[RSA议题分析] Colorful Vulnerabilities - From RGB Colors to Privilege Escalation

已于 2023-05-30 14:54:29 修改
阅读量2.7k 收藏
点赞数
分类专栏: 杂七杂八 文章标签: linux linux kernel linux内核漏洞挖掘 linux 内核提权 RSAC 2023
于 2023-05-26 15:08:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Breeze_CAT/article/details/130887215
版权

文章目录

议题简介

本议题《五颜六色的漏洞 - 从RGB到提权》是由CyberArk 实验室的Tal Lossos和Eran Shimony带来的。主要提出了对Linux内核第三方驱动 - 雷蛇系列产品的RGB驱动进行漏洞挖掘并完成本地提权漏洞利用的过程。主要从目标选取、漏洞挖掘方法、内核驱动交互模式、漏洞细节与漏洞利用等方面阐述一次完整的漏洞挖掘经历。

议题分析

开源与闭源

闭源需要逆向分析(废话),但闭源存在问题的概率更高,赏金可能更高。

开源提供代码(废话),挖洞更容易,可以使用很多静态分析工具。

挖掘方法:

逆向工程、代码审计、静态分析工具

fuzz:AFL、LibFuzzer、kAFL、syzkaller… 需要定制自己的测试套,需要花时间

dumb Fuzzer:只需知道内核中一个函数的参数是什么,然后只针对参数进行变异

在这里插入图片描述

目标选取

linux内核模块:linux内核是工作在用户层和硬件层之间的层级。提供给用户使用代码访问硬件的方式。linux内核模块是 Linux 内核的一部分功能,它们在系统运行时可被动态加载和卸载。内核模块使得内核具有了模块化的特性,可以按需求添加或者移除功能,而无需重新编译整个内核。这种设计极大地提升了 Linux 系统的灵活性和扩展性。

在这里插入图片描述

在内核模块中,第三方的内核模块更容易被发现漏洞,因为很少被别人挖。并且他们出现漏洞也会造成跟原生内核漏洞一样的后果,提权或者DOS。所以目标选择了OpenRazer,雷蛇硬件驱动:

在这里插入图片描述

雷蛇是一家大型游戏硬件公司,专注提供电竞外设,如鼠标键盘或者水杯(游戏外设???),当然现在游戏外设非常花里胡笑,自带各种RGB并且一定程度上实现灯光逻辑可编程,这就需要一些内核模块来控制设备,并提供用户控制和输入逻辑的接口。而雷蛇的驱动也提供了linux的版本。

在这里插入图片描述

然后我们需要知道如何在用户层和内核驱动通信,主要有以下几种方法:

  1. read/write:通过在内核模块中实现file_operations,用户层就可以向访问文件一样使用read/write系统调用访问驱动,实际调用的是驱动中实现的read和write回调函数。linux中万物皆文件。
  2. OTCTL:如果实现的功能很多很复杂,有很多情况,可以使用同样是file_operations中的IOCTL回调函数实现,IOCTL中可以使用switch处理多种传入的cmd操作码,处理多种情况。
  3. 伪文件系统:如sys文件系统,proc文件系统等。将每个功能变成上述伪文件系统中的一个文件,然后我们通过读写该文件的形式访问这些功能。使用sysfs_create_file内核函数在sys文件系统下创建一个访问文件。
  4. mmap:内存映射,使用file_operations中的mmap回调函数可以提供一个用户可以将内核页映射到用户空间的方法,然后用户和内核模块共同访问这段内存区域来进行交互。
  5. netlink:netlink是一种linux内部的通信协议,主要是用户层到内核模块或者内核模块中间通信使用。不同于TCP/IP网络协议,netlink的socket的对端是内核模块,自己端是进程,可以实现广播、单播、多播、异步等所有的报文式交互方式。

在这里插入图片描述

看看漏洞

查看雷蛇驱动的一些指令:

lsmod | grep razer
lsusb - 0x1532 #0x1532是厂商id
ls /sys/bus/hid/devices/XXX:VENDOR_ID:PRODUCT_ID.XXXX
echo -n "1" > /sys/bus.../matrix_effect_wave #水杯灯光自动变换接口...

寻找的目标漏洞:空指针解引用、缓冲区溢出、整数上下溢等

漏洞案例

在这里插入图片描述

传入参数start_col和stop_col都是我们可控,计算获得的row_length最大是768,然后会作为长度用于下面的memcpy,但memcpy 的目的缓冲区repor.arguments总长度只有80,造成溢出。

类似的漏洞在鼠标、键盘、水杯都有。

漏洞利用

我们现在有一个缓冲区溢出的漏洞原语,尝试完成利用。

采用modprobe_path的利用方法,在linux内核中,我们执行一个文件的时候,linux内核会判断这个文件的类型, 然后使用正确的方式执行它,一般是通过文件头去判断。如果我们执行了一个linux内核不认识的文件格式,那么linux内核就会调用modeprobe_path指向的文件去执行这个文件。

重要的是,这里是由内核启动modeprobe_path,这使得它拥有root的权限,默认情况下modeprobe_path指向/sbin/modprobe这个文件。但我们可以通过一些内核漏洞篡改modeprobe_path指向的文件路径,modeprobe_path本质是一个存储在内核bss段的文件路径字符串,可以被篡改。如果我们将其指向恶意文件,就可以让内核以root权限执行我们的恶意文件。

防御

glibc提供了一个默认的安全功能fortify,他使得可以在编译阶段进行安全检查来预防和发信啊常见的编程错误。在最新6.1模式已经堆memcpy开启缓冲区溢出缓解:

在这里插入图片描述

在目标漏洞内核模块中,开启fortify后编译成这个样子,多加了一句判断和报错:

在这里插入图片描述

总结

这个议题给我们讲述了一个完整的第三方内核模块漏洞挖掘的过程,漏洞比较简单易懂,他们的目标选取比较好,第三方外设驱动的内核模块,逻辑比较简单好分析,并且暴露给用户面的接口也很多。值得学习。

breezeO_o
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vulnhub靶机系列:pWnOS: 1.0
汗的博客
03-29 2494
https://www.hackingarticles.in/hack-the-pwnos-1-0-boot-to-root/ 文章目录靶机地址利用知识信息收集Getshell提权 靶机地址 https://www.vulnhub.com/entry/pwnos-10,33/ tip:如果Vmware在首次引导时询问您是复制还是移动了该虚拟机,请单击MOVED!否则,网络设置可能会混乱。 利用知识...
vuInhub靶场实战系列--prime:1
weixin_45221204的博客
06-05 1248
Vulnhub是一个提供各种漏洞环境的靶场平台,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞。本文介绍prime:1靶机渗透测试,内容包括主机扫描(nmap\netdiscover)、端口扫描(nmap\masscan)、目录扫描(dirb\dirsearch)、wpscan、msf、netcat、反弹shell、linux内核提权等内容。使用nmap进行主机发现和端口扫描使用dirbsearch进行目录扫描网页分析,进行wfuzz爆破参数和值netcat监听。
Meltdown(熔断漏洞)- Reading Kernel Memory from User Space/KASLR | 原文+中文翻译
RToax
03-14 1万+
熔断简易且强悍的根本原因正是乱序执行所带来的副作用。 有漏洞的CPU允许非特权进程将数据从特权(内核或物理)地址加载到临时CPU寄存器中。 乱序的内存查找会影响缓存,而缓存又可以从缓存侧通道被窥视。 熔断破坏了所有由CPU内存隔离能力提供的安全假设。 KAISER在很大程度上抵御了熔断。
vuInhub靶场实战系列--Kioptrix Level #2
weixin_45221204的博客
06-09 758
Vulnhub是一个提供各种漏洞环境的靶场平台,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞。本文介绍Kioptrix Level #2靶机渗透测试,内容包括主机扫描(nmap\netdiscover)、端口扫描(nmap\masscan)、目录扫描(dirb\dirsearch)、netcat、反弹shell、脚本利用、linux内核提权等内容。p=49Checksum主机发现目录扫描端口扫描netcat监听反弹shelllinux内核提权
vuInhub靶场实战系列--Kioptrix Level #3
weixin_45221204的博客
06-10 1281
Vulnhub是一个提供各种漏洞环境的靶场平台,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞。本文介绍Kioptrix Level #3靶机渗透测试,内容包括主机扫描(nmap\netdiscover)、端口扫描(nmap\masscan)、目录扫描(dirb\dirsearch)、netcat、msf反弹shell、脚本利用、利用脚本进行linux内核提权等内容。452 MegsHave funp=358主机发现目录扫描端口扫描。
渗透之——Metasploit命令及模块
热门推荐
冰河的专栏
01-26 3万+
show exploits 列出metasploit框架中的所有渗透攻击模块。 show payloads 列出metasploit框架中的所有攻击载荷。 show auxiliary 列出metasploit框架中的所有辅助攻击载荷。 search name 查找metasploit框架中所有的渗透攻击和其他模块。 info 展示出制定渗透攻击或模块的相关信息。 use name 装载一个渗透攻...
Day 3 @ RSA Conference Asia Pacific & Japan 2016 (morning)
weixin_30375247的博客
07-25 153
09.00 – 09.45 hrsTracksCloud, Mobile, & IoT Security A New Security Paradigm for IoT (Internet of Threats)Hadi Nahari,Founder, R62 SecurityComputing has changed since the 50s except for secur...
靶机渗透练习43-Lord Of The Root
hirak0的博客
04-19 2092
靶机描述 靶机地址:https://www.vulnhub.com/entry/lord-of-the-root-101,129/ Description I created this machine to help others learn some basic CTF hacking strategies and some tools. I aimed this machine to be very similar in difficulty to those I was breaking on
RSA-and-LLL-attacks:通过晶格约简(LLL)攻击RSA
04-30
RSA的基于格的攻击 此回购主机使用格缩减技术(特别是LLL )的实现和对不同RSA攻击的解释。 首先,我们将看到Coppersmith如何发现您可以使用晶格简化技术来攻击宽松的RSA模型(我们知道消息的一部分,或者我们...
node-rsa-pem-from-mod-exp:根据node.js中的模量和指数值创建RSA公钥PEM
05-28
节点-rsa-pem-来自-mod-exp 根据Modulus和Exponent值创建RSA公钥PEM。 没有依赖于其他模块的使用。 这使您可以使用模数/指数值来验证有符号值。 原始代码基于的答案。安装 npm install rsa-pem-from-mod-exp用法 //...
easy-rsa-2.2.0.tar.gz
06-30
首先,我们需要从源代码包`easy-rsa-2.2.0.tar.gz`中解压并安装。这通常包括解压、进入目录、配置和编译过程。在Unix/Linux环境下,可以使用以下命令: ``` tar -zxvf easy-rsa-2.2.0.tar.gz cd easy-rsa-2.2.0 ./...
RSA.rar_RSA-43H_rsa
09-21
在“RSA.rar_RSA-43H_rsa”这个压缩包中,可能包含了一个用RSA实现的示例项目,可以在VS2012(Visual Studio 2012)环境下正常运行。 首先,我们要理解RSA的核心原理。该算法基于数论中的两个基本事实:大整数分解...
RSA-Digital-Signature-master_加密_RSA数字签名_
10-02
这个"RSA-Digital-Signature-master"压缩包可能包含了一个关于如何使用RSA算法实现数字签名的示例代码或教程。 在RSA算法中,一对密钥被生成:公钥和私钥。公钥可以公开给任何人,而私钥则必须由密钥拥有者妥善保管...
LINUX:懒汉单例模式线程池
W2155的博客
07-16 448
创建一个线程,就是要这个线程去完成某种任务的。池化技术就是,提前创建一批线程,有任务这一批线程就会执行。而不是有任务的时候在去创建线程。池化技术有着更高的效率,因为线程都是提前创建好的,直接执行任务。
定制 Linux 内核的意义
地球空间
07-17 290
2. **配置内核**:使用 `make menuconfig` 或 `make xconfig` 配置内核,选择需要支持的硬件和功能。1. **性能优化**:通过定制内核,可以针对特定的硬件或应用场景优化性能,比如减少不必要的驱动支持、优化调度算法等。7. **持续维护**:随着时间的推移,可能需要对内核进行更新和维护,以支持新的硬件和功能。6. **测试和调试**:启动系统,测试新内核的功能和性能,根据需要进行调试和优化。4. **安装内核**:编译完成后,将生成的内核镜像和相关的模块安装到系统中。
Qmi8658a姿态传感器使用心得(2)linux
最新发布
Starry的博客
07-19 862
COD 原理,CTRL9,自检(详细代码示例)
Linux杂货铺】期末总结篇4:shell编程
聆风吟的博客
07-17 3606
本文主要分享作者本人期末复习的总结,欢迎大家借鉴浏览。
rsa加密 需要去掉 -----BEGIN PUBLIC KEY-----吗
09-01
RSA加密中,公钥和私钥的格式通常使用标准的PEM格式(Privacy-Enhanced Mail)。PEM格式的密钥会在密钥的起始和结束处加上-----BEGIN PUBLIC KEY-----和-----END PUBLIC KEY-----的标识符。当使用RSA加密时,需要将密钥的标识符去掉,只使用密钥的主体部分。因此,RSA加密不需要包含-----BEGIN PUBLIC KEY-----这样的标识符。<span class="em">1</span><span class="em">2</span> #### 引用[.reference_title] - *1* [Go-加密学(六) - BEGIN CERTIFICATE、BEGIN RSA PRIVATE KEY和BEGIN PRIVATE KEY的区别](https://blog.csdn.net/xiangjai/article/details/125298757)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [全开源JAVA支付系统/jeepay聚合支付四方支付系统](https://download.csdn.net/download/weixin_36643308/88277311)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值