分析|CVE-2021-3156-sudo堆溢出高危漏洞

妖狐艹你老母 2022-10-24 13:18 126阅读 0赞

编辑前言

Qualys的安全研究人员于1月13日发文称，攻击者无需知道用户密码即可成功利用此漏洞，在众多基于 Linux 的发行版本中获得最高的 root 权限。受影响的 Sudo 漏洞版本包括从 1.8.2 到 1.8.32p2 的经典版本，以及从 1.9.0 到 1.9.5p1 所有稳定版本。

调试方式

首先从github下载代码:

> https://github.com/sudo-project/sudo/archive/SUDO\_1\_9\_5p1.tar.gz

编译

tar xf sudo-SUDO_1_9_5p1.tar.gz
    cd sudo-SUDO_1_9_5p1/
    mkdir build
    cd build/
    ../configure --enable-env-debug
    make -j
    sudo make install

调试（请以root方式执行gdb）

gdb --args sudoedit -s '\' `perl -e 'print "A" x 65536'`

gdb加载执行后进程会crash，这时候就可以对有漏洞的源码位置下断点，因为漏洞diamante貌似是动态加载的，直接下断点下不到，crash之后就可以下了

断点命令:

b ../../../plugins/sudoers/sudoers/sudoers.c:964
    b ../../../plugins/sudoers/sudoers/sudoers.c:978

**漏洞成因**

调试用poc：

sudoedit -s '\' 112233445566

漏洞位于 set\_cmnd 函数中，关键代码如下：

/* Alloc and build up user_args */
    for (size = 0, av = NewArgv + 1; *av; av++) 
        size += strlen(*av) + 1;
        if (size == 0 || (user_args = malloc(size)) == NULL) {
            if (ISSET(sudo_mode, MODE_SHELL|MODE_LOGIN_SHELL)) {
                for (to = user_args, av = NewArgv + 1; (from = *av); av++) {
                    while (*from) {
                        if (from[0] == '\\' && !isspace((unsigned char)from[1])) //关键逻辑!!!
                            from++;
                        *to++ = *from++;
                    }
                *to++ = ' ';
            }
            *--to = '\0';
        }

进入该函数时NewArgv的结构如下:

> NewArgv\[0\]: sudoexit
> 
> NewArgv\[1\]: \\
> 
> NewArgv\[2\]: 112233445566

首先会计算NewArgv 1-2两个参数的长度 2 + 13 = 15.

因此user\_args分配的内存大小为 15 字节。

然后会把NewArgv 1-2的数据拷贝到user\_args里面。

拷贝过程中如果from\[0\]为\\,且from\[1\]不是空格就会from++。

if (from[0] == '\\' && !isspace((unsigned char)from[1]))  //关键逻辑!!!
        from++;

所以在处理NewArgv\[1\]时，from\[0\]就是\\,from\[1\]为\\x00,会通过这个判断让from++,然后后面会再次from++。

> \*to++ = \*from++;

之后from就指向了NewArgv\[1\]字符串\\x00后面一个字符的位置，我们看看调试时NewArgv\[1\]后面是什么。

![图片][0d1719986afb68d7b57ebeb5cf85f795.png]

可以看到NewArgv\[1\] (0x5c 0x00)后面紧跟着的是NewArgv\[2\]( 0x31 0x31 ...)，所以此时 from 执行的就是 NewArgv\[2\] 的开头。

从而会再次进入while循环把NewArgv\[2\]拷贝到user\_args。

然后处理NewArgv\[2\]会再次把NewArgv\[2\]拷贝到user\_args。

因此最终结果就是 NewArgv\[2\] 被拷贝了两次，实际的写入数据长度为26字节。

![图片][35a907dd40af76716de21f7716609492.png]

这个漏洞是一个堆溢出，不过写的数据需要是非\\x00,如果user\_args分配的内存比较小(比如15字节)的话，其后面是unsorted bin,如果分配的比较大的话(使用原始的poc)其后面跟的是top chunk，感觉都不是很好利用。

感觉需要花一些事件捋一捋代码的逻辑，看看有没有什么其他的想法。

修改NewArgv\[1\]和NewArgv\[2\]的长度可以控制user\_args堆块后面的空闲堆块的大小。

此外到达漏洞代码的poc构造过程也很精彩，这部分可以去发布漏洞的博客查看。

## 参考链接： ##

https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit

[0d1719986afb68d7b57ebeb5cf85f795.png]: /images/20221024/62dd313f43574538b222b1b1900d6ba5.png
[35a907dd40af76716de21f7716609492.png]: /images/20221024/72dd2a895bcb44a3b92eaf55d4f56ea9.png