个循环执行openpty,尝试获取一个可用的虚拟终端,当其创建之后,那么一定能够获取到,并给当前进程使用,也就是前面提到的SELinux 将会吧标准输入输出写入到这里。因此在该文件搜索结束之后,触发CLOSE,把链接的文件修改了我们需要控制的文件,那么当有标准输入输出的时候将会输出到这个文件下。
当打开/dev/shm/_tmp 文件夹时,触发消息,将进入父进程,并终止子进程;此时使用openpty循环获取可用的虚拟终端。前面对于openpty的理解存在错误,假设/dev/pts目录下只有0和1,那么此时应该都在被占用状态,下一个可用的将会是2,可以在openpty后面加一个while(1);发现在/dev/pts目录下创建了2,那么此时将进入while循环。
1 | while(strcmp(pts_path,"/dev/pts/57")){ |
然后会继续出现3,4,直到57的存在。(58是因为我新开了一个终端查看pts)
1 | [centos@localhost ~]$ ls /dev/pts/ |
还有另一个点,device name为 34873,那么需要查找的pty为57(这里并未找到权威的说明,望大家指正^^)
作者的描述如下:
1 | and a symlink "/dev/shm/_tmp/_tty" |
此时已经创建了57,那么唤醒子进程,继续搜索,将按照符号链接找到57,并返回设备名为对应的符号链接(/dev/shm/_tmp/_tty)。
此时再修改符号链接指向,而SELinux将按照这个符号链接的指向文件进行标准输入输出的写入。
这里利用的是stderr;因此能够达到任意文件写入。
1 | if ( event->mask & IN_OPEN ) { |
主要模糊点,是在SELinux所默认OPEN写入的文件的问题。作者的描述为:
1 | because relabel_tty() (in src/selinux.c) calls open(O_RDWR|O_NONBLOCK) |
参考链接
http://www.openwall.com/lists/oss-security/2017/05/30/16
https://www.sudo.ws/alerts/linux_tty.html
https://github.com/jihadLkmaty218/CVE-2017-1000367/blob/master/sudopwn.c
https://bugzilla.redhat.com/show_bug.cgi?id=1453074
https://github.com/Distrotech/sudo/blob/master/src/ttyname.c
http://blog.csdn.net/cybertan/article/details/7596633
http://www.jb51.net/LINUXjishu/12713.html