CVE-2017-16995-Ubuntu本地提权漏洞复现

环境搭建

系统选择的是Ubuntu16.04-desktop-amd64.iso安装的环境,安装过程不用安装更新软件包。

漏洞分析&利用

在该环境下直接利用编译好之后的程序并不成功(4.4.0-21-generic)，如下：

然后在Ubuntu14.04、16.04.4都试着还是不成功！都是报错，如下是14环境报错信息：

缺失头文件，然后在16.04.4下尝试：

很显然该版本4.13高于4.4.0，所以并没有漏洞，也许是我下载的16.04.4的镜像比较新导致的：

在16.04.1和16.04.1中没有尝试。因此个人认为网上的文章说明的范围稍微偏大

我们还是用16.04测试。查找该漏洞的详情，漏洞编号是：CVE-2017-16995

在seebug有详细的说明：https://www.seebug.org/vuldb/ssvid-97183

这里查看漏洞详情，可以看到作者分析了具体的详情，由于Linux内核带有的eBPF bpf(2)系统调用中，当用户提供恶意BPF程序使eBPF验证器模块产生计算错误，导致任意内存读写问题。 非特权用户可以使用此漏洞获得权限提升，代码我们就不分析了，作者在不断尝试得到引起内存地址变换几个变量R0/R1/R10是需要在gcc编译的过程中调试，所以最后的代码是正确的：crasher_badtrunc.c

我们将这个crash代码在ubuntu下编译执行，引起变化之后在执行exp：

gcc -ocrasher_badtrunc crasher_badtrunc.c -Wall && ./crasher_badtrunc

可以看到提权成功，获得root的权限，从利用过程来看，利用条件还算是较小，所以应该属于一个高危的漏洞了！

漏洞修复

目前暂未有明确的补丁升级方案。 建议用户在评估风险后，通过修改内核参数限制普通用户使用bpf(2)系统调用：

# echo 1 >/proc/sys/kernel/unprivileged_bpf_disabled