作者：Hcamael@知道创宇404实验室
时间：2019年4月12日

本月Apache被公布了一个提权的漏洞，并且前天在GitHub上公布出了利用脚本，这几天我负责漏洞应急这个漏洞。

本篇文章没有叫：《Apache 提权漏洞分析》是因为我觉得CARPE (DIEM): CVE-2019-0211 Apache Root Privilege Escalation这篇文章的分析写的挺好的，所以我没必要再翻译一遍了，本篇文章主要叙述复现该漏洞的过程中踩过的坑。

复现环境

我使用的复现环境是：

1. apache使用apt安装的版本属于已经修复的版本，所以需要指定一下版本： # apt install apache2=2.4.29-1ubuntu4 apache2-bin=2.4.29-1ubuntu4 apache2-utils=2.4.29-1ubuntu4 apache2-data=2.4.29-1ubuntu4
2. php直接用apt安装就好了
3. exp地址: https://github.com/cfreal/exploits/blob/master/CVE-2019-0211-apache/cfreal-carpediem.php
4. 需要开启ssl模块：a2enmod ssl

关于需要开始ssl模块说明：

1. 就算不开ssl模块，漏洞也是存在的
2. 就算不开启ssl模块，你自己修改apache配置，能开启其他端口，也是能利用的
3. 如果只开了80端口，则需要另行找一条利用链，github上公布exp在只开启了一个端口的情况下是无效的
4. @cfreal的文章中已经说了，我这里在多说句，相关代码可以看看1和2还有SAFE_ACCPET的宏定义：

简单的来说，只有在apache开启多个端口的情况下，才会生成mutex互斥锁，而在github上公布的exp就是通过apache的mutex对象来进行利用的。

跑exp中遇到的一些坑

我试过了很多版本，没有一个版本是能直接使用Github上的exp的，在上述表面的版本中，经过调试研究发现了两个问题导致了利用失败：

1. $all_buckets = $i - 0x10 计算出问题
2. $bucket_index = $bucket_index_middle - (int) ($total_nb_buckets / 2); 计算出问题

第一个计算all_buckets的地址，使用gdb进行调试，你会发现，这个值并没有算错，但是在执行apache2ctl graceful命令以后，all_buckets 生成了一个新的值，不过只和之前的all_buckets地址差0x38000，所以这个问题很好解决：

第二个计算没必要这么复杂，而且在我测试的版本中还是算的错误的地址，直接改成：

ubuntu中的一个坑

我的payload是：curl "http://localhost/cfreal-carpediem.php?cmd=id>/tmp/2323232"

表面上看是执行成功了，但是却并没有在/tmp目录下发现2323232文件，经过随后的研究发现，systemd重定向了apache的tmp目录，执行下$find /tmp -name "2323232"就找到文件了，不过只有root用户能访问。如果不想让systemd重定向tmp目录也简单：

这项为false就好了，PrivateTmp=false，改完以后重启一下，再测试一遍就能在tmp目录下写文件了

关于成功率的说法

在exp的注释中看到了说该利用没法100%成功，有失败的概率，所以我写了个脚本进行测试：

我测试的跑了20次的结果：

并没有遇到失败的情况

总结

其他版本的还没有进行测试，但是在这里给一些建议。

1. check all_buckets地址

   这个挺简单的，执行完exp以后，有输出对应的pid和all_buckets地址，可以使用gdb attach上去检查下该地址是否正确：p all_buckets

   PS：这里要注意下，需要安装dbg包，才有all_buckets符号 ：apt install apache2-dbg=2.4.29-1ubuntu4

   如果有问题，就调试检查exp中搜索all_buckets地址的流程

   如果没问题，就使用gdb attach主进程(root权限的那个进程)，然后断点下在make_child，然后执行apache2ctl graceful，执行完然后在gdb的流程跳到make_child函数的时候，再输出一次：p all_buckets，和exp获取的值对比一下，如果一样就没问题了

2. check my_bucket地址

   前面的流程和上面一样，重点关注在make_child函数中的my_bucket赋值的代码：3

   这里注意下，因为上面有一个fork，所以在gdb里还要加一句：set follow-fork-mode child

   my_bucket的值是一个指针，指向堆喷的地址，如果my_bucket的值没问题，exp基本就没问题了，如果不对，就调整$bucket_index

更新

debian 9测试成功：

参考

1. https://github.com/apache/httpd/blob/23167945c17d5764820fdefdcab69295745a15a1/server/mpm/prefork/prefork.c#L433
2. https://github.com/apache/httpd/blob/23167945c17d5764820fdefdcab69295745a15a1/server/mpm/prefork/prefork.c#L1223
3. https://github.com/apache/httpd/blob/23167945c17d5764820fdefdcab69295745a15a1/server/mpm/prefork/prefork.c#L691

本文由 Seebug Paper 发布，如需转载请注明来源。本文地址：https://paper.seebug.org/889/