[kernel exploit] linux 内核常规堆溢出漏洞的“胜利方程式“

最新推荐文章于 2024-04-09 15:51:10 发布
最新推荐文章于 2024-04-09 15:51:10 发布
阅读量1.1w 收藏 5
点赞数 2
分类专栏: 二进制 # linux kernel 文章标签: linux kernel 漏洞利用 内核提权 网络安全 内核安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Breeze_CAT/article/details/124887764
版权

[kernel exploit] linux 内核常规堆溢出漏洞的"胜利方程式"

文章目录

简介

背景

对于内核中堆溢出的利用手段还是比较多的,在以前常规的堆类漏洞利用方法中,通常是想办法将堆溢出转换为越界读取泄露地址,然后重新溢出转换为任意地址写或劫持RIP 然后ROP。其中用到的技术即复杂限制又大,比如:

  1. ROP中还要绕过很多内核的防御机制;
  2. 通常要使用两次左右的溢出操作,对堆布局稳定性要求高;
  3. 使用原语种类繁多,技术复杂难度高;
  4. 由于不同内核版本和编译批次,内核的地址是不同的,exp 对于目标的普遍适用性很低,更多的是体现在研究层面,实战可用性不大。

不过在前些日子CVE-2022-0847(Dirty Pipe) 漏洞公布之后,经由veritas501的改良,对于绝大部分linux 堆类漏洞,都可以通过篡改pipe_buffer 中的flag成员 (版本大于5.8) 或pipe_buffer 中的ops成员 (版本小于5.8)。来实现将任意堆漏洞转化为Dirty Pipe 的无地址依赖类型漏洞。该漏洞利用方法的优点在于:

  1. 首先就是不依赖任何地址,只要满足利用条件,无视内核版本进行利用,无需修改exp
  2. 大部分情况只需要布置一次堆(溢出一次),成功率也有提升。
  3. 原语简单,容易理解

前置条件与技术

本文只介绍一种比较通用的堆漏洞利用手法,根据CVE-2021-22555 变种而来。当然了,如果将"篡改pipe_buffer 的flag 或ops" 视为当前状态下最合适的攻击最终目标的话,攻击路径绝是有非常多的,这里只介绍对大部分堆溢出类漏洞都适用的比较无脑的方式。

前置条件:

  • 能确保溢出到下一个堆块的连续溢出任意内容;
  • 溢出写0;
  • 跳跃溢出但可以经过计算后溢出位置一定程度可控,溢出的堆大小属于64-4k。
  • 下面两条满足一条即可
    • 内核版本 ∈[5.9~5.14] (在该版本区间内kmalloc 分配flag GFP_KERNEL_ACCOUNT 和GFP_KERNEL 分配的slab不会隔离)
    • 漏洞堆申请试用GFP_KERNEL_ACCOUNT flag,当然如果不是的话也可以利用,就是概率很低并且可能需要在堆布局上改良。(如果不满足这一条,其他利用方法也是一样头疼)

使用的技术:

  • msg_msg 原语,用于堆喷射和堆布局,作为溢出目标堆
  • sk_buff 原语,用于堆喷射占位
  • pipe_buffer原语,最终漏洞利用,转换为dirty pipe

漏洞利用

准备

以下将堆溢出漏洞发生的堆块称为vuln obj 简称VO

msg队列布置

首先创建若干msg 队列,然后每个队列中布置两个消息,每个消息内容中都要附带该消息所属消息队列的编号,做到能根据接收的消息内容区分来自哪个消息队列,其他部分消息内容最好用0填充,方便后续利用。分别为PrimaryMsg 和SecondaryMsg,以下简称MSG1和MSG2。MSG1大小为VO大小,MSG2大小为0x400(pipe_buffer x 16 大小)。组成如下图所示:

在这里插入图片描述

实际喷射会比上图数量多得多,并且Msg 们在内存中也并不是这么整齐对应的。然后可以释放一些MSG1,如图中的idx 04,构造一些空洞,然后申请VO,这时如果VO 能申请到刚释放出的空洞上,就算堆布置成功,唯一考验成功率的操作就是这一步,接下来的操作成功率都非常高:

在这里插入图片描述

溢出构造msg corrupt

将VO部分放大,堆布局如下,数字为地址低二字节:

在这里插入图片描述

通过堆溢出,越界写下面的目标MSG1的msg_msg->m_list_next 成员通常需要覆盖两个字节为0 或至少覆盖第二个字节为0(第一个字节本来就是0),就会形成下图所示布局:

在这里插入图片描述

这时我们遍历所有消息队列使用MSG_COPY的方法接收每个队列中的消息二 MSG2(MSG_COPY 不会释放消息),并且判断接收到的消息编号,这时会发现有一个消息队列接收到了别的队列的MSG2,记录这两个队列编号,被接受到的队列编号为real idx ,接收到real idx 的MSG2 的队列编号为corrupt idx ,将这个被两个MSG1 同时指向的MSG2 称为target MSG2:

在这里插入图片描述

构造 MSG UAF

虽然现在有两个MSG1 都指向了同一个MSG2 ,我们的目的是让target MSG2这个堆空间free两次,这样就能让sk_buff 和pipe_buffer 同时占用target MSG2 这个堆区域。但如果直接将MSG2 释放两次的话,会过不了内核中双向链表的unlink,所以我们还得帮target 构造两个可以通过unlink 的next 和prev 指针。

unlink 操作:

static inline void __list_del(struct list_head * prev, struct list_head * next)
{
	next->prev = prev;
	prev->next = next;
}

根据unlink 的代码,我们可以看出,只需要让它的next 指针和prev 指针都指向自己,就不会让unlink 崩溃,并且也不会破坏链表结构。那么接下来就是通过两次泄露找到该堆的自己的地址。

泄露msg 地址 1

使用real idx 队列释放target MSG2,然后立刻使用0x400 的sk_buff 占位住,占位sk_buff 的内容构造一个假的msg 头部,其中:

  1. m_ts 成员(代表msg 大小)要写的大一些,一会会越界读泄露下面msg 的指针
  2. msg 类型为一个自定义的类型,方便一会接收。形成如下结构:
  3. 其他部分不至于覆盖成0即可

在这里插入图片描述

由于target MSG2 的size 被改大,使用corrupt idx 可以越界读取到与target MSG2 内存相连的下一个MSG2 也就是idx 02 MSG2的头部,读取它的prev 指针为leak1。

泄露msg 地址 2

释放刚刚的sk_buff 并马上重新喷射sk_buff,新sk_buff也是构造一个假的msg 头部,和上面有区别:

  1. m_ts 成员大于4k ,如0x1000+0x100
  2. msg 类型为一个自定义的类型,方便一会接收
  3. msg_msg * next指针为leak1 - 8,即刚泄露的msg 地址- 8
  4. 其他位置不重要,0即可

如下图所示:

在这里插入图片描述

由于target MSG2 大小被修改大于0x1000,在msg 中属于分段存储的msg,并且将msg_msgseg *next 指向刚刚泄露的idx 02 MSG1 - 8,那么直接可以读到idx 02 MSG1->m_list_next 也就是idx 02 MSG2 的地址,然后只需要减掉0x400 就是target MSG2 的地址了。

msg UAF

这时我们已经获得了target MSG2 的地址,释放sk_buff 在马上重新喷射sk_buff,这次伪造的堆头部如下:

  1. m_list_next 和m_list_prev 都是自己的地址
  2. msg 类型为一个自定义的类型,方便一会接收
  3. 大小、msg_msgseg *next都改回来
  4. 其他不重要

其他部分不变,大小还是0x400,喷射之后,就可以使用corrupt idx 来再次释放target MSG2了:

在这里插入图片描述

Dirty Pipe

这一段的原理与Dirty Pipe 漏洞的原理相同,不对原理进行阐述,原理可以移步[漏洞分析] CVE-2022-0847 Dirty Pipe linux内核提权分析

这里需要选择一个Dirty Pipe 需要篡改的文件,一般选择带suid 的文件将其改为恶意shell 文件。通常选择mount。

初始化pipe

使用corrupt idx 来再次释放target MSG2,然后创建若干pipe 队列,就会让某一个队列的pipe_buffer 也占用到该刚释放的target MSG2,然后对所有消息队列中的16个页进行填充和释放,来保证pipe_buffer 之中内容被初始化,然后对每个队列都试用splice,将目标文件的缓存页拼接上(这一步同Dirty Pipe),不过这里为了方便到时候判断哪个pipe 占住了target MSG2,我们需要在pipe 的第一页写上长度不同的内容:

在这里插入图片描述

篡改flag/ops 进行Dirty Pipe

不要忘记我们还有一个sk_buff 占用这这个target MSG2呢,遍历读取所有sk_buff,寻找pipe_buffer ,根据pipe 结构的内容,判断对应位置的内容是否是,这里判断len 字段就可以,由于我们每一个pipe 队列第一页的len 不同,如果遇到了满足区间的大小,那么久确定是目标target pipe_buffer。根据读取的len 可以确定pipe 队列编号。

读取到该pipe_buffer 的内容,由于第二页是我们splice 的文件缓存页,直接修改刚读取的pipe_buffer内容的第二个pipe_buffer结构体:

  1. flag为PIPE_BUF_FLAG_CAN_MERGE,
  2. 如果内核版本小于5.8 还没有PIPE_BUF_FLAG_CAN_MERGE 的话,就修改的第二个pipe_buffer 的ops 结构体为第一个pipe_buffer 的ops 就可以。
  3. offset 和len 修改为0

在这里插入图片描述

然后重新喷射sk_buff即可完成dirty pipe 的转化,然后直向该pipe 队列发送消息就可以完成对目标文件的临时篡改。将suid 文件改为恶意shell 执行即可。

成功案例

下面案例仅代表可以用本文介绍的"胜利方程式"完成利用的CVE漏洞。

CVE-2022-0995

CVE-2021-22555

CVE-2021-42008

参考

CVE-2022-0185分析及利用 与 pipe新原语思考与实践

CVE-2021-22555: Turning \x00\x00 into 10000$

[漏洞分析] CVE-2022-0847 Dirty Pipe linux内核提权分析

breezeO_o
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
众至科技漏洞通告 | Atlassian Crowd and Crowd Data Center 权限绕过漏洞;Bitbucket Server and Data Center 远程命令执行漏洞
zz_tech的博客
11-30 672
众至科技发布漏洞通告
老表带你学Linux kernel pwn 入门(四)
weixin_43889007的博客
11-12 850
内核uaf 采用喷射
Centos7服务器同步网络发现漏洞与修复手册(每周更新3次)
visket2008的专栏
10-18 2196
本文将长期更新基于centos7环境引起的操作系统、java、node、python等相关的漏洞修复解决方案。
CVE-2022-43781随便写写分析
2401_82670286的博客
01-29 869
Atlassian Bitbucket Server和Atlassian Bitbucket Data Center都是澳大利亚Atlassian公司的产品。Atlassian Bitbucket Server是一款Git代码托管解决方案。该方案能够管理并审查代码,具有差异视图、JIRA集成和构建集成等功能。Atlassian Bitbucket Data Center是Atlassian Bitbucket的数据中心版本。
linux通用内核,Linux内核通用喷射技术详解
weixin_28982257的博客
04-29 424
简介这个内核喷射技术曾经在beVX研讨会期间进行过相应的演示,之后,还曾被用于内核IrDA子系统(Ubuntu 16.04)的0day攻击。与已知的喷射不同,该技术适用于非常小的对象(大小不超过8或16字节)或需要控制前N个字节的对象(即目标对象中没有不受控制的头部)。这种技术可以用来利用两个UAF内核漏洞,正如我在研讨会上提到的那样,“喷射”这个术语在利用UAF漏洞时并不适用,因为它通常不...
exploitLinux 内核CVE-2024-1086漏洞复现脚本)
最新发布
06-06
Linux 内核CVE-2024-1086漏洞复现脚本。 在普通用户下,将文件上传后,chmod 777 exploit ,然后运行 ./exploit提权成功,输入id,可看到已经是root权限 。
新版脏牛Linux内核提权漏洞CVE-2022-0847
03-09
5.8 <= Linux kernel 中的一个漏洞,它允许覆盖任意只读文件中的数据。这会导致权限提升,因为非特权进程可以将代码注入根进程。 修复版本:Linux 5.16.11、5.15.25 和 5.10.102 中修复。
linux-kernel-exploitation:与Linux内核安全性和利用有关的链接的集合
02-05
"linux-kernel-exploitation"项目集合了一系列与Linux内核安全相关的链接,这包括漏洞分析、exploit开发、权限提升和安全防护等方面的知识。 1. **Linux内核漏洞**:内核中的漏洞可能源于编程错误,如缓冲区溢出、...
kernel-exploit-factory:Linux内核CVE漏洞分析报告和相关调试环境。 您无需再编译Linux内核并配置您的环境
05-04
Linux内核CVE漏洞分析报告和相关调试环境。 您无需再编译Linux内核并配置您的环境。 该存储库用于提取所有Linux内核利用和相对调试环境。 您可以使用Qemu启动内核并测试漏洞利用。 # Eg, test CVE-2017-11176, ...
内核漏洞:各种内核漏洞
02-04
内核漏洞:各种内核漏洞
高性能网络SIG月度动态:virtio新设备进入virtio规范、smc新特性IPC性能比tcp提升88% | 龙蜥SIG
weixin_60347558的博客
01-11 336
在云计算时代,软硬件高速发展,云原生、微服务等新的应用形态兴起,让更多的数据在进程之间流动,而网络则成为了这些数据流的载体,在整个云时代扮演者前所未有的重要角色。
Centos7服务器同步网络发现漏洞与修复手册(每周更新3次)_cve-2024-2828
2401_84160325的博客
04-09 1084
作者公司有8台云服务器,本地有2台物理服务器,并且都联网了。云服务器的安全防护到期了,公司也不太想续费了,遂自己从代码上添加了一系列软件防护,但漏洞是一直再出,谁也无法保障是永远安全,所以本文会持续收录及时的漏洞,并提供命令修复办法。软件: kernel-headers, 版本: 3.10.0-1160.83.1.el7修复命令 sudo yum update kernel-headers软件: libssh2, 版本: 1.8.0-4.el7修复命令 sudo yum update libssh2软件:
[kernel exploit] 管道pipe在内核漏洞利用中的应用
热门推荐
Breeze的博客
05-20 1万+
[kernel exploit] 管道pipe在内核漏洞利用中的应用 文章目录[kernel exploit] 管道pipe在内核漏洞利用中的应用简介源码阅读与逻辑分析pipe 创建匿名管道pipe 原型pipe 源码分析pipe 相关结构体write & splice 向pipe 管道写pipe_write 分析(5.13代码)splice 传输文件splice 原型splice 原理分析pipe_write & splice 分析(老版本5.4代码)实际操作与漏洞利用使用场景dirty
skb_buf结构分析
若海人生的专栏
04-13 6971
转载请注明出处:http://blog.csdn.net/qq405180763/article/details/8797236         实际上skb_buf结构只是一块已经申请好的套接字缓冲区的指针和属性数据的描述集合,netdev_alloc_skb函数申请到一块套接字缓冲区后,返回记录这块缓冲区信息的skb_buf结构,在各个网络层传输的只是skb_buf结构,换句话说,仅仅是
Aruba 修复EdgeConnect 中的严重RCE和认证绕过漏洞
smellycat000的专栏
10-13 574
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士摘要Aruba 发布EdgeConnect Enterprise Orchestrator 安全更新,修复了可导致远程攻击者攻陷主机的多个严重漏洞。Aruba EdgeConnect Orchestrator 是一款广泛使用的WAN管理解决方案,为企业用户提供优化、管理、自动化和实时可见性和监控特性服务。该产品中存在严重的可利用漏洞,为系统和网络...
linux kernel 内存分配管理机制以及分配机制
sdc20102010的博客
04-24 1017
其实计算机的核心就是运算, 但是为了复杂的运算毕竟只靠cpu 自带的寄存器 云算力毕竟有限,所以就有了内存的出现。 下面我们呢先见一下linux 中内存的分布情况。 在内核空间中,内核 地址16~896M 其他有iomap 和dma 一、内核空间 1、页 页(page)是内核的内存管理基本单位。(linux/mm_types.h) struct page { unsigned long flags; // 页标志符 struct address_space *mapping; // 该页...
Linux x86 漏洞利用-整数溢出
z190814412的博客
01-08 958
整数溢出 什么是整数溢出? 存储大于支持的最大值的值称为整数溢出。整数溢出本身不会导致任意代码执行,但整数溢出可能导致溢出溢出,这可能导致任意代码执行。 数据类型大小及其范围: Data Type Size Unsigned Range Signed Range char 1 0 to 255 -128 to 127 short 2 0 to 65535 -32768 ...
linux函数 取值溢出,Linux中create_elf_tables函数整型溢出漏洞分析(CVE-2018-14634)
weixin_35859336的博客
05-10 207
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。在这篇文章中,我们将跟大家分析Linux平台中create_elf_tables函数的一个整型溢出漏洞(CVE-2018-14634)。概述在近期的一次安全分析过程中,我们在64位Linux系统内核里的create_elf_tables()函数中发现了一个整型溢出漏洞,本地攻击者将可...
Linux 二进制漏洞挖掘入门系列之(七)溢出: House of Spirit
个人笔记
07-08 1539
0x10 基础知识 关于 bin 的一些特点 malloc 返回值,指向 chunk 的 user data 每个 bin 采取 LIFO 策略,最近被释放的 chunk 优先被再次使用 关于 fastbin 的一些特点 案例 int main(void) { void *chunk1,*chunk2,*chunk3; chunk1=malloc(0x30); chunk2=malloc(0x30); chunk3=malloc(0x30); //进行释放
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值