[春秋杯2023]Misc sudo(记CVE-2023-22809)

最新推荐文章于 2023-11-29 10:58:56 发布
原创 最新推荐文章于 2023-11-29 10:58:56 发布 · 500 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #web安全

文章详细分析了sudo编辑器在处理用户环境变量时存在的漏洞,特别是SUDO_EDITOR、VISUAL和EDITOR如何被利用进行权限提升。通过环境变量注入额外参数,攻击者可以改变编辑文件列表,影响sudoers策略,实现权限升级。文中提供了一个利用示例,展示了如何通过修改环境变量和sudoedit命令来修改系统敏感文件,如/etc/passwd,从而改变用户权限。

对我来说还是有点难了,web方向的phpstudy那道题,不知道为什么,xss就是打不进去,第二道python反序列化还没有理解,所以就先发一道misc

MISC

sudo

CVE-2023-22809

一、漏洞范围

sudo 1.8.0到1.9.12p1版本受影响

二、漏洞概述

sudo使用用户提供的环境变量让用户选择他们所选择的编辑器。的内容其中一个变量扩展了传递给sudo_edit()函数的实际命令。

然而,后者依赖于--参数的存在来确定要编辑的文件列表。注入在一个已授权的环境变量中使用额外的--参数可以更改此列表并导致特权通过编辑具有RunAs用户权限的任何其他文件来升级。这个问题发生在sudoers之后。

三、漏洞成因

由于Sudo中的sudoedit对处理用户提供的环境变量(如SUDO_EDITORVISUALEDITOR)中传递的额外参数存在缺陷。当用户指定的编辑器包含绕过sudoers策略的 -- 参数时,拥有sudoedit访问权限的本地攻击者可通过将任意条目附加到要处理的文件列表中,最终在目标系统上实现权限提升。除外,该漏洞还影响部分QNAP操作系统:QTS、QuTS hero、QuTScloud、QVP(QVR Pro设备)。

猜测:我们可以利用SUDO_EDITOR、VISUAL、EDITOR传递参数进行提权攻击

四、漏洞分析

sudoers策略插件首先调用sudoers_policy_main()来处理的查找和验证使用sudoers_lookup()的策略。不过,在此功能结束后,策略成功验证时,使用名为find_editor()的编辑器查找方法重写命令。

// plugins/sudoers/sudoers.c@sudoers_policy_main()
int
sudoers_policy_main(int argc, char * const argv[], int pwflag, char *env_add[],
 bool verbose, void *closure)
{
 // [...]
 validated = sudoers_lookup(snl, sudo_user.pw, &cmnd_status, pwflag);
 // [...]
 if (ISSET(sudo_mode, MODE_EDIT)) {
 // [...]
 safe_cmnd = find_editor(NewArgc - 1, NewArgv + 1, &edit_argc, &edit_argv, NULL,
&env_editor, false);

代码解释:

该代码片段是在sudoers/sudoers.c文件中的sudoers_policy_main函数的一部分。与sudo程序中sudoers策略的实现相关,该策略负责确定是否允许用户以管理员权限执行给定的命令。

在这个特定的代码片段中,sudoers_policy_main函数被传入了几个参数:argcargv,表示传递给sudo的命令行参数,pwflag是一个表示与密码相关的行为的标志,env_add是一个要设置的额外环境变量数组,verbose是一个表示是否启用详细输出的标志,closure是一个指向其他数据的通用指针。

在函数内部,调用了sudoers_lookup函数,传递了snl(可能是某种数据结构)和sudo_user.pw(表示sudo用户的密码)作为参数,并将结果保存在validated变量中。然后,根据sudo_mode中的MODE_EDIT标志,执行了一些与编辑器相关的操作,其中find_editor函数用于查找适当的编辑器并返回相关参数。

该函数首先使用用户提供的三个环境变量执行编辑器查找文档,SUDO_EDITOR, VISUALEDITOR

// plugins/sudoers/editor.c@find_editor()
char *
find_editor(int nfiles, char **files, int *argc_out, char ***argv_out,
 char * const *allowlist, const char **env_editor, bool env_error)
{
 // [...]
 *env_editor = NULL;
 ev[0] = "SUDO_EDITOR";
 ev[1] = "VISUAL";
 ev[2] = "EDITOR";
 for (i = 0; i < nitems(ev); i++) {
 char *editor = getenv(ev[i]);
 if (editor != NULL && *editor != '\0') {
 *env_editor = editor;
 editor_path =
最低0.47元/天 解锁文章
【权限提升】Linux Sudo权限提升漏洞(CVE-2023-22809)
李同學的安全圈
04-05 9520
sudo 允许系统管理员将权限委托给某些用户(或用户组),能够以ROOT用户或其他用户身份运行部分(或全部)命令。由于Sudo中的sudoedit对处理用户提供的环境变量(如SUDO_EDITOR、VISUAL和EDITOR)中传递的额外参数存在缺陷。当用户指定的编辑器包含绕过sudoers策略的 " –" 参数时,拥有sudoedit访问权限的本地攻击者可通过将任意条目附加到要处理的文件列表中,最终在目标系统上实现权限提升。
CVE-2021-26084(confluence)
最新发布
sinat_42420072的博客
01-26 2044
Confluence Server、Confluence Data Center等产品存在OGNL 注入漏洞,允许经过身份验证的用户(在某些情况下的未经身份验证的用户)在 Confluence Server或Confluence Data Center实例上执行任意代码。
sudo提权漏洞cve-2023-22809
m0_46317063的博客
06-06 1338
cve-2023-22809
CVE-2023-22809复现(Rot5pider安全团队)
weixin_52763014的博客
04-08 4141
在复现过程中,遇到了编辑器的版本问题,vim 8.0 没办法使用那条攻击命令报错是说vim不能使用--参数,但是换了一个环境的ubuntu下的vim8.1就可以执行,具体问题不是很清楚,可以多试试。具体格式就是: xxx ALL=(ALL:ALL) sudoedit /etc/xxx 其中第一个xxx是你要进行提权的普通用户的用户名,第二是etc下的一个随意文件(这里具体哪些能行哪些不能行,我也不知道,我测试的vim和xml都可以执行,多试试)保存退出,然后 su xxx切换到用户中。
2023春秋网络安全联赛春季赛Misc-AK
qq_43647197的博客
05-19 1768
2023春秋网络安全联赛春季赛Misc-AK
Linux Sudo权限提升漏洞复现(CVE-2023-22809)
MrCaia的博客
08-17 1679
CVE-2023-22809 Linux Sudo权限提升漏洞
log4j2漏洞CVE-2021-44228复现笔(纯步骤过程,没有复杂的知识点)
qq_41132792的博客
05-24 9143
纯粹的一个过程复现,小白向,没有复杂的讲解,按照步骤一步步来就可以成功复现了。
Tomcat任意文件写入(CVE-2017-12615)漏洞复现
weixin_45540609的博客
07-28 2284
一、漏洞原理 影响范围:pache Tomcat7.0.0-7.0.81(默认配置) 如果配置了默认servlet,则在9.0.1(Beta),8.5.23,8.0.47和7.0.82之前的所有Tomcat版本都包含所有操作系统上的潜在危险的远程执行代码(RCE)漏洞,CVE-2017-12615:远程代码执行漏洞。只需参数readonly设置为false或者使用参数readonly设置启用WebDAV servlet false。此配置将允许任何未经身份验证的用户上传文件(如WebDAV中所使用的).
vulhub ActiveMQ任意文件写入漏洞 (CVE-2016-3088)
箭雨镜屋
05-23 1643
引言 今天来复现一下ActiveMQ任意文件写入漏洞 (CVE-2016-3088) vulhub的官网有对这个漏洞的英文介绍ActiveMQ Arbitrary File Write Vulnerability (CVE-2016-3088) 本文主要分为三个部分: 漏洞原理(基于vulhub)以及知识点引申 漏洞复现 漏洞引发的思考 漏洞介绍和知识拓展 背景简述和漏洞详情部分来源于vulhub 背景简述 ActiveMQ的web控制台分为三个应用,admin、api和fileserver,其中ad
CVE-2023-22809 sudo安全漏洞修复解决
筑梦之路
03-30 850
下载最新版二进制包安装升级即可。
【百度”2017年春秋欢乐赛】misc 内涵图
weixin_45844670的博客
08-17 453
题目链接:https://www.ichunqiu.com/battalion?t=1&r=57451 下载附件,用7z打开,一直点下去 是一个故事 看完觉得没啥啊 把图片解压出来 查看属性
【漏洞复现】CVE-2023-22809 sudo提权漏洞
hack0919的博客
05-20 1798
漏洞等级:高危
2023春秋春季赛WP-REVERSE(AK)
m0_68757308的博客
05-19 2160
2023春秋春季赛WP-REVERSE(AK)
CVE-202322809漏洞利用|复现
Musda的博客
06-22 1090
首先需要检查sudoedit版本此漏洞的利用范围仅限于。
【ISCTF2023MISC sudopy+status
2301_76232299的博客
11-29 5752
题目描述:我们使用kali进行ssh连接ssh -p 端口 用户@ip先查看一下本地有哪些文件发现有一个flag文件,还有web.py文件我们看题目sudopy可以想到可能跟sudo有关,且利用py提权sudo -l # 列出用户权限或检查某个特定命令发现特定命令是使用python3运行web.py文件web.py的文件权限允许我们读,我们看看里面写了什么内容简单看一下,会发现没有用,我们换一下思路,看看能不能重新编辑web.py文件vim web.py。
2023春秋网络安全联赛春季赛 RE复盘(部分待补)
qq_66633020的博客
05-25 1949
这次的春季赛仍是被打爆了,re只做出了一题,发现自己还是太菜了,好在在后期复盘中又收获了许多新知识了,不亏。
2023春秋 pwn
m0_63437215的博客
05-23 1800
2023春秋pwn
2023春秋网络安全联赛 春季赛 wp
akxnxbshai的博客
05-19 2466
2023春秋网络安全联赛春季赛 wp
2023羊城misc复盘
cppuHsir的博客
09-11 908
不知道有啥用,但应该是个压缩包密码,用010打开图片,搜了一下zip文件头没有,然后又搜了一下rar文件头,发下来有一个rar文件,导出后解密发现这并不是压缩包的密码,然后看了一下别的师傅的wp,这个图片使用了lsb隐写实际是,然后他给他搞了密码,要破解必须要使用cloacked-pixel。flag2是一个伪加密,然后解压出来是一个txt,打开发现是零宽隐写,关于零宽隐写,打开发现实际长度比看到的要多,我当时是删除时发现删除键按了一下,但是没少东西,所以猜到的。
2023羊城DASCTF EZ-Misc挑战解析
标题和描述中提到的“2023羊城 DASCTF EZ-Misc”,首先我们需要解读的是“CTF”这个词,CTF(Capture The Flag)意为夺旗赛,是一种信息安全竞赛,通常分为多个关卡,其中“Misc”通常指杂项题目,这一类题目不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leafzzz__

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值