CVE-2019-14287 sudo 配置不当-权限提升漏洞预警
0x00 漏洞背景
2019年10月14日, sudo 官方在发布了 CVE-2019-14287 的漏洞预警。 sudo 是所有 unix操作系统(BSD, MacOS, GNU/Linux) 基本集成的一个用户权限控制/切换程序。允许管理员控制服务器下用户能够切换的用户权限。 通过特定payload,用户可提升至root权限。
0x01 漏洞利用前提sudo -v < 1.8.28 知道当前用户的密码 当前用户存在于sudo权限列表
0x02漏洞方式一在配置文件中用了 ALL 关键词后造成的。但默认的 sudo 配置文件不受影响。 当 /etc/sudoers 文件存在如下形式的配置会导致漏洞的产生: 
这种*=(ALL, *)形式的配置,简单来说就是对 可以被切换到的用户进行了 ALL(所有用户) 和其他用户的剔除操作。 但是,由于该错误,qwe实际上可以通过运行sudo -u#-1 vi来以root身份运行 vi,这违反了安全策略。
[su qwe]
[sudo -u root vim]
[sudo 
