linux内核泄露地址的方式

最新推荐文章于 2023-07-12 22:28:57 发布
最新推荐文章于 2023-07-12 22:28:57 发布
阅读量499 收藏 1
点赞数
分类专栏: linux 漏洞溢出 文章标签: 数据结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bme314/article/details/120330367
版权

早些的时候可以利用dmesg通过缺页错误来泄露内核地址,但新一点的内核把这个修复了。最近看了下,遇到了目前常用的方式,详细分析下。

shmat

大部分搜到的记录是利用

struct shm_file_data {
    int id;
    struct ipc_namespace *ns;
    struct file *file;
    const struct vm_operations_struct *vm_ops;
};
#define shm_file_data(file) (*((struct shm_file_data **)&(file)->private_data))
使用方法:

 int shmid;
  if ((shmid = shmget(IPC_PRIVATE, 100, 0600)) == -1) {
    perror("shmget");
    return 1;
  }
  char *shmaddr = shmat(shmid, NULL, 0);
  if (shmaddr == (void*)-1) {
    perror("shmat");
    return 1;
  }

这个是进行了堆喷。
内核中在shmat操作后发生了如下内存分配:

struct shm_file_data {
int id;
struct ipc_namespace *ns;
struct file *file;
const struct vm_operations_struct *vm_ops;
};     //32

sfd = kzalloc(sizeof(*sfd), GFP_KERNEL);
sfd->id = shp->shm_perm.id;
sfd->ns = get_ipc_ns(ns);
sfd->file = base;
sfd->vm_ops = NULL;
file->private_data = sfd;

shm_file_data为一个32字节的数据结构,其中ns保存了init_ipc_ns指针。

为了得到这个堆喷的结构体中的数据,我们还需要利用uaf和任意地址读。强行读取0x4242424242424242类似地址的数据,获取堆喷数据。

msg_msg堆喷

https://bbs.pediy.com/thread-269311.htm
这里有篇文章记录了利用uaf修改 msg_msg内核数据的过程。
int msgsnd(int msqid, const void *msgp, size_t msgsz, int msgflg)
在这里插入图片描述
msgsnd 在内核中可以生成类似链表的结构来保存用户态数据。0x31-0x1000(kmalloc-64及以上)

在这里插入图片描述

int store_msg(void __user *dest, struct msg_msg *msg, size_t len)
{
    size_t alen;
    struct msg_msgseg *seg;
 
    alen = min(len, DATALEN_MSG);
  //首先拷贝alen长度
    if (copy_to_user(dest, msg + 1, alen))
        return -1;
    //如果有msg_msgseg,那么紧接着dest+alen放如果有msg_msgseg
    for (seg = msg->next; seg != NULL; seg = seg->next) {
        len -= alen;
        dest = (char __user *)dest + alen;
        alen = min(len, DATALEN_SEG);
        if (copy_to_user(dest, seg + 1, alen))
            return -1;
    }
    return 0;
}

msgrcv在 (MSG_COPY&msgflg)存在的时候会利用副本来回传 msg数据, 其中创建的副本大小可以受到用户态控制,当存在uaf时候,就有一定几率编辑这个可控大小的内核数据块。我们只需要修改msg 头部的指针,指向可能的 存在 shm_file_data的堆喷数据块,对其中的数据进行判断(地址随机化只进行基地址随机化,所以低32位可以作为判断依据),即可泄露init_ips_ns的地址。

任意地址写操作

在这里插入图片描述
这里作者利用suerfaultfd, 暂停了copyfromuser, 利用uaf造成的地址写能力,实现了伪造地址的数据修改。

inquisiter
关注
专栏目录
linux 内核 内存泄露检测
09-11
linux 内核 内存泄露检测 linux 内核 内存泄露检测 linux 内核 内存泄露检测 linux 内核 内存泄露检测 linux 内核 内存泄露检测 linux 内核 内存泄露检测 linux 内核 内存泄露检测
堆技巧 数组反向越界泄露地址
tbsqigongzi的博客
09-02 328
痛苦痛苦痛苦,调了半天才找到数组起始地址,还是自己太菜了,好好记录一下这题题目给了libc,2.31的题嗯,可以考虑覆盖got表或者hook函数打开ida发现是c++的题,认真分析一下。
Double Free浅析(泄露地址的一种方法)
omnispace的博客
04-18 7344
Double Free其实就是同一个指针free两次。虽然一般把它叫做double free。其实只要是free一个指向堆内存的指针都有可能产生可以利用的漏洞。double free的原理其实和堆溢出的原理差不多,都是通过unlink这个双向链表删除的宏来利用的。只是double free需要由自己来伪造整个chunk并且欺骗操作系统所以好像和普通的堆溢出伪造chunk然后free触发unlink...
Largebin attack & house of cat
qq_42220888的博客
07-12 303
largebin attack house of cat
【kernel exploit】CVE-2021-4154 错误释放任意file对象-DirtyCred利用
panhewu9919的博客
10-17 938
CVE-2021-4154 DirtyCred 利用方法
【kernel exploit】CVE-2022-25636 nftables OOB 写堆指针漏洞利用
panhewu9919的博客
12-13 995
`nf_table` 模块的 `net/netfilter/nf_dup_netdev.c`中的 [nft_fwd_dup_netdev_offload()](https://elixir.bootlin.com/linux/v5.16.11/source/net/netfilter/nf_dup_netdev.c#L67) 函数由于计算分配空间与实际初始化时判断条件不一致,存在**OOB write**(系统必须支持包处理卸载-Network Interface Cards (NICs),但是现实中很少见
linux 内核 内存泄露检测 2
09-11
linux 内核 内存泄露检测 linux 内核 内存泄露检测 linux 内核 内存泄露检测 linux 内核 内存泄露检测 linux 内核 内存泄露检测
linux内核完全注释
11-01
Linux内核完全注释》是由赵炯编著的一本深度解析Linux内核的专业书籍,其ISBN号为9787111149682。这本书旨在帮助读者理解Linux内核的工作原理,深入探究这个开源操作系统的核心机制。 Linux内核Linux操作系统的...
SLUBStick: 通过 Linux 内核中的跨缓存攻击实现任意内存写入
最新发布
08-04
SLUBStick 的核心在于利用内核分配器的定时侧信道泄露,可靠地触发特定内存目标的回收和再利用过程。通过这一技术,SLUBStick 将跨缓存攻击的成功率提升至 99% 以上。随后,利用 Linux 内核中普遍存在的代码模式,...
内核泄露检测工具
06-06
除了DrMemory,还有其他一些内核泄露检测工具,如Valgrind(主要用于Linux平台)和LeakSanitizer(集成在GCC和Clang编译器中)。这些工具都有各自的特点和适用场景,可以根据实际需求选择合适的工具进行内核泄露检测...
Kernel Hacking之内核内存泄漏
m0_51717456的博客
12-09 1594
内核态内存泄漏排查工具及使用方法
关于内核堆溢出漏洞的分析
m0_59598029的博客
02-02 233
然后,以相同的方式重新构造伪次要消息,这次构造的m_ts字段要大于消息分片的阈值,next字段等于相邻次要消息所指向的主要消息的地址-结构msg_msgseg的长度,这样做相当于将该主要消息伪造成下一个消息片段,那么在读取伪次要消息时,就可以读取该主要消息的next指针,该指针指向相邻次要消息,将指针内容减去1024即可获得伪次要消息即关键缓冲区的地址。通过msgsnd给每个消息队列都发送一个4096字节的消息,暂且称这些消息为主要消息,每个消息的内容是其所在消息队列的序号,分别为0-4095。
一次Linux内核内存泄露实例分析
weixin_34334744的博客
03-07 1699
2019独角兽企业重金招聘Python工程师标准>>> ...
内核内存泄露
qq_27357145的博客
02-08 1042
泄露点:alloc_vmap_area、__get_vm_area_node。触发导致内存泄露的操作步骤,跟踪调用关系,确定申请的内存是否有正确释放。2、通过cat /proc/slabinfo,查看slab申请情况。对比发现kmalloc-2048、kmalloc-128又所增长。128泄露:(6507+6055)*128/1024=1570k。3、打开内核SLUB_DEBUG_ON选项,即可访问。案例:USB主从切换后轻微内存泄露,定位流程。泄露点:dwc3_probe。一、进程内存申请查看工具。
linux kernel内核slab内存泄露debug经验
wdjjwb的专栏
03-13 4410
打开内核的SLUB DEBUG选项 +CONFIG_SLUB_DEBUG=y +CONFIG_SLUB_DEBUG_ON=y 观察slabinfo cat /proc/slabinfo 启动后记录下slabinfo。运行一段时间,再观察slabinfo。 找到增长比较大的slab。 打开slab trace echo 1 > /sys/kernel/slab/<leakin...
Linux内核态内存泄漏检测工具--kmemleak工具原理及应用
haofeng_ma的博客
10-24 3644
kmemleak通过追踪kmalloc(), vmalloc(), kmem_cache_alloc()等函数,把分配内存的指针和大小、时间、stack trace等信息记录在一个红黑树中,等到调用free释放内存时就把相应的记录从红黑树中删除。也就是说红黑树中的记录就是已经分配出去但尚未释放的内存,其中有些内存尚未释放是因为还在被使用,这属于正常情况,而不正常的情况,即真正“泄漏”的内存都是不会再被使用的
Magic_Book(stdout泄露地址
FUCKING12的博客
11-03 235
箭头所指的chunk在tcachebins和unsortedbin里面,同时unsortdbin里面还有main_arena+96的地址和堆地址,我们可以利用这2个残余地址来爆破stdout。首先是分别改了这2处的2字节,这么改的目的是:可以将chunk分配到stdout附近,然后就可以修改stdout里面的数据,来泄露地址。tcachebins是不检查你的size的,所以可以随便利用其分配到你想要的地址去。因为我们没有show函数无法泄露地址,所以我们需要打stdout来泄露地址
pwn 堆溢出之 泄露基址
qq_41071646的博客
04-25 3008
先声明一下本文的参考链接 https://blog.csdn.net/weixin_34050005/article/details/86881709?tdsourcetag=s_pctim_aiomsg 这篇博客写的非常好 受教了 本来其实我是看的另一道题 但是那道题 感觉并不是很适合我这种萌新 然后我就看到了这道题 就 由于这个篇文章写的很清楚 而且 代码直接就可以拿到f...
2016 Seccon tinypad
yms0211的博客
09-26 456
house of Einherjar练习题
Linux内核管理用户进程地址空间的机制解析
Linux内核的进程地址空间管理是操作系统内核复杂功能的一个重要组成部分,它确保了多任务环境下内存资源的高效利用和系统的稳定运行。理解这一概念对于深入学习Linux内核以及系统级编程至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值