这个漏洞是在5.30号正式公布的，国内有很多文章有关于该漏洞的预警，也就是介绍下影响范围，版本之类的信息，而且基本都是一份的各种转载。在freebuf上有一个比较详细的介绍，但是也主要是以翻译为主，并未讲的很透彻。

http://www.freebuf.com/vuls/136156.html

因此准备对这个漏洞进行分析，并依据github上公布的PoC对该漏洞复现。

主要解决两个问题：

1. 造成该漏洞的原因是什么? 补丁如何修补

2. 利用该漏洞能够达到怎样的效果

漏洞成因与补丁修复

原因是在Linux执行sudo操作的时候，需要获取进程的tty设备号，而获取的地方是在/proc/[pid]/stat文件下。stat文件的详细描述在http://blog.csdn.net/cybertan/article/details/7596633 这篇博客中有很详细的描述。

其中我们比较关心的是两点，一是这里面的值都是一项一项的，并且每一项都是使用空格进行分隔开。

二是第二项表示 应用程序(进程)的名字，是用小括号包含，并且允许空格的存在；第七项是tty_nr，就是前面提到需要获取的tty设备号。

漏洞成因就在获取tty设备号的时候：

https://bugzilla.redhat.com/attachment.cgi?id=1282109 (补丁前后对比的代码)

使用的函数为get_process_ttyname，关键代码如下：

基本流程为从 stat文件下读取一行(tty设备号在第一行)，然后按照空格取值，当遇到第七个空格的时候，那么前面那个记录的cp指针指向的就是tty设备号了，然后将其拿出来即可获取。而成功的前提在于前面只有用于分隔的空格，项中是没有空格的，而第二项的进程名中是允许包含空格的，而这一项是我们可以控制的。

所以我们可以通过给第二项添加空格，来控制第七项的值，因此我们能够随意控制tty设备号。这是第一个问题点所在。

所以对应的补丁就修补了查询方式：

主要的添加代码，在对第七项的查询时，通过进程名项使用小括号包着的特点，从')'往后开始查询。

看到前面链接中的代码，其实还补了另外一处：

这就和后面的利用有关系了，获取设备号后处理流程，当获取到一个不为0的设备号后，即认为是存在tty设备的，此时将调用sudo_ttyname_dev函数依据设备号去搜索指定的设备名。搜索顺序是首先在search_devs数组中包含的路径下搜索，若不存在，将在/dev路径下进行广度优先搜索。详细可见：https://github.com/Distrotech/sudo/blob/master/src/ttyname.c 的sudo_ttyname_dev(dev_t rdev)函数，代码比较简单。

我在centos 7上查看了dev文件夹下的权限情况。

其中 shm和mqueue文件夹是普通用户可写，那么也就意味着当我们设置为一个不存在的tty设备号的时候，通过对/dev文件夹进行搜索时，能够触碰到我们自己创建的文件。

所以第二个修补位置就是添加了两个忽视搜索的路径，即shm和mqueue文件夹不放置在搜索路径下。

漏洞影响和复现

freebuf上给的标题为

SELinux曝新安全漏洞：用户执行sudo命令可获取root权限

其实很多时候不是很明确sudo和root之间的区别，尤其是在ubuntu上默认用户安装的时候，sudo之后的用户基本上和root是一个权限。

但是在包含SELinux的Linux系统中，sudo获取的权限和root的差异很明显，尤其是在使用centos的时候差异很明显。

详细可以参考：http://www.jb51.net/LINUXjishu/12713.html

简单描述为，普通用户使用sudo执行命令流程是当前用户切换到root，然后以root的身份执行命令，执行完成后再次回到当前用户。

权限问题：普通用户的sudo权限是root给定的，root决定普通用户能够使用sudo执行哪些操作。具体的设置在/etc/sudoers文件下，如添加一条

那么centos用户能够执行sudo，但是只能执行sum命令

废话少说了，入正题：漏洞效果怎样？

因为是通过sudo命令对get_process_ttyname函数执行的，因此利用该漏洞前提是能够拿到一个用户的sudo权限，而在使用了SELinux的系统中，会将标准输入输出(stdout, stderr, stdin)信息写入到文件之中，这个文件是当前进程所对应的虚拟终端的文件。（使用sudo -r unconfined_r能够触发）（这里因为不是很了解，描述比较模糊，详细可参考SELinux的一些处理）。

因此当我们能够控制这个文件，就能够控制对任意文件的写入，因为这个写入操作也是在root权限下，所以能够对敏感文件写入，如/etc/sudoers。

所以该漏洞的利用效果为，能够将一个拥有sudo权限的用户提升到root权限。

因为github找到了PoC，能够实现任意文件的写入，并且也测试成功，因此将依据该PoC来介绍下如何提权。

https://github.com/c0d3z3r0/sudo-CVE-2017-1000367/blob/master/sudopwn.c

首先是创建一下符号链接了，先看第二个，第一个的作用将在后面描述。因为将/dev/shm/_tmp/     34873 链接到sudo了，所以执行它的时候也会调用漏洞函数get_process_ttyname，使用execlp执行，那么就能够把我们的34873写入到第七项tty设备号中了，下次获取的时候就是通过34873来调用sudo_ttyname_dev来查询了，因为这个是我们写入的一个不存在的tty设备号，那么在search_devs[]数组指定的路径中是找不到的，因此需要去/dev文件夹下搜索，此时添加一个消息反馈，当搜索到我们创建的文件夹/dev/shm/_tmp的时候给予消息，即

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)