Linux polkit提权漏洞复现

最新推荐文章于 2025-05-05 15:55:57 发布
最新推荐文章于 2025-05-05 15:55:57 发布
阅读量838 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/X_sweelg/article/details/123185296
PwnKit是一个存在于Linux系统中的严重漏洞,影响广泛。该漏洞允许非特权用户通过polkit的pkexec获取root权限。原因是当命令行参数为空时,导致内存损坏,使得恶意用户可以操纵环境变量,实现权限提升。复现环境已给出,包括PoC和Python一键提权脚本。建议用户及时更新到安全版本的polkit,如CentOS、Ubuntu和Debian已发布补丁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

PwnKit漏洞描述

PwnKit 漏洞原理

PwnKit漏洞复现

PwnKit漏洞修复

PwnKit漏洞描述

Qualys 研究团队在 polkit 的 pkexec 中发现了一个内存损坏漏洞,该 SUID 根程序默认安装在每个主要的 Linux 发行版上。这个易于利用的漏洞允许任何非特权用户通过在其默认配置中利用此漏洞来获得易受攻击主机上的完全 root 权限。

PwnKit 漏洞原理

以下是对 PwnKit 漏洞如何工作的解释。

pkexec 的 main() 函数的开头处理命令行参数(第 534-568 行),并在 PATH 环境变量的目录中搜索要执行的程序(如果其路径不是绝对路径)(第 610-640 行) ):

435 main (int argc, char *argv[])
436 {
...
534   for (n = 1; n < (guint) argc; n++)
535     {
...
568     }
...
610   path = g_strdup (argv[n]);
...
629   if (path[0] != '/')
630     {
...
632       s = g_find_program_in_path (path);
...
639       argv[n] = path = s;
640     }

不幸的是,如果命令行参数 argc 的数量为 0——这意味着如果我们传递给 execve() 的参数列表 argv 为空,即 {NULL}——那么 argv[0] 为 NULL。这是参数列表的终止符。所以:

  •  在第 534 行,整数 n 永久设置为 1;
  •  在第 610 行,从 argv[1] 越界读取指针路径;
  •  在第 639 行,指针 s 被越界写入 argv[1]。

但是从这个越界的 argv[1] 中读取和写入的到底是什么?

要回答这个问题,我们必须简短地离题。当我们 execve() 一个新程序时,内核将我们的参数、环境字符串和指针(argv 和 envp)复制到新程序堆栈的末尾;例如:

 

显然,因为 argv 和 envp 指针在内存中是连续的,如果 argc 为 0,那么越界 argv[1] 实际上是 envp[0],指向我们的第一个环境变量“value”的指针。最后:

  •  在第610行,将要执行的程序的路径从argv[1](即envp[0])中越界读取,并指向“value”;
  •  在第 632 行,这个路径“value”被传递给 g_find_program_in_path()(因为“value”不是以斜线开头,在第 629 行);
  •  然后,g_find_program_in_path() 在我们的 PATH 环境变量的目录中搜索一个名为“value”的可执行文件;
  •  如果找到这样的可执行文件,则将其完整路径返回给 pkexec 的 main() 函数(在第 632 行);
  •  最后,在第 639 行,这个完整路径被越界写入 argv[1](即 envp[0]),从而覆盖了我们的第一个环境变量。

所以,更准确地说:

  •  如果我们的 PATH 环境变量是“PATH=name”,并且如果目录“name”存在(在当前工作目录中)并且包含一个名为“value”的可执行文件,则写入一个指向字符串“name/value”的指针越界到 envp[0];

或者

  •  如果我们的 PATH 是“PATH=name=.”,并且目录是“name=.” 存在并包含一个名为“value”的可执行文件,然后将指向字符串“name=./value”的指针越界写入 envp[0]。

换句话说,这种越界写入允许我们将一个“不安全”的环境变量(例如,LD_PRELOAD)重新引入 pkexec 的环境。这些“不安全”变量通常在调用 main() 函数之前从 SUID 程序的环境中删除(通过 ld.so)。我们将在下一节中利用这个强大的原语。

最后一分钟说明:polkit 还支持非 Linux 操作系统,例如 Solaris 和 *BSD,但我们尚未调查它们的可利用性。然而,我们注意到 OpenBSD 是不可利用的,因为如果 argc 为 0,它的内核拒绝执行程序。

PwnKit漏洞复现

poc:https://github.com/berdav/CVE-2021-4034

复现环境为

下载poc编译执行获得root权限

也有python3一键提权脚本

https://github.com/nikaiw/CVE-2021-4034

PwnKit漏洞修复

鉴于此漏洞在 Linux 和非 Linux 操作系统中的广泛攻击面,建议用户立即针对此漏洞应用补丁程序。

目前各Linux发行版官方均已给出安全补丁,建议用户尽快升级至安全版本,或参照官方说明措施进行缓解,CentOS、Ubuntu及Debian用户可参考以下链接:

https://ubuntu.com/security/CVE-2021-4034 https://access.redhat.com/security/cve/CVE-2021-4034 https://security-tracker.debian.org/tracker/CVE-2021-4034

可以通过rpm -qa polkit查看polkit是否为安全版本

安全版本

CentOS系列:

CentOS 6:polkit-0.96-11.el6_10.2

CentOS 7:polkit-0.112-26.el7_9.1

CentOS 8.0:polkit-0.115-13.el8_5.1

CentOS 8.2:polkit-0.115-11.el8_2.2

CentOS 8.4:polkit-0.115-11.el8_4.2

Ubuntu系列:

Ubuntu 20.04 LTSpolicykit-1 - 0.105-26ubuntu1.2

Ubuntu 18.04 LTSpolicykit-1 - 0.105-20ubuntu0.18.04.6

Ubuntu 16.04 ESMpolicykit-1 - 0.105-14.1ubuntu0.5+esm1

Ubuntu 14.04 ESMpolicykit-1 - 0.105-4ubuntu3.14.04.6+esm1

参考链接:

[ vulhub漏洞复现篇 ] Linux Polkit 漏洞CVE-2021-4034
qq_51577576的博客
10-03 2017
[ vulhub漏洞复现篇 ] Linux Polkit 漏洞CVE-2021-4034 Polkit(以前称为 PolicyKit)是一个用于在类 Unix 操作系统中控制系统范围限的组件。它为非特进程与特进程通信供了一种有组织的方式。也可以使用 polkit 执行具有限的命令,使用命令 pkexec 后跟要执行的命令(具有 root 限)
Linux Polkit漏洞(CVE-2021-4034)
谢公子的博客
09-19 2185
Linux Polkit漏洞(CVE-2021-4034)是由于pkexec无法正确处理调用参数,从而将环境变量作为命令执行,具有任意用户限的攻击者都可以在默认配置下通过修改环境变量来利用此漏洞,从而获得受影响主机的root限。
Linux-Poolkit
qq_43381463的博客
02-25 715
漏洞复现- Linux Polkit 漏洞(CVE-2021-4034)
CVE-2021-3560-POLKIT本地漏洞复现
「鸿渐之翼」的博客
07-22 2318
博主:鴻漸之翼 个人介绍:男,搞底層的FW,喜歡發一點沒用的東西。 Polkit 0.105-26 0.117-2 - Local Privilege Escalation Exploit! Tested on Ubuntu20.10 Linux localhost 啟明星辰漏洞簡介 Polkit是许多Linux 发行版上默认安装的系统服务,它被systemd使用,所以任何使用systemd的Linux发行版都会使用polkit。 2021年06月03日,RedHat发布安全公告,修复了Linux Po
Polkit本地漏洞修复(CVE-2021-4034)
最新发布
MIKULIN的博客
05-05 364
(3)、强制安装新版本:sudo rpm -Uvh polkit-libs-0.115-15.el8.x86_64.rpm polkit-0.115-15.el8.x86_64.rpm。再次执行卸载命令:sudo rpm -e polkit-0.115-12.el8.x86_64 polkit-libs-0.115-12.el8.x86_64。centos 8.2 的Polkit安全版本: polkit-0.115-15.el8.x86_64。先在网上找服务器系统兼容的、安全稳定的版本。
Polkit(CVE-2021-4034复现)
m0_62207170的博客
03-02 286
CVE-2021-4034复现
CVE-2021-3560 Linux Polkit 漏洞
李火火的安全圈
11-10 1823
Polkit是默认安装在很多Linux发行版上的系统服务,它由systemd使用,因此任何使用systemd的Linux发行版也使用Polkit。CVE-2021-3560漏洞存在于系统服务Polkit中,同时因为Polkit被Systemd所调用,因此所有默认安装了systemd的Linux发行版都会使用Polkit。该漏洞的成因是执行dbus-send命令后在认证完成前强制终止引发错误。而Polkit未正确处理错误而导致允许无特的用户添加一个sudo用户进行升。
CVE-2021-4034_Polkit漏洞复现与修复
Jietewang的博客
06-09 5871
CVE-2021-4034:利用polkit的pkexec进行Linux普通升测试以及CentOS和Ubuntu修复建议
Linux Polkit漏洞复现(CVE-2021-4034)
IerkeU的博客
04-02 888
CVE-2021-4034的Linux Polkit漏洞
【CVE-2021-4034】Linux Polkit 漏洞复现及修复
Mr_atopos的博客
06-16 3609
CVE-2021-4034 漏洞复现及修复
CVE-2021-3560 Polkit漏洞复现与分析
m0_56642842的博客
07-16 1856
0x00 简介 PolkitLinux上的一个系统服务,其用于实现限管理,通过给非特进程授,允许具有特的进程(或者库文件lib)给非特进程供服务,由于Polkit被systemd使用,所有使用systemd的Linux发行版都会装有Polkit。 。 2021年06月03日,RedHat发布安全公告,修复了Linux Polkit中一个存在了7年的漏洞(CVE-2021-3560),该漏洞的CVSS评分为7.8,成功利用此漏洞的攻击者能够获得系统上的 root 限。 0x01 漏洞
Linux Polkit的一个本地漏洞(cve-2021-4034)
weixin_44654338的博客
03-15 5028
描述: 在 polkit 的 pkexec 工具程序中发现了一个本地限升级漏洞。pkexec 工具程序是一个 setuid 工具,旨在允许非特用户根据预定义的策略以特用户身份运行命令。当前的 pkexec 版本会错误处理调用参数,导致尝试以命令形式执行环境变量。攻击者可以利用这个安全漏掉,通过精心设计一组环境变量导致 pkexec 执行任意代码。当成功执行后,就会在目标系统中导致本地特升级,并可以使用户获得管理限。 ...
泱脏武器库之 CVE 2021-4034 Polkit 小结
weixin_41557838的博客
03-17 2797
背景: 2021年11月29日,Qualys Security Advisory 组织发现并交了针对于Linux Polkit 组件的漏洞CVE 2021-4034,覆盖广泛的Linux发行版本,如 :RedHat Entreprise Linux、Fedora、 Ubuntu、 ArchLinux、国内发行版本如:Kylin Linux、UOS Linux、Euler OS、Anolis OS、Circle Linux,影响范围涉及从2009年5月至2022年1月横跨10余年的全部发行版本。 ..
Linux Polkit本地漏洞处理(CVE-2021- 4034)
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
02-07 1万+
一、背景   安全部门近期发出安全预警,示:常见发现版本的 CentOS、Ubuntu及Debian Linux系统中默认安装的Polkit工具集存在本地升的漏洞CVE-2021- 4034),目前漏洞利用代码已在互联网公开;    Linux Polkit工具集是Linux系统在安装过程中自带的系统工具集,其中包括大量运维常用工具。该工具集中的pkexec在特定情况下无法正确处理调用参数计数,因此会尝试将环境变量作为命令执行。攻击者可以通过控制环境变量,使自身从系统普通用户升至管理员限,对
Linux--SUDO(CVE-2021-3156)&Polkit(CVE-2021-4034)
金灰的博客
05-13 614
免责声明:本文仅做技术学习与交流...
关于polkit pkexec 本地漏洞(CVE-2021-4034)的漏洞验证。
Lisoning的博客
02-08 1086
Polkit(PolicyKit)是类Unix系统中一个应用程序级别的工具集,通过定义和审核限规则,实现不同优先级进程间的通讯。pkexec是Polkit开源应用框架的一部分,可以使授非特用户根据定义的策略以特用户的身份执行命令。该漏洞是由于pkexec 没有正确处理调用参数,导致将环境变量作为命令执行,攻击者可以通过构造环境变量的方式,诱使pkexec执行任意代码使得非特本地用户获取到root的限。
Linux Polkit 漏洞:CVE-2021-4034安全分析与修复指南
weixin_43822401的博客
07-01 2103
作为网络安全领域的专家,我对近期发现的影响Linux系统的Polkit漏洞(CVE-2021-4034)进行了深入分析。Polkit,即PolicyKit,是一个在Linux系统中用于限管理的组件,该漏洞允许非特用户通过Polkit的pkexec工具升至root限。本文将供全面的技术分析和修复指南,帮助系统管理员和安全专家保护系统不受此漏洞影响。
升:利用Linux漏洞
qq_68163788的博客
02-13 3026
Linux漏洞是指利用Linux系统中存在的漏洞,通过特定的方法来获取更高的限。这种方法通常被黑客用来获取系统管理员限,从而可以对系统进行更深入的攻击和控制。 一种常见的Linux漏洞方法是利用内核漏洞。内核是操作系统的核心部分,负责管理系统的资源和供各种功能。如果内核中存在漏洞,黑客可以利用这些漏洞限。例如,通过利用内核中的缓冲区溢出漏洞,黑客可以在系统中执行恶意代码,并获取更高的限。
使用 polkit 进行升:如何利用七年前的漏洞Linux 上获取 root
技术超强的网络安全平台
08-25 931
它将由正确的代码路径之一处理,请求将被拒绝。对于某些请求,polkit 会立即决定允许或拒绝,而对于其他请求,它会弹出一个对话框,以便管理员可以通过输入密码来授予授。它是用于发送 D-Bus 消息的通用工具,主要用于测试,但它通常默认安装在使用 D-Bus 的系统上。另外,请注意,您需要粘贴正确的用户标识符 (UID),在本例中为“1002”,以及命令中的密码哈希。一些 polkit 操作本质上是等价的,因此如果其中一个操作已经获得授,则默默授另一个操作是有意义的。这是由注释处理的,该注释在此。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sweelg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值