Ubuntu 被曝严重漏洞:切换系统语言+输入几行命令,就能获取 root 权限
晓查 发自 凹非寺
量子位 报道 | 公众号 QbitAI
无需系统密码,就能添加新的sudo用户、获取root权限,事后还能删除不留痕迹。
这是GitHub安全研究员Kevin Backhouse发现的一个Ubuntu系统大漏洞。
这种攻击方法非常简单,Backhouse在官方博客中写道:“使用终端中的一些简单命令,并单击几次鼠标,标准用户就可以为自己创建一个管理员帐户。”
目前还在维护的Ubuntu操作系统均受到影响,包括20.10以及20.04、18.04、16.04三个LTS版。
Backhouse是如何操作的?我们接着往下看。
攻击方法
首先打开终端,在你的主目录下创建一个软链接:
ln -s /dev/zero .pam_environment
(注:如果以上命令无法运行,说明已经存在名为.pam_environment的文件,请把这个文件重命名做好备份!)
接下来,在系统设置中打开“区域和语言”,然后尝试更改语言。
该对话框会冻结,只需忽略它,然后返回到终端即可。
此时,一个名为accounts-daemon的程序正在消耗100%的CPU内核,因此你的计算机可能会变慢并开始变热。
在终端中,删除软链接。否则,你可能无法使用自己的帐户!
rm .pam_environment
下一步是将SIGSTOP信号发送到accounts-daemon,阻止它破坏该CPU内核。但是要做到这一点,首先需要知道accounts-daemon的PID。
你可以通过运行top来找到PID。由于accounts-daemon被卡在一个无限循环中,因此它很快进入top列表的顶部。
或者使用pidof命令来查找PID:
$ pidof accounts-daemon
597
接着用kill命令杀死SIGSTOP信号:
kill -SIGSTOP 597
然后注销帐户,但首先需要设置一个计时器,保证在注销后重置accounts-daemon。否则,前面的努力都将白费。
nohup bash -c “sleep 30s; kill -SIGSEGV 597; kill -SIGCONT 597”
注销后等待几秒钟,让SIGSEGV起效。如果漏洞利用成功,则会显示一系列对话框,让你创建一个新的用户帐户。这个新帐户具有管理员权限,可以运行sudo命令。
Backhouse将整个过程录成了2分多钟的视频,不明白操作方法的可以前去观看:
攻击原理
该漏洞利用了Ubuntu系统中的两个错误:
第一个是accountservice,它是管理计算机上用户帐户的服务。
第二个是GNOME显示管理器(gdm3),它可以处理登录屏幕。
accounts-daemon漏洞
accountsservice守护程序(accounts-daemon)是一项系统服务,可以执行诸如创建新用户帐户或更改用户密码的操作,但也可以执行对安全性较不敏感的操作,例如更改用户的图标或首选语言。
Ubuntu使用了经过修改的accountservice服务版本,添加了一个名为is_in_pam_environment的函数,该函数会在用户的主目录中查找一个名为.pam_environment的文件并进行读取。
将.pam_environment链接到/dev/zero可以让accountservice服务被拒绝。
因为/dev/zero实际上是磁盘上不存在的特殊文件。它由操作系统提供,其行为就像一个无限长的文件,其中每个字节均为0。
当is_in_pam_environment尝试读取.pam_environment时,它会通过软链接重定向到/dev/zero,然后由于/dev/zero无限长而陷入无限循环。
如此操作会让accounts-daemon丧失其root权限,转而采用用户的较低特权。然后将SIGSEGV发送给帐户守护程序使其崩溃。
GNOME漏洞
GNOME显示管理器(gdm3)是Ubuntu用户界面的基本组件。它可以处理用户登录和注销时启动和停止用户会话之类的事情,还管理登录屏幕。
当用户进行新系统的初始设置时,会启动一个对话框,它其实是一个单独的应用程序,称为gnome-initial-setup。
当gdm3查询到用户数量为0时,会启动这个程序。那么gdm3如何检查系统上有多少用户?通过询问accounts-daemon!
不幸的是,accounts-daemon已经被我们前面的操作整崩溃了,所以gdm3在检查超时后认为帐户数量为0,并启动gnome-initial-setup。
而初始化设置的用户必须有管理员权限。
官方紧急修复
Backhouse于10月17日向Ubuntu和GNOME维护人员报告了这些错误,官方已经最新代码中提供了修复程序。建议所有Ubuntu用户都尽快安装更新。
不过,该漏洞仅对桌面版Ubuntu有效。如果使用的是命令行界面,或者是GNOME之外的其他桌面环境,则暂时不受影响。
博客地址:
https://securitylab.github.com/research/Ubuntu-gdm3-accountsservice-LPE
网友讨论:
https://news.ycombinator.com/item?id=25053238
感谢你的分享,点赞,在看三连↓
Ubuntu 被曝严重漏洞:切换系统语言+输入几行命令,就能获取 root 权限相关推荐
- Ubuntu被曝严重漏洞:切换系统语言+输入几行命令,就能获取root权限
点击上方"AI遇见机器学习",选择"星标"公众号 重磅干货,第一时间送达 晓查 发自 凹非寺 量子位 报道 | 公众号 QbitAI 无需系统密码,就能添加新 ...
- Ubuntu被曝严重漏洞:切换系统语言+输入几行命令,就能获取root权限(仅支持ubuntu桌面版、提权)
无需系统密码,就能添加新的sudo用户.获取root权限,事后还能删除不留痕迹. 这是GitHub安全研究员Kevin Backhouse发现的一个Ubuntu系统大漏洞. 这种攻击方法非常简单,Ba ...
- kali 切换root权限_Ubuntu 被曝严重漏洞:切换系统语言 + 输入几行命令,就能获取 root 权限...
公众号关注 "GitHubDaily" 设为 "星标",带你了解技术圈内新鲜事! 来自量子位 无需系统密码,就能添加新的 sudo 用户.获取 root 权限, ...
- 魅蓝3如何root_我的魅蓝3系统是5.1.4.2Y,怎么获取root权限,不是说魅蓝官网开放权限了吗?登录账户找不到啊?...
之前也是想root在知乎上找不到办法,前段时间终于搞定,希望有帮助. =========== 首先感谢制作魅蓝3 Android ROM的大神----眷恋阳阳 想必很多人跟我一样,在购买了魅蓝3之后才 ...
- Shell脚本切换root用户或获取root权限
前言 需求:Shell脚本不能通过root用户执行,只能通过普通用户执行.但是脚本中的某些命令需要时root权限. 想法:在执行需要root权限的命令时切换到root用户 或者 拿到root权限. 一 ...
- android 语音和输入法按钮切换,android 切换系统语言,输入法也随之切换
为什么有时候切换系统语言,输入法也随之切换 在系统有谷歌拼音输入法(Pinying输入法)和android 键盘输入法(Latin 输入法)的时候,此时系统的输入法不是第三方输入法. 在这时候去切换系 ...
- Android 获取当前系统语言和切换系统语言
最近有需求需要切换系统语言的功能,查阅api最终搞定,代码分享如下: 1.切换语言 public void updateLanguage(Locale locale) {try {Object obj ...
- Android 切换系统语言
切换系统语言分为下面两个步骤: 1. 创建不同语言资源: 2. 替换当前页面 Context 所持有的资源: 一.创建不同语言资源 创建步骤如下: 二.替换资源 界面需要重新创建,使用 recreat ...
- Android 9.0 代码切换系统语言
最近有个功能要求切换系统语言,通过查询资料找到用反射的方法进行系统设置,但是感觉实现方式太麻烦了,后来看源码发现 LocalePicker 这个类里面有 updateLocale 方法能够轻松完成系统 ...
最新文章
- 并发编程之多线程篇之四
- ProtonMail 开源其所有电子邮件应用程序
- 康力优蓝发布新品:让AI教育从概念变成现实!
- mysql 类似oracle,mysql – 制作类似于Oracle的seqences的机制
- boost安装_编译安装Mysql详细步骤
- 明日之后抄袭rust_古人怎么抄袭?何法盛偷窃原著,宋之问压杀外甥,班固参考史记...
- 在Windows 2003中集成RAID卡驱动
- 新天龙八部服务器维护了吗,《新天龙八部》3月11日全服更新维护公告
- (四)将容器部署到Azure上的Kubernetes
- 关于DynamipsGUI idle-pc值的取值问题
- 安装QQ、TIM提示:安装包可能被非法改动导致安装失败,请从官网下载最新安装包重新安装
- excel中如何锁定单元格
- 杨幂晒七月孕肚揭怀孕只胖baby不胖身材的女星
- 【android睡眠唤醒 二】MTK平台唤醒框架分解
- python信息处理 WXQ 153
- oracle打开scott用户_Oracle解锁scott账户
- oracle consistent gets,Oracle数据库consistent gets使用的特例
- 科研必备工具篇(持续更新)
- 18软工实践 - 第七次作业 - 需求分析报告
- 纪念我的第一个Python程序:猜数字
热门文章
- 【机器学习】基于蚁群算法的多元非线性函数极值寻优
- 【MATLAB】数据分析之数据插值
- 深度盘点Python11个主流框架:Pandas、Django、Matplotlib、Numpy、PyTorch......
- 编程能力差,90%输在了这点上!CTO:这样学编程 ,更容易成为高手
- 万字干货:如何从零开始构建企业级推荐系统?
- AI换脸鉴别率超99.6%,微软用技术应对虚假信息
- 情感识别难?图神经网络创新方法大幅提高性能
- 深入探讨Python的import机制:实现远程导入模块 | CSDN博文精选
- 入门数据分析师,从了解元数据中心开始
- 《深度学习500问》,川大优秀毕业生的诚意之作