kernel-pwn学习(3)--ret2user&&kernel ROP&&QWB2018-core

原创 已于 2022-04-21 19:47:12 修改 · 651 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

于 2022-04-21 19:46:45 首次发布
本文详细分析了一个Linux内核驱动的栈溢出漏洞,包括驱动加载、保护机制、地址泄露、内核地址查找、canary泄露、rop链构造以及最终的提权过程。通过修改内核偏移、利用负数绕过判断,实现从内核态到用户态的控制流转移,从而获取root权限。

文章目录


这个题目其实这两种做法区别不大,就是提权时候ROP会复杂很多,其实对应于我们用户态的时候ROP去完成ret2text的工作,道理差不多,我就主要分析一下ret2user

题目分析

附件

附件

结构分析

这是附件里面的内容,下面4个就是exp和exp源码,上面两个是驱动分析,主要内容就是tar.gz
在这里插入图片描述
多给了一个vmlinux可以用来找一些gadget
在这里插入图片描述
第一步还是看看start.sh

start.sh

在这里插入图片描述
这里需要改一下大小,不然跑不起来,同时可以看到开了kaslr保护,也就是地址随机化,所以需要泄露内核地址
修改以后的
在这里插入图片描述

分析文件结构

在这里插入图片描述
由于我们有gen-cpio,里面这个可以删了,同时里面的vmlinux也可以删了

init分析

在这里插入图片描述
加载的驱动时core.ko,同时他把kallsyms复制到了tmp下面,所以虽然他开了kptr_restrict,也就是除了root用户不可以读kallsyms,但我们可以通过读tmp下面的找kernel base
同时为了调试等目的,我修改如下

#!/bin/sh
mount -t proc proc /proc
mount -t sysfs sysfs /sys
mount -t devtmpfs none /dev
/sbin/mdev -s
mkdir -p /dev/pts
mount -vt devpts -o gid=4,mode=620 none /dev/pts
chmod 666 /dev/ptmx
cat /proc/kallsyms > /tmp/kallsyms
echo 1 > /proc/sys/kernel/kptr_restrict
echo 1 > /proc/sys/kernel/dmesg_restrict
ifconfig eth0 up
udhcpc -i eth0
ifconfig eth0 10.0.2.15 netmask 255.255.255.0
route add default gw 10.0.2.2 
insmod /core.ko

cat /sys/module/core/sections/.text
setsid /bin/cttyhack setuidgid 0 /bin/sh
umount /proc
umount /sys

poweroff -d 0  -f

这样一来就是方便一点
在这里插入图片描述
进来就可以看到驱动的加载地址,好调试

驱动分析

保护

在这里插入图片描述
有canary

最低0.47元/天 解锁文章
QWB-2018-core | 栈溢出
blind cat
02-13 575
core_write:将用户态的内容写入内核态全局变量name中。
最硬核的来喽-linux内核漏洞利用(篇二)
最新发布
jsjbrdzhh的博客
10-31 793
全网最顶课程系列-linux内核漏洞开发,来喽!!! 顶不顶你们说了算
linux kernel pwn -- 2018qwb_core
abelxu
03-22 334
0x01 查看题目 1.查看start.sh启动脚本,开启了kaslr,但是没有开smep和smap,这里有个小坑-m 64M会报错内存不够,可以改成-m 1024M qemu-system-x86_64 \ -m 64M \ -kernel ./bzImage \ -initrd ./core.cpio \ -append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet kaslr" \ -s \ -netdev user,id=t0,
qwb2018_core kernel_rop
令则
02-14 642
qwb 2018 core 文章目录qwb 2018 core环境搭建基础修改init脚本调试漏洞整数截断-栈溢出数据泄漏利用 年轻人的第一个内核题目。 环境搭建 基础 解包: # /bin/sh mv core.cpio core/core.cpio.gz cd core gunzip core.cpio.gz cpio -idm < core.cpio rm core.cpio 重打包: # /bin/sh find . -print0 \ | cpio --null -ov --format
老表带你学Linux kernel pwn 入门(
weixin_43889007的博客
11-12 804
double fetch 条件竞争
21 09 05学习总结(qwb_2018_core kernel rop)
eeeeeight的博客
09-05 1013
21.09.05学习总结(qwb_2018_core kernel rop) Column: September 1, 2021 Tags: kernel study, learning experience 大概是好久之后更新的一篇blog了, 之前都在忙忙碌碌的打比赛呢, 痴痴的看着短视频, 莫名其妙就会让时间流走呢(笑, 最近不会再这样了) qwb_2018_core, 唔, kernel还不是学的很好呢, 先注释一遍吧, 加强理解: #include <string.h> #includ
Kernel rop attack 2018QWBcore复现
qq_39948058的博客
08-28 404
前言:最近刚入手内核题,所以这里跟着ctfwiki进行学习下,大佬勿喷。。。 第一步很经典。。。如果题目没有给 vmlinux,可以通过 extract-vmlinux 提取。 看到start.sh发现开启了kalsr随机化,需要进行泄露计算基地址,这里跟用户态pwn题很相似 看下init: #!/bin/sh mount -t proc proc /proc mount -t sysfs sysfs /sys mount -t devtmpfs none /dev /sbin/mdev -s m
linux_kernal_pwn 2018 强网杯 - core
yongbaoii的博客
09-01 423
四个文件,vmlinux不用提取了。 开了kaslr。 我们说内核的保护分四种,隔离、访问控制、异常检测、随机化。 随机化有两种,一个是kaslr,一个是fgkaslr。 在开启了 KASLR 的内核中,内核的代码段基地址等地址会整体偏移。 然后解压文件系统,看看init文件相关配置。 mkdir core cp core.cpio ./core cd core mv ./core.cpio core.cpio.gz #因为cpio是经过gzip压缩过的,必须更改名字,gunzip才认识 gu.
kernel ROP
qq_46441427的博客
11-07 958
之前有一个点,root权限时的gid和uid为0 内核态提权到root,一般就是执行commit_creds(prepare_kernel_cred(0));这两个函数原理就是分配一个新的cred结构,uid = 0,gid = 0。此时就是root权限 输入cat /proc/kallsyms可以查看他们的地址commit_creds和prepare_kernel_cred(0)都是内核函数 现在看一下2018年qwb的core,回顾一下之前的 start.sh:启动脚本,标明了启动的方法,保护措施
pwn】2022 祥云杯 部分wp
woodwhale的博客
10-31 1362
2022 祥云杯 pwn 部分wp,有空复现别的题目
pwn 进阶(2)
weixin_44113469的博客
02-07 476
pwn improve(2) 0x01 plan1(produce vulnerable program ) my important jop is to Debugger。 pwn1(20200315) this topic is anther lgd,the topic i produced before。 [key point]: 1.heap overlap 2.seccomp 3.rop 4.shellcode wp: there is a heap overlap in the add fun
整数溢出漏洞
fa1c4的blog
02-01 1439
整数溢出 溢出 有符号数才会溢出, 通常分为上溢和下溢, OF可以检测溢出 回绕 无符号数0-1会从最小数变成最大数, 反之同理, CF可以检测回绕 截断 较大宽度的数存入小宽度的操作数里, 高位会截断 漏洞多发函数 size_t 类型: 0-255(单字节无符号整数) memcpy() strlen() strncpy() malloc() 漏洞利用 (1) 整数转换 攻击者给len赋值一个负数, 可以绕过if检测, memcpy()个参数是size_t, 负数会自动转成正数导致栈溢出 (2)
buuctf pwn [rip] [warmup_csaw_2016 1] [ciscn_2019_n_1 1]
m0_62142241的博客
02-27 571
栈溢出 【以下这几题全是利用栈溢出来进行攻破】 相同步骤: 1.下载文件 2.启动靶机 3.打开Terminal(用nc打开端口,用ls打开目录及文件) 【nc的参数用法 -d 后台模式 -e prog 程序重定向,一旦连接,就执行 [危险!!] -g gateway source-routing hop point[s], up to 8 -G num source-routing pointer: 4, 8, 12, … -h 帮助信息 -i secs 延时的间隔 -l 监听模式,用于入站连接 -L 连
kernel pwn入门
蚁景网安学院
07-04 697
Linux 内核是 Linux操作系统的核心组件,它提供了操作系统的基本功能和服务。它负责管理计算机硬件和软件资源,并为应用程序提供必要的基础支持。Linux内核是一个模块化的系统,可以根据需要加载和卸载各种驱动程序和功能模块。
Kernel Pwn 入门 (1)
CoLin的pwn小屋
04-24 5208
Kernel pwn 入门 (1):环境搭建、注意事项、第一个Kernel pwn题:QWB2018-Core
中断和异常
KeePromise的博客
04-25 652
中断和异常 1.介绍 KePOS运行在长模式下,在长模式下,中断和异常处理过程如下: 1.cpu会自动根据中断/异常向量,从中断描述IDT表中找到当前中断和异常的描述符,然后根据描述符中的IST,从Tss表中选出对应的栈指针将其赋值给RSP,完成栈的切换;然后,cpu会自动保存rsp,ss,cs,rip寄存器值到新栈,在长模式中,不论是否发生CPL变换,都会将中断/异常发生时的rip,rsp,ss,cs压栈,同时如果异常有错误码也会自动把错误码压栈,执行完后,栈环境如下图: 2.然后将IDT表中该中断/异
构建64位操作系统-中断与异常
x13262608581的博客
03-15 1254
构建64位操作系统-中断与异常
关于写死bootargs实例
生于忧患,死于安乐
01-13 716
文章目录1. 说明2. 举例3. 原理 1. 说明 1.附加的内核命令行(cmdline): BOARD_KERNEL_CMDLINE 在build/core/Makefile中,有以下一段内容(strip起到去除空格的作用): BOARD_KERNEL_CMDLINE := $(strip $(BOARD_KERNEL_CMDLINE) ifdef BOARD_KERNEL_CMDLINE ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值