sudo介紹

大部分開發(fā)運(yùn)維對(duì)這個(gè)命令都非常熟悉，不過考慮到有效讀者不了解我還是簡(jiǎn)單介紹下。

sudo 指“超級(jí)用戶”。作為一個(gè)系統(tǒng)命令，其允許其它非 root 用戶以特殊權(quán)限來運(yùn)行程序或命令，而無需切換使用環(huán)境。舉個(gè)例子：

我下面已一個(gè)普通用戶在 /usr/local/ 目錄下新建一個(gè)目錄，直接運(yùn)行會(huì)報(bào)沒有權(quán)限的錯(cuò)誤，

user1@user1:/usr/local$ mkdir test
mkdir: cannot create directory ‘test’: Permission denied 

必須要這樣才可以，

user1@user1:/usr/local$ sudo mkdir test
user1@user1:/usr/local$ ls
bin  etc  games  include  lib  man  sbin  share  src  test 

一個(gè)普通用戶要想使用sudo，必須有管理員(root)配置 sudoers 文件，對(duì)用戶的權(quán)限進(jìn)行定義。類似下面這樣：

# User privilege specification
user2    ALL=(ALL:ALL) ALL 

上述命令中：

• user2 表示用戶名

• 第一個(gè) ALL 指示允許從任何終端、機(jī)器訪問 sudo

• 第二個(gè) (ALL:ALL) 指示 sudo 命令被允許以任何用戶身份執(zhí)行，后面那個(gè)ALL是用戶所在的群組

• 第三個(gè) ALL 表示所有命令都可以作為 root 執(zhí)行

如果沒有加這個(gè)配置，執(zhí)行的時(shí)候會(huì)報(bào)如下的錯(cuò)誤：

user2@pony:/home$ sudo mkdir test2
[sudo] password for user2: 
user2 is not in the sudoers file.  This incident will be reported.  
  

如何利用漏洞

我使用的linux版本是 Ubuntu 18.04.3 LTS 。

首先我配置用戶 user2 的權(quán)限，

# User privilege specification
user2    ALL=(ALL,!root) /bin/bash 

這個(gè)配置的意思是，user2用戶可以用任何用戶(除了root)執(zhí)行 /bin/bash 命令。

然后我試著執(zhí)行，

user2@pony:~$ sudo -u#-1 /bin/bash
sudo: unknown user: #-1
sudo: unable to initialize policy plugin 

什么鬼，好像沒有啥問題啊，直接報(bào)錯(cuò)了，并沒有切換到 root 用戶，再試著執(zhí)行，

user2@pony:~$ sudo -u#-1 id -u
sudo: unknown user: #-1
sudo: unable to initialize policy plugin

也沒有任何問題啊，那這個(gè)漏洞究竟該怎么復(fù)現(xiàn)呢？？

按照上面文章的說法，之所以會(huì)產(chǎn)生這個(gè)漏洞，是因?yàn)閷⒂脩?ID 轉(zhuǎn)換為用戶名的函數(shù)會(huì)將 -1（或無效等效的 4294967295）誤認(rèn)為是 0，而這正好是 root 的用戶 ID 。