(CVE-2022-276\66): Exploit esp6 modules linux 内核攻击-分析翻译

置顶 已于 2022-06-07 09:37:51 修改
阅读量691 收藏 2
点赞数
分类专栏: 漏洞溢出 文章标签: linux 运维 服务器
于 2022-06-02 13:53:38 首次发布
原文链接:https://etenal.me/archives/1825
版权

原文链接
CVE-2022-27666:内核攻击-分析翻译
漏洞位于Ubuntu Desktop 21.10 相当的内核大概5.13左右的内核。

一、漏洞成因

int esp6_output_head(struct xfrm_state *x, struct sk_buff *skb, struct esp_info *esp)
{
        ...
        int tailen = esp->tailen;
        allocsize = ALIGN(tailen, L1_CACHE_BYTES);

        spin_lock_bh(&x->lock);

        if (unlikely(!skb_page_frag_refill(allocsize, pfrag, GFP_ATOMIC))) {
        	spin_unlock_bh(&x->lock);
	        goto cow;
        }
        ...
}

bool skb_page_frag_refill(unsigned int sz, struct page_frag *pfrag, gfp_t gfp)
{
        if (pfrag->offset + sz <= pfrag->size)
		return true;
	...
	if (SKB_FRAG_PAGE_ORDER &&
	    !static_branch_unlikely(&net_high_order_alloc_disable_key)) {

		pfrag->page = alloc_pages((gfp & ~__GFP_DIRECT_RECLAIM) |
					  __GFP_COMP | __GFP_NOWARN |
					  __GFP_NORETRY,
					  SKB_FRAG_PAGE_ORDER);
		...
	}
	...
	return false;
}

触发路径
esp6_output —> esp6_output_head —> skb_page_frag_refill(allocsize, pfrag, GFP_ATOMIC)
----> esp_output_fill_trailer();

static int null_skcipher_crypt(struct skcipher_request *req)
{
	struct skcipher_walk walk;
	int err;

	err = skcipher_walk_virt(&walk, req, false);

	while (walk.nbytes) {
		if (walk.src.virt.addr != walk.dst.virt.addr)
			// out-of-bounds write
			memcpy(walk.dst.virt.addr, walk.src.virt.addr,
			       walk.nbytes);
		err = skcipher_walk_done(&walk, 0);
	}

	return err;
}


walk.dst.virt.addr, walk.src.virt.addr分别为skcipher_map(&walk->in);skcipher_map(&walk->out);复制的地址。
walk->total = req->cryptlen;    //最终长度
scatterwalk_start(&walk->in, req->src);
scatterwalk_start(&walk->out, req->dst);
static inline void scatterwalk_start(struct scatter_walk *walk,
				     struct scatterlist *sg)
{
	walk->sg = sg;
	walk->offset = sg->offset;
}

[  374.509524]  ? null_skcipher_crypt+0x5/0x80
[  374.509528]  ? crypto_skcipher_encrypt+0x3b/0x60
[  374.509532]  crypto_authenc_encrypt+0xba/0xe0 [authenc]
[  374.509538]  crypto_aead_encrypt+0x3c/0x70
[  374.509542]  esp6_output_tail+0x225/0x600 [esp6]
[  374.509548]  esp6_output+0x11d/0x17b [esp6]    //esp6_output先调esp6_output_head,之后是esp6_output_tailer. 
[  374.509554]  xfrm_output_one+0x335/0x370
[  374.509558]  xfrm_output_resume+0x44/0x200
[  374.509561]  ? raw6_getfrag+0x97/0xf0
[  374.509566]  xfrm_output+0xbf/0x240
[  374.509570]  ? flow_hash_from_keys+0x35/0x90

int crypto_skcipher_encrypt(struct skcipher_request *req)
{
	struct crypto_skcipher *tfm = crypto_skcipher_reqtfm(req);
	struct crypto_alg *alg = tfm->base.__crt_alg;
	unsigned int cryptlen = req->cryptlen;
	int ret;

	crypto_stats_get(alg);
	if (crypto_skcipher_get_flags(tfm) & CRYPTO_TFM_NEED_KEY)
		ret = -ENOKEY;
	else
		ret = crypto_skcipher_alg(tfm)->encrypt(req);  //这里调用null_skcipher_crypt();
	crypto_stats_skcipher_encrypt(cryptlen, ret, alg);
	return ret;
}
int crypto_aead_encrypt(struct aead_request *req)
{
	struct crypto_aead *aead = crypto_aead_reqtfm(req);
	struct crypto_alg *alg = aead->base.__crt_alg;
	unsigned int cryptlen = req->cryptlen;
	int ret;

	crypto_stats_get(alg);
	if (crypto_aead_get_flags(aead) & CRYPTO_TFM_NEED_KEY)
		ret = -ENOKEY;
	else
		ret = crypto_aead_alg(aead)->encrypt(req);  //这里调用crypto_skcipher_encrypt
	crypto_stats_aead_encrypt(cryptlen, alg, ret);
	return ret;
}

这里尾部填充的数据并不可控,如果分配了8page, 但是发送了16page数据,尾部数据可以看作是垃圾数据。

static inline void esp_output_fill_trailer(u8 *tail, int tfclen, int plen, __u8 proto)
{
	/* Fill padding... */
	if (tfclen) {
		memset(tail, 0, tfclen);
		tail += tfclen;
	}
	do {
		int i;
		for (i = 0; i < plen - 2; i++)
			tail[i] = i + 1;
	} while (0);
	tail[plen - 2] = plen - 2;
	tail[plen - 1] = proto;
}

skb_page_frag_refill分配了八页连续内存。
此处页大小的判断有误,会造成页数据写越界。
SKB_FRAG_PAGE_ORDER为3

为了准确构造order-3大小相邻位置的页表,我们必须消除order-2在分配什释放是造成的free_list的一系列改变。
在这里插入图片描述
页表分配器包含一个页表释放管理的器叫 free_area。如图所示,包含不同order阶页表的free_list。
不同的内核slabs分配器要求不同的orders的页表,如果其对应的free_list消耗完毕的,将会从新申请。例如,ubuntu21.10的 kmalloc-256要求order-0 页,kmalloc-512要求order-1 page, kmalloc-4k要求 order-3页。

free_list会根据相同order中的free_list是否有相邻地址的page来进行页表合并,进行重新order free_list的归类,所以会造成order-3中的page随时可能发生order-2不够或有相邻地址的page合并造成的,释放page管理块发生改变,为了阻止order对ordere-3的影响,这里对order-2大小的内存进行了大量的制造,防止order-2消耗完毕。这是order-3中的page块就会只受我们进程的影响。

二、泄露及地址

在这里插入图片描述
这里作者采用了user_key_payload作为攻击载体。

struct user_key_payload {
	struct rcu_head	rcu;		/* RCU destructor */
	unsigned short	datalen;	/* length of this data */
	char		data[] __aligned(__alignof__(u64)); /* actual data */
};

如上可知,ubuntu对于user_key_payload有个20000bytes和200keys的限制。user_key_payload 为2049 bytes,分配将会为4k的内存块。
4k的slab,会有8个object. 也就是2049*8=16392bytes。
(20000-16392)/2049 = 1.

这样最多只能分配两个slab, 对噪声的容错率比较低。
在这里插入图片描述
为了增加容错。这里作者在每个slab中分配一个user_key_payload,其他的用其他结构填充,由于freelist中page的随机性,所以会形成如下的内存结构。由于越界可以实现8page的内容改写,所以并不影响exploit结果。这样将可以分配9个slabs, 增大了对page allocater的容错能力。
在这里插入图片描述

进一步利用:
在这里插入图片描述

为了增加成功率,减缓噪声的影响。我们制造了9组slab构造。只要一个成功,我们就可以获得正确的struct msg_msg next指针。如下图,每三个一组。为1pair
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
这里只要有一组成功构造为我们想要的结构,就可以发生地址泄露。读取任意msg_msg结构的信息。

接下来,泄露及地址:
在这里插入图片描述
在这里插入图片描述

攻击路径

Phase 1

  1. 消耗 order-3的page list_free. order-3的分配将会从order-4上借用,并且内存讲相邻。
  2. 分配三组 相邻的8-page dummy object.
  3. 释放的第二个dummy object。分配一个8-page slab 的包含user_key_payload和其他7个object内存。
  4. 释放第三个dummy object, 分配一个用struct msg_msg 完全占用8-page slab的内存块。消息大小要位于4056到4072当中,为了使struct msg_msgseg落在kmalloc-32的分配中。
  5. 分配大量的struct seq_operations. 这些结构体将会拥有和step 4 中msg_msgseg一样大小的内存块。
  6. 释放第一个dummy_object, 分配溢出的buffer, 开始越界写的操作。我们计划修改struct user_key_payload datalen的域。
  7. 如果step 6 成功,取回user_key_payload 的payload将会造成越界读取。越界读取又可以使 struct msg_msg 的内容,包括他的next指针被读取到。
  8. step 7成功后,我们有了真实的struct msg_msg object 的next指针。

Phase 2

  1. 分配两个相邻的 8-page dummy objects.
  2. 释放第二个 dummy_object, 分配一个占满slab的struct msg_msg.
  3. 释放第一个dummy_object, 分配一个溢出内存块, 利用一个很大的值占用他的m_ts filed,并且利用上Phase1 step7得到的next指针覆盖 struct msg_msg 的next。
  4. 如果Phase2的step3成功,我们将会有一个大概 kmalloc-32大小的越界读。将很可能读取到struct seq_operations 中的函数指针。之后就可以计算出内核偏移地址。

获取root权限

一旦获得了基地址,msg_msg 的任意写就会成为可能。思路就是挂起第一个copy_from_user, 覆盖next的指针,唤醒进程,接下来的copy_from_user就会是任意地址写操作(位于17行)。

struct msg_msg *load_msg(const void __user *src, size_t len)
{

	...
	// hang the process at the first copy_from_user
	// modify the msg->next and resume the process
	if (copy_from_user(msg + 1, src, alen))    // line 7
		goto out_err;

	// msg->next has been changed to an arbitrary memory
	for (seg = msg->next; seg != NULL; seg = seg->next) {   // line 11 
		len -= alen;
		src = (char __user *)src + alen;
		alen = min(len, DATALEN_SEG);

		// Now an arbitrary write happens
		if (copy_from_user(seg + 1, src, alen)) // line 17
			goto out_err;
	}

	...
}

实现任意写需要挂起进程,然后修改msg->next, 最后继续执行进程,将可以实现相应的任一地址写。早期在5.11之前可以利用userfaultfd挂起进程,但是后来userfaultfd被限制需要特定的权限了。现在我们利用FUSE可以实现同样的能力。
(关于userfaultfd的攻击, copy_from_user(kptr, user_buf, size), user_buf 是一个 mmap 的内存块,并且我们为它注册了 userfaultfd,那么在拷贝时出现缺页异常后此线程会先执行我们注册的处理函数,在处理函数结束前线程一直被暂停,结束后才会执行后面的操作,大大增加了竞争的成功率。)

get a root shell

  1. 分配两组相邻的8-page dummy object
  2. 映射消息内容到FUSE, 并且释放第二个 dummy object, 分配 一个8-page slab 并利用struct msg_msg占满。 进程将会在这一步挂起。(这里为了实现挂起程序,fuse映射poc程序本身到mmap上的地址fuse_addr上,当有程序读到fuse_addr, 利用fuse自定义的文件操作函数挂起进程)。
  3. 释放第一个dummy object, 分配造成溢出的 object, 替换struct msg_msg next指针到 modProbe_path的地址上。
  4. 释放挂起的进程(step2), 复制“/tmp/get_root”到modProbe_path
  5. 通过运行位置格式文件触发modprobe
  6. 打开 /bin/bash, 我们就获得了root权限。

(这里的原因是,执行未知文件格式文件会触发modprobe_path上的可执行文件,详细可以参考https://www.anquanke.com/post/id/236126)
在这里插入图片描述
在这里插入图片描述

inquisiter
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-1206-POC:CVE-2020-1206未初始化的内核内存读取POC
03-20
CVE-2020-1206未初始化的内核内存读取POC (c)2020 ZecOps,Inc.- ://www.zecops.com-查找攻击者的错误POC检查CVE-2020-1206 /“ SMBleed”预期结果:包含目标计算机内核内存的本地文件。仅用于公司环境中的教育和测试。 ZecOps对代码不承担任何责任,使用后果自负。如果您对用于服务器,端点和移动设备的无代理DFIR工具感兴趣,以自动检测SMBleed和其他类型的攻击,请联系 。 用法 SMBleed.exe server_name ip_address domain user pass share_name remote_path local_path 编译的POC 您可以在获取编译的POC。 编译中 使用Visual Studio编译以下项目: ProtoSDK\Asn1Base\Asn1Base.csproj
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version<3.0.3 3.1.1<Apache spark 版本<3.1.2 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: https://spark.apache.org/downloads.html 2.安全设备路径添加黑名单或者增加WAF规则(临时方案)。
新版脏牛Linux内核提权漏洞CVE-2022-0847
03-09
5.8 <= Linux kernel < 5.16.11 / 5.15.25 / 5.10.102中的一个漏洞,它允许覆盖任意只读文件中的数据。这会导致权限提升,因为非特权进程可以将代码注入根进程。 修复版本:Linux 5.16.11、5.15.25 和 5.10.102 中修复。
Microsoft Exchange CVE-2022-41040 & CVE-2022-41082 Nmap检测脚本
10-03
CVE-2022-41040 Microsoft Exchange Server权限提升漏洞 和 CVE-2022-41082 Microsoft Exchange Server 远程执行代码漏洞 Nmap漏洞检测脚本 使用发发: -- @usage -- nmap --script proxynotshell_checker.nse -p443 <host>
ESP8266 01S 继电器控制智能灯实现
llijihai的博客
04-01 8134
ESP8266 01S 继电器控制 智能灯实现(使用小度音响) 最近研究esp8266,发现可以通过wifi连接物联网云平台实现远程控制,同时也可以加入小度语音DIY简单的智能家居。 前言 本人也是刚接触esp8266纯新手有不对的希望指正。 实物连接方法 :220V接入LED灯,同时并联连220V转5V模块;5V出来给继电器供电,同时并联一个5V转3.3模块给ESP8266 01S供电;ESP8266 01S的URXD引脚也就是GPIO3接继电器控制端,继电器选择常闭端接线高电平触发,控制LED灯
Linux 本地权限提升漏洞
做自己喜欢的事,并将其发挥到极致!
03-30 1900
文章目录前言一、漏洞描述二、漏洞级别三、影响范围四、漏洞细节五、漏洞类型六、本地复现七、修复建议 前言 本文章仅用于漏洞复现和技术研究,切勿非法攻击,出现任何事故与本作者无关,切记! 一、漏洞描述 Linux内核中 net/ipv4/esp4.c 和 net/ipv6/esp6.c中的 IPsec ESP 转换代码中发现堆缓冲区溢出漏洞。该漏洞允许具有正常用户权限的本地攻击者覆盖内核中的堆对象,最终获取root权限。 二、漏洞级别 高危 三、影响范围 Linux kernel < 5.17
[漏洞分析] CVE-2022-2766六 IPV6 ESP协议页溢出内核提权
热门推荐
Breeze的博客
04-02 1万+
CVE-2022-27666 IPV6 ESP协议页溢出内核提权 文章目录CVE-2022-27666 IPV6 ESP协议页溢出内核提权漏洞简介环境搭建虚拟机docker漏洞原理漏洞发生点调用栈漏洞利用参考 漏洞作者博客:https://etenal.me/archives/1825 写的非常详细,这里只是简单补充一下环境搭建和简单分析一下原理和利用等。 漏洞简介 漏洞编号: CVE-2022-27666 漏洞产品: linux kernel - esp6 影响版本: ~ linux kernel 5.
基于内核4.19版本的XFRM框架
日积月累
01-29 789
XFRM框架
TCP协议之《内存空间管理》
C/C++编程指南
08-10 787
TCP协议之《内存空间管理》
ESP8266开发笔记2
XuHg-zjcn的博客
08-05 370
PlatfromIO库管理的官方文档看不懂,不会用。我不想使用Arduino框架,不专业,不支持DMA等等,还有各种库很杂乱,搜索麻烦很头疼,我想自己写个综合库。可是放进lib文件夹后,编译出现头文件报错,网上找不到资料。 我不想再用PlatfromIO框架了,我想用CMake,或者找另外一个框架。 我再次尝试安装ESP-IDF,终于安装成功了, 可是我点击状态栏上的配置按钮,一直处于"ESP-IDF: Menuconfig: Loading initial values",等了几十分钟还是这个样子。我只能
ESP8266教程】零基础入门学用物联网-基础知识篇(太极创客团队)学习笔记
m0_60749501的博客
03-19 2352
个人的ESP8266学习笔记~
ESP8266+RF433模块结合制作网络遥控器示例
perseverance51博客
07-16 7013
ESP8266+433模块结合制作网路遥控器示例 所需库:rcswitch库可在ArduinoIDE里面下载到,LinkedList库:https://github.com/ivanseidel/LinkedList 程序代码 /* NodeMcu或esp-01/01s控制1路继电器,集成blinker平台, 用手机app控制1路继电器开关,添加一路物理开关控制,继电器用常开(NO)模式 说明: 1,继电器高电平触发时,YYXBC_HIGH = 1,YYXBC_LOW = 0 继电器低电平触发时
【user_key_payload、msg_msg、pipe_buffer】再探RWCTF2023-Digging-into-kernel-3
最新发布
qq_61670993的博客
10-05 405
利用 msg_msg 和 user_key_payload 去泄漏内核基地址。
[漏洞分析] CVE-2022-25636 netfilter内核提权
Breeze的博客
03-20 1万+
CVE-2022-25636 netfilter内核提权 文章目录CVE-2022-25636 netfilter内核提权漏洞简介环境搭建漏洞原理漏洞发生点调用栈netfilter的使用以及触发漏洞利用泄露内核net_device结构体地址setxattr来UAF泄露kaslr二次UAF完成内核rop参考 漏洞简介 漏洞编号: CVE-2022-25636 漏洞产品: linux kernel - netfilter 影响版本: linux kernel 5.4 ~ 漏洞危害: netfilter 内核模块
CVE-2021-22555利用过程翻译
inquisiter
03-30 1123
原文链接:https://google.github.io/security-research/pocs/linux/cve-2021-22555/writeup.html 本文基本属于翻译,原文解释的很清楚,我按自己的理解来记录下。 漏洞位于netfilter。原作者利用此漏洞获得了两万美金的奖励。漏洞比较老,存在将近15年之久,从这个漏洞来看,内核其实类似的漏洞应该还有不少。今年貌似爆出了类似的漏洞 https://github.com/Bonfee/CVE-2022-0995 。今天又看到一个:htt
Windows CVE-2022-21907漏洞复现
执着
01-20 1万+
测试环境:虚拟机Windows 10 Windows版本:cn_windows_10_consumer_editions_version_2004_updated_sep_2020_x64_dvd_049d70ee.iso 此次CVE的漏洞是由于HTTP.sys的缓冲区溢出从而导致的拒绝服务,蓝屏重启。 微软官方在第一时间修复此漏洞,据微软官方公布的此次漏洞影响范围: Windows Server 2019 (Server Core installation) Windows Server 201..
linux-kali内核提权漏洞复现(CVE-2022-0847)
tlovejr的博客
03-08 2163
linux-kali内核提权漏洞复现(CVE-2022-0847) 漏洞介绍 这是 CVE-2022-0847 的故事,它是自 5.8 以来 Linux 内核中的一个漏洞,它允许覆盖任意只读文件中的数据。这会导致权限提升,因为非特权进程可以将代码注入根进程。 它类似于CVE-2016-5195 “Dirty Cow”,但更容易被利用。 该漏洞已 在 Linux 5.16.11、5.15.25 和 5.10.102 中修复。 漏洞影响版本 Linux kali 5.10.0-kali7-amd64 #1 S
CVE-2022-41741, CVE-2022-41742
08-02
CVE-2022-41741和CVE-2022-41742是影响NGINX Plus、NGINX开源版以及NGINX企阅版的漏洞。CVE-2022-41741是一个内存损坏漏洞,CVSS评分为7.1(高危),而CVE-2022-41742是一个内存泄漏漏洞,CVSS评分为7.0(高危)。[1]为了修复这些漏洞,NGINX发布了稳定版nginx-1.22.1和主线版nginx-1.23.2,并包含了针对ngx_http_mp4_module中内存损坏和内存泄漏的修复补丁。[3]这些修复补丁可以帮助防止攻击者利用这些漏洞对系统造成损害。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值