[kernel exploit] linux 内核常规堆溢出漏洞的“胜利方程式“

[kernel exploit] linux 内核常规堆溢出漏洞的"胜利方程式"

简介

背景

对于内核中堆溢出的利用手段还是比较多的,在以前常规的堆类漏洞利用方法中,通常是想办法将堆溢出转换为越界读取泄露地址,然后重新溢出转换为任意地址写或劫持RIP 然后ROP。其中用到的技术即复杂限制又大,比如:

  1. ROP中还要绕过很多内核的防御机制;
  2. 通常要使用两次左右的溢出操作,对堆布局稳定性要求高;
  3. 使用原语种类繁多,技术复杂难度高;
  4. 由于不同内核版本和编译批次,内核的地址是不同的,exp 对于目标的普遍适用性很低,更多的是体现在研究层面,实战可用性不大。

不过在前些日子CVE-2022-0847(Dirty Pipe) 漏洞公布之后,经由veritas501的改良,对于绝大部分linux 堆类漏洞,都可以通过篡改pipe_buffer 中的flag成员 (版本大于5.8) 或pipe_buffer 中的ops成员 (版本小于5.8)。来实现将任意堆漏洞转化为Dirty Pipe 的无地址依赖类型漏洞。该漏洞利用方法的优点在于:

  1. 首先就是不依赖任何地址,只要满足利用条件,无视内核版本进行利用,无需修改exp
  2. 大部分情况只需要布置一次堆(溢出一次),成功率也有提升。
  3. 原语简单,容易理解

前置条件与技术

本文只介绍一种比较通用的堆漏洞利用手法,根据CVE-2021-22555 变种而来。当然了,如果将"篡改pipe_buffer 的flag 或ops" 视为当前状态下最合适的攻击最终目标的话,攻击路径绝是有非常多的,这里只介绍对大部分堆溢出类漏洞都适用的比较无脑的方式。

前置条件:

  • 能确保溢出到下一个堆块的连续溢出任意内容;
  • 溢出写0;
  • 跳跃溢出但可以经过计算后溢出位置一定程度可控,溢出的堆大小属于64-4k。
  • 下面两条满足一条即可
    • 内核版本 ∈[5.9~5.14] (在该版本区间内kmalloc 分配flag GFP_KERNEL_ACCOUNT 和GFP_KERNEL 分配的slab不会隔离)
    • 漏洞堆申请试用GFP_KERNEL_ACCOUNT flag,当然如果不是的话也可以利用,就是概率很低并且可能需要在堆布局上改良。(如果不满足这一条,其他利用方法也是一样头疼)

使用的技术:

  • msg_msg 原语,用于堆喷射和堆布局,作为溢出目标堆
  • sk_buff 原语,用于堆喷射占位
  • pipe_buffer原语,最终漏洞利用,转换为dirty pipe

漏洞利用

准备

以下将堆溢出漏洞发生的堆块称为vuln obj 简称VO

msg队列布置

首先创建若干msg 队列,然后每个队列中布置两个消息,每个消息内容中都要附带该消息所属消息队列的编号,做到能根据接收的消息内容区分来自哪个消息队列,其他部分消息内容最好用0填充,方便后续利用。分别为PrimaryMsg 和SecondaryMsg,以下简称MSG1和MSG2。MSG1大小为VO大小,MSG2大小为0x400(pipe_buffer x 16 大小)。组成如下图所示:

在这里插入图片描述

实际喷射会比上图数量多得多,并且Msg 们在内存中也并不是这么整齐对应的。然后可以释放一些MSG1,如图中的idx 04,构造一些空洞,然后申请VO,这时如果VO 能申请到刚释放出的空洞上,就算堆布置成功,唯一考验成功率的操作就是这一步,接下来的操作成功率都非常高:

在这里插入图片描述

溢出构造msg corrupt

将VO部分放大,堆布局如下,数字为地址低二字节:

在这里插入图片描述

通过堆溢出,越界写下面的目标MSG1的msg_msg->m_list_next 成员通常需要覆盖两个字节为0 或至少覆盖第二个字节为0(第一个字节本来就是0),就会形成下图所示布局:

在这里插入图片描述

这时我们遍历所有消息队列使用MSG_COPY的方法接收每个队列中的消息二 MSG2(MSG_COPY 不会释放消息),并且判断接收到的消息编号,这时会发现有一个消息队列接收到了别的队列的MSG2,记录这两个队列编号,被接受到的队列编号为real idx ,接收到real idx 的MSG2 的队列编号为corrupt idx ,将这个被两个MSG1 同时指向的MSG2 称为target MSG2:

在这里插入图片描述

构造 MSG UAF

虽然现在有两个MSG1 都指向了同一个MSG2 ,我们的目的是让target MSG2这个堆空间free两次,这样就能让sk_buff 和pipe_buffer 同时占用target MSG2 这个堆区域。但如果直接将MSG2 释放两次的话,会过不了内核中双向链表的unlink,所以我们还得帮target 构造两个可以通过unlink 的next 和prev 指针。

unlink 操作:

static inline void __list_del(struct list_head * prev, struct list_head * next)
{
	next->prev = prev;
	prev->next = next;
}

根据unlink 的代码,我们可以看出,只需要让它的next 指针和prev 指针都指向自己,就不会让unlink 崩溃,并且也不会破坏链表结构。那么接下来就是通过两次泄露找到该堆的自己的地址。

泄露msg 地址 1

使用real idx 队列释放target MSG2,然后立刻使用0x400 的sk_buff 占位住,占位sk_buff 的内容构造一个假的msg 头部,其中:

  1. m_ts 成员(代表msg 大小)要写的大一些,一会会越界读泄露下面msg 的指针
  2. msg 类型为一个自定义的类型,方便一会接收。形成如下结构:
  3. 其他部分不至于覆盖成0即可

在这里插入图片描述

由于target MSG2 的size 被改大,使用corrupt idx 可以越界读取到与target MSG2 内存相连的下一个MSG2 也就是idx 02 MSG2的头部,读取它的prev 指针为leak1。

泄露msg 地址 2

释放刚刚的sk_buff 并马上重新喷射sk_buff,新sk_buff也是构造一个假的msg 头部,和上面有区别:

  1. m_ts 成员大于4k ,如0x1000+0x100
  2. msg 类型为一个自定义的类型,方便一会接收
  3. msg_msg * next指针为leak1 - 8,即刚泄露的msg 地址- 8
  4. 其他位置不重要,0即可

如下图所示:

在这里插入图片描述

由于target MSG2 大小被修改大于0x1000,在msg 中属于分段存储的msg,并且将msg_msgseg *next 指向刚刚泄露的idx 02 MSG1 - 8,那么直接可以读到idx 02 MSG1->m_list_next 也就是idx 02 MSG2 的地址,然后只需要减掉0x400 就是target MSG2 的地址了。

msg UAF

这时我们已经获得了target MSG2 的地址,释放sk_buff 在马上重新喷射sk_buff,这次伪造的堆头部如下:

  1. m_list_next 和m_list_prev 都是自己的地址
  2. msg 类型为一个自定义的类型,方便一会接收
  3. 大小、msg_msgseg *next都改回来
  4. 其他不重要

其他部分不变,大小还是0x400,喷射之后,就可以使用corrupt idx 来再次释放target MSG2了:

在这里插入图片描述

Dirty Pipe

这一段的原理与Dirty Pipe 漏洞的原理相同,不对原理进行阐述,原理可以移步[漏洞分析] CVE-2022-0847 Dirty Pipe linux内核提权分析

这里需要选择一个Dirty Pipe 需要篡改的文件,一般选择带suid 的文件将其改为恶意shell 文件。通常选择mount。

初始化pipe

使用corrupt idx 来再次释放target MSG2,然后创建若干pipe 队列,就会让某一个队列的pipe_buffer 也占用到该刚释放的target MSG2,然后对所有消息队列中的16个页进行填充和释放,来保证pipe_buffer 之中内容被初始化,然后对每个队列都试用splice,将目标文件的缓存页拼接上(这一步同Dirty Pipe),不过这里为了方便到时候判断哪个pipe 占住了target MSG2,我们需要在pipe 的第一页写上长度不同的内容:

在这里插入图片描述

篡改flag/ops 进行Dirty Pipe

不要忘记我们还有一个sk_buff 占用这这个target MSG2呢,遍历读取所有sk_buff,寻找pipe_buffer ,根据pipe 结构的内容,判断对应位置的内容是否是,这里判断len 字段就可以,由于我们每一个pipe 队列第一页的len 不同,如果遇到了满足区间的大小,那么久确定是目标target pipe_buffer。根据读取的len 可以确定pipe 队列编号。

读取到该pipe_buffer 的内容,由于第二页是我们splice 的文件缓存页,直接修改刚读取的pipe_buffer内容的第二个pipe_buffer结构体:

  1. flag为PIPE_BUF_FLAG_CAN_MERGE,
  2. 如果内核版本小于5.8 还没有PIPE_BUF_FLAG_CAN_MERGE 的话,就修改的第二个pipe_buffer 的ops 结构体为第一个pipe_buffer 的ops 就可以。
  3. offset 和len 修改为0

在这里插入图片描述

然后重新喷射sk_buff即可完成dirty pipe 的转化,然后直向该pipe 队列发送消息就可以完成对目标文件的临时篡改。将suid 文件改为恶意shell 执行即可。

成功案例

下面案例仅代表可以用本文介绍的"胜利方程式"完成利用的CVE漏洞。

CVE-2022-0995

CVE-2021-22555

CVE-2021-42008

参考

CVE-2022-0185分析及利用 与 pipe新原语思考与实践

CVE-2021-22555: Turning \x00\x00 into 10000$

[漏洞分析] CVE-2022-0847 Dirty Pipe linux内核提权分析

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值