从CVE-2021-4034到CVE-2021-3156：手把手复现Linux两大本地提权漏洞（附修复方案）

从CVE-2021-4034到CVE-2021-3156Linux本地提权漏洞深度实战指南凌晨三点安全团队的告警系统突然亮起红灯——又一台服务器被标记存在高危漏洞。作为运维负责人你必须在最短时间内判断风险等级、验证漏洞真实性并制定修复方案。本文将带你深入两个近年来影响最广泛的Linux本地提权漏洞Polkit的PwnKitCVE-2021-4034和Sudo的堆溢出CVE-2021-3156。不同于简单的漏洞描述我们会从实战角度还原完整的漏洞分析过程包括如何快速搭建漏洞验证环境两种漏洞利用技术的本质差异企业环境中最有效的临时缓解措施长期修复方案的选择与验证无论你是安全研究人员需要复现漏洞细节还是系统管理员负责应急响应这篇文章都将提供可直接落地的技术方案。1. 漏洞背景与影响范围2021年对Linux安全来说是充满挑战的一年。两个影响深远的本地提权漏洞相继曝光分别击穿了系统权限管理的两大核心组件Polkit和Sudo。虽然最终效果都是获取root权限但它们的攻击路径和技术原理却大相径庭。CVE-2021-4034PwnKit关键特征影响组件Polkit的pkexec漏洞类型环境变量注入利用条件任何非特权用户CVSS评分7.8高危特殊优势无需任何用户凭证CVE-2021-3156Baron Samedit关键特征影响组件Sudo漏洞类型堆缓冲区溢出利用条件需在sudoers列表中CVSS评分7.0高危特殊限制需要知道用户密码影响范围对比表维度CVE-2021-4034CVE-2021-3156默认存在漏洞的版本2009年后的所有Polkit版本Sudo 1.8.2 - 1.8.31p2主要受影响发行版CentOS/RHEL 6-8, Ubuntu 14-21CentOS 6-8, Ubuntu 18-20利用复杂度简单公开PoC直接可用中等需特定参数构造横向移动风险极高蠕虫级漏洞有限需账户凭证实际案例某云服务商在PwnKit披露后24小时内就监测到批量扫描行为48小时后出现自动化攻击工具。相比之下Sudo漏洞更多被用于针对性攻击。2. 漏洞原理深度解析2.1 PwnKitCVE-2021-4034技术细节Polkit的设计初衷是为系统提供精细化的权限管理但正是这个安全组件自身出现了致命缺陷。漏洞根源在于pkexec对参数处理的逻辑错误// 有问题的参数处理逻辑 if (argc 0) { // 错误地认为argv[1]是环境变量 envp argv[1]; }攻击者可以通过精心构造的环境变量实现任意代码执行。具体攻击链如下通过execve调用pkexec并传递空参数数组pkexec错误地将环境变量当作参数读取注入的GCONV_PATH变量触发动态链接器加载恶意.so恶意库中的构造函数函数以root权限执行关键验证命令# 构造恶意环境变量 export GCONV_PATH/tmp/exploit # 触发漏洞 execve /usr/bin/pkexec []2.2 Sudo堆溢出CVE-2021-3156工作机制与Polkit不同Sudo漏洞源于经典的缓冲区溢出问题。当处理命令行参数时特殊构造的输入会导致堆内存越界// sudoers.c中的问题代码 if (user_details.uids[0] (uid_t)-1) { // 错误的长度计算导致溢出 memcpy(dest, src, incorrect_length); }利用这个漏洞需要满足三个条件目标用户在sudoers列表中知道该用户密码Sudo版本在受影响范围内典型攻击向量# 触发溢出的特殊参数格式 sudo -u #-1 $(perl -e print A x 1000)3. 漏洞复现实战指南3.1 实验环境准备建议使用虚拟机搭建测试环境以下是推荐配置组件PwnKit测试环境Sudo漏洞测试环境操作系统Ubuntu 20.04 LTSCentOS 7.9漏洞软件版本polkit-0.105-26ubuntu1sudo-1.8.23-10.el7内核版本5.4.0-91-generic3.10.0-1160.el7.x86_64环境搭建步骤安装基础系统禁用自动更新安装特定版本软件包# Ubuntu安装旧版polkit sudo apt install policykit-10.105-26ubuntu1 # CentOS安装旧版sudo sudo yum install sudo-1.8.23-10.el7验证版本# 检查polkit版本 pkexec --version # 检查sudo版本 sudo --version3.2 PwnKit复现步骤下载公开PoCgit clone https://example.com/pwnkit-exploit.git cd pwnkit-exploit make执行漏洞利用./exploit验证结果whoami # 应显示root常见问题解决如果遇到permission denied检查pkexec的SUID位ls -l /usr/bin/pkexec编译错误可能是缺少gcc或make安装开发工具包sudo apt install build-essential3.3 Sudo漏洞复现方法准备利用代码Python示例import os payload A * 1000 os.system(fsudo -u \\#-1 {payload})执行并观察崩溃日志dmesg | tail -n 20完整利用需要构造ROP链略4. 修复方案与防护措施4.1 临时缓解方案对于PwnKit# 移除pkexec的SUID位 chmod 0755 /usr/bin/pkexec # 验证防护效果 ./exploit # 应失败对于Sudo漏洞# 限制sudo命令长度 echo Defaults pwfeedback /etc/sudoers4.2 永久修复方案各发行版升级命令发行版PwnKit修复命令Sudo漏洞修复命令Ubuntusudo apt install policykit-1sudo apt install sudoCentOSsudo yum update polkitsudo yum update sudoRHELsudo dnf upgrade polkitsudo dnf upgrade sudo验证修复# 检查polkit版本 rpm -q polkit # 应 0.116-7 # 检查sudo版本 sudo --version # 应 1.9.5p24.3 深度防御建议实施最小权限原则定期审核sudoers文件使用visudo进行语法检查系统加固措施# 启用内核防护 echo 1 /proc/sys/kernel/randomize_va_space监控与检测审计pkexec和sudo的异常调用监控/etc/passwd和/etc/shadow的异常修改在一次金融系统的渗透测试中我们发现虽然系统已经修补了Sudo漏洞但由于未清理测试账户攻击者仍然可以利用弱密码和残留的sudo权限进行提权。这提醒我们漏洞修复后的清理工作同样重要。