基于eBPF监测可能的提权行为

最新推荐文章于 2024-09-28 22:34:31 发布
最新推荐文章于 2024-09-28 22:34:31 发布
阅读量392 收藏 10
点赞数 10
分类专栏: 系统安全 文章标签: 系统安全 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andlee/article/details/134757890
版权

本文实现一个简单的eBPF模块,用于监测可能的提权行为。在此示例中,我们使用eBPF的`kprobe`功能来监视`commit_creds`和`set_cred`系统调用,以在执行提权操作时执行一些检查。

```c
#include <linux/bpf.h>
#include <linux/bpf_trampoline.h>
#include <linux/version.h>

#define SEC(NAME) __attribute__((section(NAME), used))

SEC(".text")
int kprobe_commit_creds(void *ctx)
{
    // 在此添加对提权行为的检查逻辑,例如打印日志或发送警报
    return 0;
}

SEC(".text")
int kprobe_set_cred(void *ctx)
{
    // 在此添加对提权行为的检查逻辑,例如打印日志或发送警报
    return 0;
}
```

在运行此eBPF模块之前,需要确保内核已启用了eBPF功能。

车联网安全杂货铺
关注
专栏目录
【权限提升】Linux Kernel ebpf 提权漏洞(CVE-2022-23222)
做自己喜欢的事,并将其发挥到极致!
10-09 2675
CVE-2022-23222 Linux Kernel ebpf权限提升漏洞。
深度解密|基于 eBPF 的 Kubernetes 问题排查全景图发布
阿里云云栖号
03-14 813
简介:当前,云原生技术以容器技术为基础,通过标准可扩展的调度、网络、存储、容器运行时接口来提供基础设施。 当 Kubernetes 成为云原生事实标准,可观测性挑战随之而来 当前,云原生技术以容器技术为基础,通过标准可扩展的调度、网络、存储、容器运行时接口来提供基础设施。同时,通过标准可扩展的声明式资源和控制器来提供运维能力,两层标准化推动了开发与运维关注点分离,各领域进一步提升规模化和专业化,达到成本、效率、稳定性的全面优化。 在这样的大技术背景下,越来越对的公司引入了云原生技术来开发、运维业务..
Linux-eBPF提权
qq_43381463的博客
02-25 359
漏洞复现- Linux Kernel ebpf权限提升漏洞(CVE-2022-23222)
利用eBPF探测Rootkit漏洞
Peter的专栏
07-11 578
作者简介:许庆伟,Linux Kernel Security Researcher & Performance Develope如今,云原生平台越来越多的使用了基于eBPF安全探测技术。这项技术通过创建安全的Hook钩子探针来监测内部函数和获取重要数据,从而支持对应用程序的运行时做监测和分析。Tracee是用于Linux的运行时安全和取证的开源项目,它基于eBP...
关于eBPF安全可观测,我想和你聊聊----PODS 2022大会上的主题分享
热门推荐
Rethinking the Kernel
08-19 1万+
和大家分享下16号晚上,我在PODS 2022大会上关于内核安全方面的一些思考和心得,直播没讲到的内容摘自我博客的其他文章,有些在公众号文章里也有。本次分享将从监控和可观测性、eBPF安全可观测性分析、内核安全可观测性展望三个方面展开。
使用 eBPF 在云中实现网络可观测性
n9ecommunity的博客
08-25 286
可观测性是一种了解和解释应用当前状态的能力,也是一种知道何时出现问题的方法。随着在 Kubernetes 和 OpenShift 上以微服务形式进行云部署的应用程序越来越多,可观察性受到了广泛关注。许多应用程序都有严格的承诺,比如在停机时间、延迟和吞吐量方面的 SLA,因此网络层面的可观测性是一项非常必要的功能。网络层面的可观测性由不同的编排器提供,有的是内置支持,有的是通过插件和 operator 提供。最近,eBPF(扩展的伯克利数据包过滤器)因其性能和灵活性成为在终端主机内核实现可观察性的热门选择。
毕设&课程作业_基于eBPF收集操作系统信息,并使用时间序列模型进行智能化的异常情况检测.zip
01-31
本项目主要围绕“基于eBPF(Extended Berkeley Packet Filter)收集操作系统信息,并使用时间序列模型进行智能化异常情况检测”这一主题展开,适用于计算机类的毕业设计或课程作业。eBPF是一种内核技术,它允许安全...
Eunomia: 基于 eBPF 的轻量级 CloudNative Monitor 工具,用于容器安全性和可观察性(概要介绍)
云微的blog
06-30 750
是一个使用 C/C++ 开发的基于 eBPF 的云原生监控工具,旨在帮助用户了解容器的各项行为、监控可疑的容器安全事件,力求为工业界提供覆盖容器全生命周期的轻量级开源监控解决方案。它使用 技术在运行时跟踪您的系统和应用程序,并分析收集的事件以检测可疑的行为模式。目前,它包含 、容器集群网络可视化分析*、容器安全感知告警、一键部署、持久化存储监控等功能。除了收集容器中的一般系统运行时内核指标,例如系统调用、网络连接、文件访问、进程执行等,我们在探索实现过程中还发现目前对于 和 相关用户态 工具和指标
操作系统大赛:基于 eBPF 的容器监控工具 Eunomia 初赛报告(目标描述、ebpf 调研)
云微的blog
07-07 668
本项目由两部分组成: 是一个使用 C/C++ 开发的基于eBPF的云原生监控工具,旨在帮助用户了解容器的各项行为、监控可疑的容器安全事件,力求为工业界提供覆盖容器全生命周期的轻量级开源监控解决方案。它使用 技术在运行时跟踪您的系统和应用程序,并分析收集的事件以检测可疑的行为模式。目前,它包含 、容器集群网络可视化分析*、容器安全感知告警、一键部署、持久化存储监控等功能。除了收集容器中的一般系统运行时内核指标,例如系统调用、网络连接、文件访问、进程执行等,我们在探索实现过程中还发现目前对于 和 相关用
CVE-2020-27194:Linux内核eBPF模块提权突破的分析与利用
爱国小白帽
11-04 1470
原创 360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-110302 报告来源:360-CERT 报告作者:360-CERT 更新日期:2020-11-03 0x01突破背景 2020年11月1日,360CERT检测到国外安全研究人员simon通过fuzz在Linux内核的ebpf模块中发现一个越界标识符的断裂,可导致权限提升,CVE编号:CVE-2020-27194。 该突破是由于eBPF验证程序中进行或操作时未正确计算寄存器范围,而细长引
一文教你如何使用 eBPF 检测分析用户态程序
youzhangjing_的博客
11-05 1178
eBPF 彻底改变了 Linux 内核中的可观察性。在我之前的系列文章中,我介绍了eBPF 生态系统的基本构建模块,简要介绍了XDP,并展示了它与 eBPF 基础设施如何密切合作,以便在网络堆栈中引入一个快速处理的数据路径。然而,eBPF 并不只是用在内核空间跟踪。如果我们可以在生产环境中运行的应用程序上也能享受 eBPF 驱动的跟踪的,这是不是很好呢?这就是uprobes发挥作用的地方。可以将它们看作是一种kprobes,它加载到了用户空间跟踪点而不是内核符号。
Linux Kernel eBPF权限提升漏洞复现
kiihuang的博客
04-10 118
原理 漏洞允许eBPF程序在未经验证的情况下对特定指针进行运算,通过精心构造的代码,可以实现任意内核内存读写,从而进行本地提权 创建新用户 开始使用新用户提权 内核修改完成 同样需要,环境yum -y install gcc automake autoconf libtool make,还要unzip make CFLAGS=-std=c99 编译不成功 直接找了一个编译成功的,给权限执行完成
CVE-2020-8835-通过不正确的 EBPF 程序验证导致 LINUX 内核权限提升
大草的博客
10-15 1636
首先,我们介绍了基本的漏洞信息和复现漏洞的准备工作。接着,我们阅读bpf验证程序,掌握其整体框架。为了了解漏洞的触发过程,我们使用一条指令作为事例,详细的介绍了它的验证过程。在掌握漏洞的触发流程之后,我们阅读exp代码,分块分析代码功能。exp代码作用包括绕过验证程序,利用任意读查找cred结构,利用任意写修改cred结构,从而提权成功。最后,我们附上了关闭/开启KASLR,成功提权的截图。
Ubuntu内核提权(CVE-2017-16995)漏洞的复现&脏牛漏洞
weixin_43815032的博客
09-06 1469
Ubuntu内核提权漏洞的复现 这里先介绍一下漏洞,Ubuntu是一个以桌面应用为主的开源GNU/Linux操作系统,基于Debian GNU/Linux 。近期有白帽子爆出 ubuntu 的最新版本(Ubuntu 16.04)存在本地提权漏洞,漏洞编号为CVE-2017-16995。 漏洞分享:Ubuntu本地提权(CVE-2017-169...
Linux 系统安全工具简介
地球空间
09-25 361
是一款用于防范暴力破解攻击的开源安全工具,它可以监视系统日志文件,如 SSH、HTTP、FTP 等服务的日志,并根据预设的规则自动封锁恶意 IP 地址。Fail2ban 的优点在于它可以自动化阻止恶意行为,减轻管理员的工作负担,并且支持自动解封功能,避免误封合法用户。它的优点包括轻量级和速度快,但缺点是误报率较高,且无法保证100%的准确率。Fail2ban、chkrootkit 和 rkhunter 是 Linux 系统中常用的安全工具,它们各自有不同的用途和特点。
Linux风险应对策略:保障系统安全的有效措施
weixin_62641226的博客
09-25 288
通过实施上述风险应对策略,用户可以有效提升Linux系统的安全性,降低潜在的安全威胁。安全是一个持续的过程,只有不断更新和完善安全措施,才能在瞬息万变的网络环境中保护好自己的系统和数据。这些工具可以限制应用程序的访问权限,减少潜在的攻击面。未授权用户通过漏洞或弱密码获取系统访问权限,是Linux系统常见的安全风险之一。社会工程攻击通过欺骗手段获取用户的敏感信息,例如钓鱼邮件、假冒网站等,Linux用户同样面临此类风险。确保所有用户账户使用复杂且唯一的密码,并启用双因素认证(2FA),增加系统的安全性。
信息安全工程师题
m0_62207482的博客
09-25 439
脆弱性是对信息系统弱点的总称,是风险分析中最重要的一环 信息系统安全风险评估是信息安全保障体系建立过程中最重要的评价方法和决策机制 信息系统安全管理强调按照“三同步”原则进行,即同步设计、同步建设、同步运行 业务连续性是一个全盘的管理过程,重在识别潜在的影响,建立整体的恢复能力和顺应能力,在危机或灾害发生时保护信息系统所有者的剩余和利益 Android使用Linux作为底层操作系统 由于MySql中可以通过更改mysql数据库的user表进行权限的增加、删除、变更等操作。因此,除了root以外
探索光耦:隔离电压——光耦保障电路安全与性能的关键
forvevr的博客
09-25 684
在实际应用中,光耦的隔离电压应根据工作环境中的电压等级、电流负载和潜在的电压波动来选择。比如,对于高压电力设备,建议选择隔离电压较高的光耦,以应对突发的电压尖峰或电流浪涌。在现代电子设备和系统中,电气隔离是保障电路稳定运行和安全的重要环节,而光耦(光电耦合器)则是实现这种隔离的核心元件之一。具有较高隔离电压的光耦能在这些波动和干扰中,稳定地工作,确保系统运行的连续性和可靠性。光耦通过将不同电位的电路有效隔离,避免了跨电路间的电流回流对低压电路元件的损害,延长了设备的使用寿命。
【蚂蚁HR-注册/登录安全分析报告】
最新发布
09-28 585
蚂蚁社保是武汉微蚁企业服务有限公司旗下的网站,主要提供五险一金的代缴、补缴、社保开户、社保挂靠和社保代理服务。该平台主要覆盖一二线城市,目前已覆盖13+城市。蚂蚁社保的特点是高度自动化和在线化,创始人团队致力于通过程序和硬件替代所有可以自动化的环节,从而最大限度地减少人为错误,作为头部的社保代缴平台, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
基于ebpf写一个hello_world
11-24
以下是基于eBPF写一个hello_world的步骤: 1.安装依赖项和工具链 ```shell sudo apt-get update sudo apt-get install -y build-essential linux-headers-$(uname -r) libelf-dev clang llvm ``` 2.创建一个名为helloworld.bpf.c的文件,并将以下代码复制到文件中: ```c #include <linux/bpf.h> #include <linux/version.h> #include <stddef.h> #include <stdint.h> char _license[] SEC("license") = "GPL"; int _version SEC("version") = LINUX_VERSION_CODE; SEC("kprobe/sys_clone") int bpf_prog(void *ctx) { char msg[] = "Hello, World!"; bpf_trace_printk(msg, sizeof(msg)); return 0; } ``` 3.创建一个名为helloworld.c的文件,并将以下代码复制到文件中: ```c #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <linux/bpf.h> #include <bpf/libbpf.h> int main(int argc, char **argv) { struct bpf_object *obj; int prog_fd, err; /* Load the BPF object file */ err = bpf_prog_load("helloworld.bpf.o", BPF_PROG_TYPE_KPROBE, &obj, &prog_fd); if (err) { fprintf(stderr, "Failed to load BPF object file: %s\n", strerror(-err)); return EXIT_FAILURE; } /* Attach the BPF program to the kprobe/sys_clone kernel function */ err = bpf_attach_kprobe(prog_fd, BPF_PROBE_ENTRY, "sys_clone"); if (err) { fprintf(stderr, "Failed to attach BPF program to kprobe/sys_clone: %s\n", strerror(-err)); return EXIT_FAILURE; } /* Wait for the user to press Enter */ printf("Press Enter to detach the BPF program...\n"); getchar(); /* Detach the BPF program from the kprobe/sys_clone kernel function */ err = bpf_detach_kprobe(prog_fd, BPF_PROBE_ENTRY, "sys_clone"); if (err) { fprintf(stderr, "Failed to detach BPF program from kprobe/sys_clone: %s\n", strerror(-err)); return EXIT_FAILURE; } /* Clean up */ bpf_object__close(obj); return EXIT_SUCCESS; } ``` 4.编译和链接BPF程序 ```shell clang -O2 -target bpf -c helloworld.bpf.c -o helloworld.bpf.o ``` 5.编译和链接用户空间程序 ```shell clang helloworld.c -o helloworld -lbpf ``` 6.运行用户空间程序 ```shell sudo ./helloworld ``` 7.在另一个终端窗口中查看BPF程序的输出 ```shell sudo cat /sys/kernel/debug/tracing/trace_pipe ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

车联网安全杂货铺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值