[原创]cve-2021-3156-sudo堆溢出简单分析-二进制漏洞-看雪论坛-安全社区|安全招聘|bbs.pediy.com

[原创]cve-2021-3156-sudo堆溢出简单分析

2021-1-27 19:13 9448

[原创]cve-2021-3156-sudo堆溢出简单分析

暗香沉浮

2021-1-27 19:13

9448

本文作者博客

1	`https://www.cnblogs.com/hac425/p/14336484.html`

调试方式

首先从github下载代码

1	`https://github.com/sudo-project/sudo/archive/SUDO_1_9_5p1.tar.gz`

编译

tar xf sudo-SUDO_1_9_5p1.tar.gz 
cd sudo-SUDO_1_9_5p1/
mkdir build
cd build/
../configure --enable-env-debug
make -j
sudo make install

调试（请以root方式执行gdb）

1	`gdb` `--args sudoedit` `-s` '\' `perl -e '`print` `"A"` `x` `65536`'`

gdb加载执行后进程会crash，这时候就可以对有漏洞的源码位置下断点，因为漏洞代码貌似是动态加载的，直接下断点下不到，crash之后就可以下了

断点命令

1 2	`b ../../../plugins/sudoers/sudoers.c:964` `b ../../../plugins/sudoers/sudoers.c:978`

漏洞成因

调试用poc

1	`sudoedit` `-s` `'\'` `112233445566`

漏洞位于 set_cmnd 函数中，关键代码如下

/* Alloc and build up user_args. */
for (size = 0, av = NewArgv + 1; *av; av++)
size += strlen(*av) + 1;
if (size == 0 || (user_args = malloc(size)) == NULL) {
 
if (ISSET(sudo_mode, MODE_SHELL|MODE_LOGIN_SHELL)) {
 
for (to = user_args, av = NewArgv + 1; (from = *av); av++) {
    while (*from) {
    if (from[0] == '\\' && !isspace((unsigned char)from[1]))  // 关键逻辑！！！
        from++;
    *to++ = *from++;
    }
    *to++ = ' ';
}
*--to = '\0';
}

进入该函数时NewArgv的结构如下

NewArgv[0]: sudoedit
NewArgv[1]: \
NewArgv[2]: 112233445566

首先会计算 NewArgv 1-2 两个参数的长度 2 + 13 = 15 .

因此user_args分配的内存大小为 15 字节。

然后会把 NewArgv 1-2 的数据拷贝到user_args里面。

拷贝过程中如果 from[0] 为 \，且 from[1] 不是空格就会from++。

1 2	`if` `(from[0]` `==` `'\\'` `&& !isspace((unsigned char)from[1]))` `//` `关键逻辑！！！` `from++;`

所以在处理NewArgv[1]时，from[0] 就是 \ ，from[1] 为 \x00 ，会通过这个判断让 from++ ，然后后面会再次from++.

1	`to++` `=` `from++;`

之后from就指向了NewArgv[1]字符串\x00后面一个字符的位置，我们看看调试时NewArgv[1]后面是什么

可以看到NewArgv[1] (0x5c 0x00)后面紧跟着的是NewArgv[2]( 0x31 0x31 ...)，所以此时 from 执行的就是 NewArgv[2] 的开头

从而会再次进入while循环把NewArgv[2]拷贝到user_args

然后处理NewArgv[2]会再次把NewArgv[2]拷贝到user_args

因此最终结果就是 NewArgv[2] 被拷贝了两次，实际的写入数据长度为26字节

这个漏洞是一个堆溢出，不过写的数据需要是非\x00，如果user_args分配的内存比较小（比如15字节）的话，其后面是unsorted bin，如果分配的比较大的话(使用原始的poc)其后面跟的是top chunk，感觉都不是很好利用。

感觉需要花一些时间捋一捋代码的逻辑，看看有没有什么其他的想法。

修改NewArgv[1]和NewArgv[2]的长度可以控制user_args堆块后面的空闲堆块的大小

此外到达漏洞代码的poc构造过程也很精彩，这部分可以去发布漏洞的博客查看

便于调试的脚本

写了些gdb插件的代码，可以用来查看堆布局里面的已释放块和未释放块的信息

1	`https://github.com/hac425xxx/gdb-heap-trace`

图片描述

图中带 FREE_CHUNK 是处于释放状态的块
其他的是还没有释放的，展开chunk里面是这个块分配时的调用栈

对于没有释放块的调用栈可以通过让 gef 加载 heaptrace.py 的日志来实现

使用这个插件便于我们查看发送堆溢出时前后的堆块布局信息，以便找到合适溢出的堆对象。

参考链接

1	`https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit`

[公告] 欢迎大家踊跃尝试高研班11月试题，挑战自己的极限！

最后于 2021-1-31 17:27 被暗香沉浮编辑，原因：

#漏洞分析 #Linux

收藏・3

点赞・2

打赏

最新回复 (16)
hacker一疒亻雪币： 254 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 44 回帖 417 粉丝 0 关注私信	hacker一疒亻 2021-1-27 19:17 2 楼 0 相当棒，有能力的话，能不能写一个可用的exp，我有一个本地的服务器，恰好存在这个漏洞，我想好好研究一下。你的这篇文章对有语言障碍的我很有帮助，谢谢。还请分享或制作一个exploit。
hacker一疒亻雪币： 254 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 44 回帖 417 粉丝 0 关注私信	hacker一疒亻 2021-1-27 19:18 3 楼 0 https://blog.csdn.net/m0_46163918/article/details/113251618 在这个位置看到了一个gif，这个exploit.c是相当的渴望啊。当然，我会仔细品读您的分析。
hacker一疒亻雪币： 254 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 44 回帖 417 粉丝 0 关注私信	hacker一疒亻 2021-1-27 21:30 4 楼 0 对于这句"Sudo 1.8.2到1.8.31p2和1.9.0到1.9.5p1均会受到影响"，我这儿的情况是：我ubuntu 20.04 64bit 中sudo的版本是1.8.31 ，这是我刚刚查询的，这个版本不存在影响。但是在ubuntu 18.04.5 LTS 64bit上，就存在了，其sudo的版本是1.8.21p2
hacker一疒亻雪币： 254 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 44 回帖 417 粉丝 0 关注私信	hacker一疒亻 2021-1-27 21:46 5 楼 0 "b ../../../plugins/sudoers/sudoers.c:964 b ../../../plugins/sudoers/sudoers.c:978" ----------------------------------------------------------------------- 请教一下大牛，这两句是怎么下得断点？当“gdb --args sudoedit -s '\' `perl -e 'print "A" x 65536'`”后回车，那么接下来怎么做呢？即b 命令后面该怎么写？最后于 2021-1-27 21:48 被hacker一疒亻编辑，原因：
暗香沉浮雪币： 671 活跃值： (1086) 能力值： ( LV8，RANK：140 ) 在线值：发帖 19 回帖 50 粉丝 20 关注私信	暗香沉浮 2 2021-1-27 21:55 6 楼 0 hacker一疒亻 "b ../../../plugins/sudoers/sudoers.c:964b ../../../plugins/sudoers/sudoe ... 你先 gdb --args xxx 回车后，然后输入run 命令
暗香沉浮雪币： 671 活跃值： (1086) 能力值： ( LV8，RANK：140 ) 在线值：发帖 19 回帖 50 粉丝 20 关注私信	暗香沉浮 2 2021-1-27 21:56 7 楼 0 hacker一疒亻 "b ../../../plugins/sudoers/sudoers.c:964b ../../../plugins/sudoers/sudoe ... 进程会崩溃，然后这个时候gdb才可以下断点，这里是源码断点，所以你要先按前面说源码编译安装sudo
阳春雪币： 1817 活跃值： (200) 能力值： ( LV8，RANK：125 ) 在线值：发帖 20 回帖 32 粉丝 0 关注私信	阳春 1 2021-1-28 11:15 8 楼 0 https://packetstormsecurity.com/files/161160/Sudo-Heap-Based-Buffer-Overflow.html 给了三种方式
苏啊树雪币： 3343 活跃值： (1602) 能力值： ( LV9，RANK：150 ) 在线值：发帖 6 回帖 36 粉丝 15 关注私信	苏啊树 3 2021-1-28 15:15 9 楼 0 围观，不知楼主用工具什么来分析代码
苏啊树雪币： 3343 活跃值： (1602) 能力值： ( LV9，RANK：150 ) 在线值：发帖 6 回帖 36 粉丝 15 关注私信	苏啊树 3 2021-1-28 15:16 10 楼 0 原文https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit 给出的 env -i 'AA=a\' 'B=b\' 'C=c\' 'D=d\' 'E=e\' 'F=f' sudoedit -s '1234567890123456789012\' 能覆盖fd和BK是什么原理最后于 2021-1-28 17:00 被苏啊树编辑，原因：
有毒雪币： 12872 活跃值： (10705) 能力值： (RANK：710 ) 在线值：发帖 52 回帖 393 粉丝 166 关注私信	有毒 10 2021-1-28 15:29 11 楼 0 苏啊树围观，不知楼主用工具什么来分析代码 gdb直接调试+源码阅读，就可以了
暗香沉浮雪币： 671 活跃值： (1086) 能力值： ( LV8，RANK：140 ) 在线值：发帖 19 回帖 50 粉丝 20 关注私信	暗香沉浮 2 2021-1-28 15:40 12 楼 0 vscode
暗香沉浮雪币： 671 活跃值： (1086) 能力值： ( LV8，RANK：140 ) 在线值：发帖 19 回帖 50 粉丝 20 关注私信	暗香沉浮 2 2021-1-28 15:55 13 楼 0 阳春 https://packetstormsecurity.com/files/161160/Sudo-Heap-Based-Buffer-Overflow.html 给了三种方式他们这思路骚呀，通过fuzz来探测可能用于利用的堆布局
hacker一疒亻雪币： 254 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 44 回帖 417 粉丝 0 关注私信	hacker一疒亻 2021-1-28 16:05 14 楼 0 @阳春这篇文章强烈需要翻译这里的exp怎么要是能直接写成一个C文件就好了，直接阅读代码比较容易
hacker一疒亻雪币： 254 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 44 回帖 417 粉丝 0 关注私信	hacker一疒亻 2021-1-28 16:27 15 楼 0 暗香沉浮他们这思路骚呀，通过fuzz来探测可能用于利用的堆布局大牛不是很懂可否“续帖”或“开新帖”，把这个exp说清楚？真得很想认真学一学
hacker一疒亻雪币： 254 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 44 回帖 417 粉丝 0 关注私信	hacker一疒亻 2021-1-29 19:39 16 楼 0 暗香沉浮进程会崩溃，然后这个时候gdb才可以下断点，这里是源码断点，所以你要先按前面说源码编译安装sudo @暗香沉浮 1、我现在的sudo版本是1.8.21,如果我源码编译安装1.9.5p1，那我系统的sudo就变成了1.9.5p1版本了吧？ 2、我就用现在系统默认的1.8.21来进行调试也可以吧？那我怎么调试呢？即 gdb --args........，然后run，然后b，这个break断点怎么下？ 3、你说得那个fuzz法来探测可用的堆.....这个文章能用程序员的思维翻译分享一下么？最后于 2021-1-29 19:43 被hacker一疒亻编辑，原因：
h0pε 雪币： 6 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	h0pε 2021-2-8 14:48 17 楼 1 tql
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

暗香沉浮

发帖

回帖

140

RANK

关注

私信

他的文章

[原创] 现实世界的堆漏洞利用图鉴-2021-10-06更新

[求助] 关于Linux内核堆喷技术的疑惑

[原创]Realtek RTL8195A Wi-Fi漏洞分析

[原创]cve-2021-3156-sudo堆溢出简单分析

[求助]IDA7.2 怎么使用 IDA7.0 的反编译插件

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (16)
hacker一疒亻雪币： 254 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 44 回帖 417 粉丝 0 关注私信	hacker一疒亻 2021-1-27 19:17 2 楼 0 相当棒，有能力的话，能不能写一个可用的exp，我有一个本地的服务器，恰好存在这个漏洞，我想好好研究一下。你的这篇文章对有语言障碍的我很有帮助，谢谢。还请分享或制作一个exploit。
hacker一疒亻雪币： 254 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 44 回帖 417 粉丝 0 关注私信	hacker一疒亻 2021-1-27 19:18 3 楼 0 https://blog.csdn.net/m0_46163918/article/details/113251618 在这个位置看到了一个gif，这个exploit.c是相当的渴望啊。当然，我会仔细品读您的分析。
hacker一疒亻雪币： 254 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 44 回帖 417 粉丝 0 关注私信	hacker一疒亻 2021-1-27 21:30 4 楼 0 对于这句"Sudo 1.8.2到1.8.31p2和1.9.0到1.9.5p1均会受到影响"，我这儿的情况是：我ubuntu 20.04 64bit 中sudo的版本是1.8.31 ，这是我刚刚查询的，这个版本不存在影响。但是在ubuntu 18.04.5 LTS 64bit上，就存在了，其sudo的版本是1.8.21p2
hacker一疒亻雪币： 254 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 44 回帖 417 粉丝 0 关注私信	hacker一疒亻 2021-1-27 21:46 5 楼 0 "b ../../../plugins/sudoers/sudoers.c:964 b ../../../plugins/sudoers/sudoers.c:978" ----------------------------------------------------------------------- 请教一下大牛，这两句是怎么下得断点？当“gdb --args sudoedit -s '\' `perl -e 'print "A" x 65536'`”后回车，那么接下来怎么做呢？即b 命令后面该怎么写？最后于 2021-1-27 21:48 被hacker一疒亻编辑，原因：
暗香沉浮雪币： 671 活跃值： (1086) 能力值： ( LV8，RANK：140 ) 在线值：发帖 19 回帖 50 粉丝 20 关注私信	暗香沉浮 2 2021-1-27 21:55 6 楼 0 hacker一疒亻 "b ../../../plugins/sudoers/sudoers.c:964b ../../../plugins/sudoers/sudoe ... 你先 gdb --args xxx 回车后，然后输入run 命令
暗香沉浮雪币： 671 活跃值： (1086) 能力值： ( LV8，RANK：140 ) 在线值：发帖 19 回帖 50 粉丝 20 关注私信	暗香沉浮 2 2021-1-27 21:56 7 楼 0 hacker一疒亻 "b ../../../plugins/sudoers/sudoers.c:964b ../../../plugins/sudoers/sudoe ... 进程会崩溃，然后这个时候gdb才可以下断点，这里是源码断点，所以你要先按前面说源码编译安装sudo
阳春雪币： 1817 活跃值： (200) 能力值： ( LV8，RANK：125 ) 在线值：发帖 20 回帖 32 粉丝 0 关注私信	阳春 1 2021-1-28 11:15 8 楼 0 https://packetstormsecurity.com/files/161160/Sudo-Heap-Based-Buffer-Overflow.html 给了三种方式
苏啊树雪币： 3343 活跃值： (1602) 能力值： ( LV9，RANK：150 ) 在线值：发帖 6 回帖 36 粉丝 15 关注私信	苏啊树 3 2021-1-28 15:15 9 楼 0 围观，不知楼主用工具什么来分析代码
苏啊树雪币： 3343 活跃值： (1602) 能力值： ( LV9，RANK：150 ) 在线值：发帖 6 回帖 36 粉丝 15 关注私信	苏啊树 3 2021-1-28 15:16 10 楼 0 原文https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit 给出的 env -i 'AA=a\' 'B=b\' 'C=c\' 'D=d\' 'E=e\' 'F=f' sudoedit -s '1234567890123456789012\' 能覆盖fd和BK是什么原理最后于 2021-1-28 17:00 被苏啊树编辑，原因：
有毒雪币： 12872 活跃值： (10705) 能力值： (RANK：710 ) 在线值：发帖 52 回帖 393 粉丝 166 关注私信	有毒 10 2021-1-28 15:29 11 楼 0 苏啊树围观，不知楼主用工具什么来分析代码 gdb直接调试+源码阅读，就可以了
暗香沉浮雪币： 671 活跃值： (1086) 能力值： ( LV8，RANK：140 ) 在线值：发帖 19 回帖 50 粉丝 20 关注私信	暗香沉浮 2 2021-1-28 15:40 12 楼 0 vscode
暗香沉浮雪币： 671 活跃值： (1086) 能力值： ( LV8，RANK：140 ) 在线值：发帖 19 回帖 50 粉丝 20 关注私信	暗香沉浮 2 2021-1-28 15:55 13 楼 0 阳春 https://packetstormsecurity.com/files/161160/Sudo-Heap-Based-Buffer-Overflow.html 给了三种方式他们这思路骚呀，通过fuzz来探测可能用于利用的堆布局
hacker一疒亻雪币： 254 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 44 回帖 417 粉丝 0 关注私信	hacker一疒亻 2021-1-28 16:05 14 楼 0 @阳春这篇文章强烈需要翻译这里的exp怎么要是能直接写成一个C文件就好了，直接阅读代码比较容易
hacker一疒亻雪币： 254 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 44 回帖 417 粉丝 0 关注私信	hacker一疒亻 2021-1-28 16:27 15 楼 0 暗香沉浮他们这思路骚呀，通过fuzz来探测可能用于利用的堆布局大牛不是很懂可否“续帖”或“开新帖”，把这个exp说清楚？真得很想认真学一学
hacker一疒亻雪币： 254 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 44 回帖 417 粉丝 0 关注私信	hacker一疒亻 2021-1-29 19:39 16 楼 0 暗香沉浮进程会崩溃，然后这个时候gdb才可以下断点，这里是源码断点，所以你要先按前面说源码编译安装sudo @暗香沉浮 1、我现在的sudo版本是1.8.21,如果我源码编译安装1.9.5p1，那我系统的sudo就变成了1.9.5p1版本了吧？ 2、我就用现在系统默认的1.8.21来进行调试也可以吧？那我怎么调试呢？即 gdb --args........，然后run，然后b，这个break断点怎么下？ 3、你说得那个fuzz法来探测可用的堆.....这个文章能用程序员的思维翻译分享一下么？最后于 2021-1-29 19:43 被hacker一疒亻编辑，原因：
h0pε 雪币： 6 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	h0pε 2021-2-8 14:48 17 楼 1 tql
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复