CVE-2018-19788 PolicyKitの脆弱性と、そのレアな発現条件を満たしていた、とあるCTF問題について

1. CVE-2018-19788
PolicyKitの権限昇格の脆弱性について
@ymzkei5

2.  PolicyKit に権限昇格の脆弱性が見つかりました。
 A flaw was found in PolicyKit (aka polkit) 0.115 that allows a user
with a uid greater than INT_MAX to successfully execute any
systemctl command.
（ https://nvd.nist.gov/vuln/detail/CVE-2018-19788 ）
 “unprivileged users with UID > INT_MAX can successfully
execute any systemctl command” 😱
（ https://twitter.com/0xdea/status/1070308598146850818 ）
こんな脆弱性が話題でした

3.  PolicyKit に権限昇格の脆弱性が見つかりました。
 A flaw was found in PolicyKit (aka polkit) 0.115 that allows a user
with a uid greater than INT_MAX to successfully execute any
systemctl command.
（ https://nvd.nist.gov/vuln/detail/CVE-2018-19788 ）
 “unprivileged users with UID > INT_MAX can successfully
execute any systemctl command” 😱
（ https://twitter.com/0xdea/status/1070308598146850818 ）
こんな脆弱性が話題でした

4.  おまどん (@ommadawn46)
Linuxの脆弱性（CVE-2018-19788）でワンライナー特権昇格…
攻撃成功には UID > 2147483647 という条件があり、実際に
攻撃される状況が起こることは中々無いだろうけど衝撃的
（ https://twitter.com/ommadawn46/status/1071962835847065600 ）
こんな脆弱性が話題でした

5.  おまどん (@ommadawn46)
Linuxの脆弱性（CVE-2018-19788）でワンライナー特権昇格…
攻撃成功には UID > 2147483647 という条件があり、実際に
攻撃される状況が起こることは中々無いだろうけど衝撃的
（ https://twitter.com/ommadawn46/status/1071962835847065600 ）
こんな脆弱性が話題でした

6.  おまどん (@ommadawn46)
Linuxの脆弱性（CVE-2018-19788）でワンライナー特権昇格…
攻撃成功には UID > 2147483647 という条件があり、実際に
攻撃される状況が起こることは中々無いだろうけど衝撃的
（ https://twitter.com/ommadawn46/status/1071962835847065600 ）
こんな脆弱性が話題でした

7.  興味深い脆弱性だよね。
 だけど、INT_MAXを超えるようなUIDのユーザをあらかじめ追加
しないと攻撃が成立しないなんて。
 ふつうはそんなユーザ作らないよね。
 だいたい、ユーザ追加にはroot権限が必要なんだから、
そもそも現実的な攻撃シナリオじゃないよね。
みんなの反応

8.  興味深い脆弱性だよね。
 だけど、INT_MAXを超えるようなUIDのユーザをあらかじめ追加
しないと攻撃が成立しないなんて。
 ふつうはそんなユーザ作らないよね。
 だいたい、ユーザ追加にはroot権限が必要なんだから、
そもそも現実的な攻撃シナリオじゃないよね。
 うんうん。そうだよね。うんうｎ・・・待てよ？？？
みんなの反応

9.  みなさん、覚えておいでだろうか。
「SECCON 2018 オンライン予選」 に出題された私の問題
『GhostKingdom』を。
覚えておいでだろうか・・・

10.  GhostKingdomとは： @ymzkei5 が SECCON 2018 オンラ
イン予選に出題したWeb問。CSSインジェクションで
セッションIDを奪取して、画像アップロード部分の
GhostScript / ImageMagickの脆弱性を使ってOSコマンド
を実行してフラグを取得する。
 OSコマンドが自由に実行できる状況だが、参加者A が
参加者B の邪魔をできないように、UIDを分けている。
 実は、今日 2018年12月18日(火) 時点で、まだ動いていた。
http://ghostkingdom.pwn.seccon.jp/
GhostKingdom

11.  SECCON 2018 Online GhostKingdom Writeup - SSTエ
ンジニアブログ
( https://techblog.securesky-tech.com/entry/2018/10/31/2 ）
 SECCON 2018 Quals - GhostKingdom - こんとろーる
しーこんとろーるぶい
（ https://graneed.hatenablog.com/entry/2018/10/28/150722 ）
WriteUpを見てみよう

12.  SECCON 2018 Online GhostKingdom Writeup - SSTエ
ンジニアブログ
( https://techblog.securesky-tech.com/entry/2018/10/31/2 ）
 SECCON 2018 Quals - GhostKingdom - こんとろーる
しーこんとろーるぶい
（ https://graneed.hatenablog.com/entry/2018/10/28/150722 ）
WriteUpを見てみよう

13.  SECCON 2018 Online GhostKingdom Writeup - SSTエ
ンジニアブログ
( https://techblog.securesky-tech.com/entry/2018/10/31/2 ）
 SECCON 2018 Quals - GhostKingdom - こんとろーる
しーこんとろーるぶい
（ https://graneed.hatenablog.com/entry/2018/10/28/150722 ）
WriteUpを見てみよう

14.  SECCON 2018 Online GhostKingdom Writeup - SSTエ
ンジニアブログ
( https://techblog.securesky-tech.com/entry/2018/10/31/2 ）
 SECCON 2018 Quals - GhostKingdom - こんとろーる
しーこんとろーるぶい
（ https://graneed.hatenablog.com/entry/2018/10/28/150722 ）
WriteUpを見てみよう
せ、セーフ！？

15.  実はこの値は、接続元IPアドレスを元に作られて
いる。
 別のとある環境から試してみたところ・・・
はい、アウト。

16.  別のとある環境から試してみたところ・・・
はい、アウト。

17.  別のとある環境から試してみたところ・・・
はい、アウト。

18.  別のとある環境から試してみたところ・・・
はい、アウト。
353xxx5409 >
2147483647

19.  別のとある環境から試してみたところ・・・
はい、アウト。
353xxx5409 >
2147483647
最大値超えてる。
超えてるよ。。

20.  Id; systemd-run -t id する Jpeg をコンバートしてみ
た。
ま、まさかroot取れないよね？

21.  systemd-run -t id する Jpeg をコンバートしてみた。
ま、まさかroot取れないよね？

22.  systemd-run -t id する Jpeg をコンバートしてみた。
ま、まさかroot取れないよね？
な、なーんだ、大丈
夫じゃん

23.  でも、なんか悪い予感がする。。。
 結果が見えていないだけかも知れないから、bash
でリバースシェルさせて同じことやってみよう。
ま、まさかroot取れないよね？

24.  でも、なんか悪い予感がする。。。
 結果が見えていないだけかも知れないから、bash
でリバースシェルさせて同じことやってみよう。
ま、まさかroot取れないよね？

25.  でも、なんか悪い予感がする。。。
 結果が見えていないだけかも知れないから、bash
でリバースシェルさせて同じことやってみよう。
ま、まさかroot取れないよね？

26.  でも、なんか悪い予感がする。。。
 結果が見えていないだけかも知れないから、bash
でリバースシェルさせて同じことやってみよう。
ま、まさかroot取れないよね？
な、なーんだ、大丈
夫じゃん part2

27.  それでも拭えない悪い予感。
 rootリバースシェルを起動する「悪意あるサービス」を
インストールする別のexploitを試してみる。
 標準では、127.0.0.1:8888 にコネクトしにいく仕様だが、
外部に直にコネクトバックするように一部変更。
 ドキドキ。。。
ま、まさかroot取れないよね？

28.  それでも拭えない悪い予感。
 リバースシェルを起動する「悪意あるサービス」をイ
ンストールする別のexploitを試してみる。
 標準では、127.0.0.1:8888 にコネクトしにいく仕様だが、
外部に直にコネクトバックするように一部変更。
 ドキドキ。。。
ま、まさかroot取れないよね？

29.  それでも拭えない悪い予感。
 リバースシェルを起動する「悪意あるサービス」をイ
ンストールする別のexploitを試してみる。
 標準では、127.0.0.1:8888 にコネクトしにいく仕様だが、
外部に直にコネクトバックするように一部変更。
 ドキドキ。。。
ま、まさかroot取れないよね？
コネクトバックを待つ
ことしばし

30.  それでも拭えない悪い予感。
 リバースシェルを起動する「悪意あるサービス」をイ
ンストールする別のexploitを試してみる。
 標準では、127.0.0.1:8888 にコネクトしにいく仕様だが、
外部に直にコネクトバックするように一部変更。
 ドキドキ。。。
ま、まさかroot取れないよね？

31.  それでも拭えない悪い予感。
 リバースシェルを起動する「悪意あるサービス」をイ
ンストールする別のexploitを試してみる。
 標準では、127.0.0.1:8888 にコネクトしにいく仕様だが、
外部に直にコネクトバックするように一部変更。
 ドキドキ。。。
ま、まさかroot取れないよね？

32.  それでも拭えない悪い予感。
 リバースシェルを起動する「悪意あるサービス」をイ
ンストールする別のexploitを試してみる。
 標準では、127.0.0.1:8888 にコネクトしにいく仕様だが、
外部に直にコネクトバックするように一部変更。
 ドキドキ。。。
ま、まさかroot取れないよね？

33.  それでも拭えない悪い予感。
 リバースシェルを起動する「悪意あるサービス」をイ
ンストールする別のexploitを試してみる。
 標準では、127.0.0.1:8888 にコネクトしにいく仕様だが、
外部に直にコネクトバックするように一部変更。
 ドキドキ。。。
ま、まさかroot取れないよね？

34.  それでも拭えない悪い予感。
 リバースシェルを起動する「悪意あるサービス」をイ
ンストールする別のexploitを試してみる。
 標準では、127.0.0.1:8888 にコネクトしにいく仕様だが、
外部に直にコネクトバックするように一部変更。
 ドキドキ。。。
ま、まさかroot取れないよね？

35.  それでも拭えない悪い予感。
 リバースシェルを起動する「悪意あるサービス」をイ
ンストールする別のexploitを試してみる。
 標準では、127.0.0.1:8888 にコネクトしにいく仕様だが、
外部に直にコネクトバックするように一部変更。
 ドキドキ。。。
ま、まさかroot取れないよね？
まじかよ。。。

36.  それでも拭えない悪い予感。
 リバースシェルを起動する「悪意あるサービス」をイ
ンストールする別のexploitを試してみる。
 標準では、127.0.0.1:8888 にコネクトしにいく仕様だが、
外部に直にコネクトバックするように一部変更。
 ドキドキ。。。
ま、まさかroot取れないよね？

37.  それでも拭えない悪い予感。
 リバースシェルを起動する「悪意あるサービス」をイ
ンストールする別のexploitを試してみる。
 標準では、127.0.0.1:8888 にコネクトしにいく仕様だが、
外部に直にコネクトバックするように一部変更。
 ドキドキ。。。
ま、まさかroot取れないよね？
おいおい。。。

38.  GhostKingdom のサーバは停止しました。
 ログを見てみましたが、12/1以降、画像コンバート
をしていたのは私だけでした。（消されていなけ
れば。）
 私がインストールした以外の怪しいサービスは見
つかりませんでした。
その後

39.  UIDは常識的な範囲でね★
 OSコマンドを自由に実行させるような脆弱性を持
つサーバを2ヶ月も放置するのは止めよう。
 競技中にroot取られなくてよかった。。
教訓