提权姿势modprobe_path修改文件权限

已于 2022-05-02 20:24:15 修改
阅读量430 收藏
点赞数
分类专栏: linux pwn-kernel 文章标签: linux
于 2022-05-02 20:20:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn546229768/article/details/124546007
版权

最近看内核exp时候一些题目的另一种解法可以通过modprobe_path方式读取flag,好像挺好玩的

定义

在内核运行一个未知类型的文件时,modprobe_path就会指向这个未知文件,当内核运行一个错误格式的文件后,内核会自动调用这个modprobe_path指向的文件,因为内核执行的权限是root权限,当我们将modprobe_path指向一个我们用于查看具有root权限的flag文件,那么就能得到flag

//源码定义如下:kernel/kmod.c
char modprobe_path[KMOD_PATH_LEN] = "/sbin/modprobe";

实际调用如下:

//linux4.4.7 /kernel/kmod.c
static int call_modprobe(char *module_name, int wait)
{
	struct subprocess_info *info;
	static char *envp[] = {
		"HOME=/",
		"TERM=linux",
		"PATH=/sbin:/usr/sbin:/bin:/usr/bin",
		NULL
	};

	char **argv = kmalloc(sizeof(char *[5]), GFP_KERNEL);
	if (!argv)
		goto out;

	module_name = kstrdup(module_name, GFP_KERNEL);
	if (!module_name)
		goto free_argv;

	argv[0] = modprobe_path;
	argv[1] = "-q";
	argv[2] = "--";
	argv[3] = module_name;	/* check free_modprobe_argv() */
	argv[4] = NULL;

	info = call_usermodehelper_setup(modprobe_path, argv, envp, GFP_KERNEL,
					 NULL, free_modprobe_argv, NULL);
	if (!info)
		goto free_module_name;

	return call_usermodehelper_exec(info, wait | UMH_KILLABLE); 
  //启动用户模式应用程序  info结构体里面包含了子进程信息和modprobe_path

free_module_name:
	kfree(module_name);
free_argv:
	kfree(argv);
out:
	return -ENOMEM;
}

使用

/ $ cat /proc/kallsyms | grep modprobe_path #不一定会有
ffffffff81e476e0 D modprobe_path

符号里面没有 modprobe_path 地址的时候可以通过一些函数的引用来找

比如__request_module

  • 通过shell命令(开启保护后需要root身份):grep __request_module /proc/kallsyms查看汇编即可得到字符串地址

    / $ grep __request_module /proc/kallsyms #user
0000000000000000 T __request_module
0000000000000000 t __request_module.cold.4
/ # grep __request_module /proc/kallsyms  #root
ffffffff810833e0 T __request_module #addr
ffffffff8108378b t __request_module.cold.4

  • 通过gef插件:(不用root身份就可以查看)

    gef➤  xinfo __request_module
────────────────────────────────── xinfo: 0xffffffff810833e0──────────────────────────────────
Page: 0x00000000000000  →  0xffffffffffffffff (size=0xffffffffffffffff)
Permissions: rwx
Pathname: /home/hnhuangjingyu/kernel/SUCTF2019_sudrv/vmlinux
Offset (from page): 0xffffffff810833e0  //得到的地址
Inode: 0
Segment: .text (0xffffffff81000000-0xffffffff81c01781)
Offset (from segment): 0x833e0
Symbol: __request_module

    这里直接使用gef进行观察

    gef➤  x/30i __request_module
   0xffffffff810833e0 <__request_module>:	push   rbp
   0xffffffff810833e1 <__request_module+1>:	mov    rbp,rsp
   0xffffffff810833e4 <__request_module+4>:	push   r15
   0xffffffff810833e6 <__request_module+6>:	push   r14
//。。。。忽略。。。。。。。
   0xffffffff81083425 <__request_module+69>:	jne    0xffffffff810835a6 <__request_module+454>
   0xffffffff8108342b <__request_module+75>:	xor    r15d,r15d
   0xffffffff8108342e <__request_module+78>:	cmp    BYTE PTR [rip+0x11beeeb],0x0        # 0xffffffff82242320  //在这里!!!
   0xffffffff81083435 <__request_module+85>:	jne    0xffffffff8108345e 
   
 -------------------- -------------------- -------------------- --------------------
gef➤  strings 0xffffffff82242320
0xffffffff82242320:	"/sbin/modprobe"
0xffffffff8224232f:	""
0xffffffff82242330:	""

    那么就得到了modprobe_path = 0xffffffff82242320

mod_tree

mod_tree这个内核指针里面包含了模块指针的内存地址。通过它可以获取到ko文件的地址

/sbin # cat /proc/kallsyms | grep mod_tree
ffffffff811043e0 t __mod_tree_remove
ffffffff81105b00 t __mod_tree_insert
ffffffff81e09200 d mod_tree

使用实例:

题目2019 suctf sudrv -> https://blog.csdn.net/csdn546229768/article/details/124367307

HNHuangJingYu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
modprobe命令 内核模块智能加载工具
01-09
modprobe命令用于智能地向内核中加载模块或者从内核中移除模块。 modprobe命令可载入指定的个别模块,或是载入一组相依的模块。若在载入过程中发生错误,在modprobe会卸载整组的模块。内核模块加载成功或失败信息...
【Shell 命令集合 系统设置 】Linux 加载和卸载内核模块 modprobe命令 使用指南
最新发布
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
06-28 5286
modprobe命令是Linux系统中用于加载和卸载内核模块的工具。内核模块是一种可以动态加载到内核中的代码,它们可以扩展内核的功能,添加新的驱动程序或功能。
动态链接与可安装模块
qq_41104683的博客
07-10 527
动态链接与可安装模块
基于modprobe_path的内核提权方法
weixin_46483787的博客
04-18 684
什么是modprobe? 这玩意就是用于在Linux内核中添加一个可加载的内核模块,或者从内核中移除一个可加载的内核模块,它是我们在Linux内核中安装或卸载新模块时都要执行的一个程序。该程序的路径是一个内核全局变量,默认为/sbin/modprobe,我们可以通过运行以下命令来查看该路径: cat /proc/sys/kernel/modprobe 这个路径是可写的,普通用户也是可以更改它的 而当内核运行一个错误格式的文件(或未知文件类型的文件)的时候,也会调用这个 modprobe_path所指向
任意地址读写驱动提权(cred、VDSO、modprobe_path、core_pattern、修改内核指针提权
YJM_____的博客
02-17 703
驱动提权实战 题目网址:https://github.com/bsauce/kernel_exploit_series 业务流程 ioctl 先分析下驱动程序 static long do_ioctl(struct file *filp, unsigned int cmd, unsigned long args) { int ret; unsigned long *p_arg = (unsigned long *)args; ret = 0; switch(cmd) { ... case
linux kernal pwn STARCTF 2019 hackme(一) 劫持modprobe_path
yongbaoii的博客
04-20 491
从用户态传入了0x20的数据,其数据放在了pool里面 在IDA里面看的话就是 就是他传入的四个QWORD 。 我们可以看得出来30001的时候就是通过v17来找到相关地址,然后kfree,再清零 所以其实就看得出来v17是index。 功能30002 v8是slab的地址 v20是从哪开始写 v9[1]里面就是size 所以就是往里面写 功能30003 上面是写进去 所以这个自然就是读出来 功能30000 读入一段 根据这一段申请slab 漏洞有两个 首先我们显而易见的在读写slab的时候对of.
Linux内核漏洞利用技术:覆写modprobe_path .pdf
09-05
Linux内核漏洞利用技术:覆写modprobe_path 安全架构 安全架构 业务风控 系统安全 APT
ioctl_beep.zip_linux beep_linux beep modprobe
09-24
linux下beep驱动,用交叉编译器编译成开发板上能用的驱动
Linux modprobe命令用法详解
01-09
语法modprobe [-acdlrtvV][--help][模块文件][符号名称 = 符号值] 参数: -a或–all 载入全部的模块。 -c或–show-conf 显示所有模块的设置信息。 -d或–debug 使用排错模式。 -l或–list 显示可用的模块。 -r或–...
再谈内核模块加载(三)—模块加载流程(下)
ashimida
08-19 1039
上接<再谈内核模块加载(二)—模块加载流程(上)> 9.检查是否有同名模块已加载或正在加载 err = add_unformed_module(mod); if (err) goto free_module; unformed是指加载到一半(也就是执行完当前函数),但还没有完全加载好的模块,此函数根据this_module.name检测当前系统里是否有同名模块: 如果有同名模块但状态是正在执行module_init或unformed...
modprobe命令用于智能地向内核中加载模块或者从内核中移除模块
uunubt的专栏
10-24 780
其实modprobe -l读取的模块列表就位于/lib/modules/`uname -r`目录中;模块名是不能带有后缀的,我们通过modprobe -l所看到的模块,都是带有.ko或.o后缀。-r或--remove:模块闲置不用时,即自动卸载模块;-c或--show-conf:显示所有模块的设置信息;-v或--verbose:执行时显示详细的信息;-V或--version:显示版本信息;-l或--list:显示可用的模块;-a或--all:载入全部的模块;-t或--type:指定模块类型;
为什么modprobe一直提示无法找到对应的ko文件
10-09 3427
加载内核驱动模块有两种方式,一种是通过insmod,一种是 modprobe,后者的好处 是他可以检测对应驱动模块的依赖项,但是,在使用中发现,使用modprobe经常提示指定目录下无法找到该驱动模块,但实际上该目录下已有该文件…… 此处,需注意这两个命令使用的一点区别: insmod:需指定到对应驱动模块的目录下,目录可以不固定, 加载模块时需带 后缀,如: 先cd到ixgbe.ko驱动模...
insmod: ERROR: could not insert module xxx.ko: Operation not permitted
热门推荐
SweeNeil
03-06 4万+
今天编程插入模块的时候遇到了这个问题,具体报错信息如下: insmod: ERROR: could not insert module analyze_inode.ko: Operation not permitted 看到 Operation not permitted首先想到的就是权限问题,但是我已经在超级权限下执行了这个命令,情况如下图所示: 可是在root用户或者sudo权限下...
浅析request_module内核驱动直接引用用户空间程序/sbin/modprobe
咕唧咕唧shubo.lk的专栏
12-09 8506
在soundcore_open打开/dev/dsp节点函数中会调用到下面的:     request_module("sound-slot-%i", unit>>4); 函数,这表示,让linux系统的用户空间调用/sbin/modprobe函数加载名为sound-slot-0.ko模块 #define request_module(mod...) __request_module(true
modprobe命令详解
程序猿Ricky的日常干货
04-26 1万+
modprobe工具可以智能的添加和删除一个模块,之所以说它智能,是因为它能够通过配置的一些预定义的规则解析出模块之间的依赖关系,并且自动加载依赖的模块。 modprobe会从 /lib/modules/uname -r目录中查找要加载的模块以及对应的依赖规则,除了这个目录以外,modprobe还有一个配置目录/etc/modprobe.d,这个配置目录中是用户可以自定义的一些modprobe行...
Linux Kernel Exploit 内核漏洞学习(4)-RW Any Memory
钞sir的博客
09-02 1万+
简介 RW Any Memory的全称是Read and write any memory, 就是内存任意读写;通常这种类型的漏洞是由于越界读写或者错误引用了指针操作造成可以修改控制某个区域里面的指针,导致我们可以改变程序的常规读写区域甚至程序执行流程… 这里我是利用2019 STARCTF里面的hackeme来演示和学习这种漏洞的利用,其中环境和题目我放在github上面了.需要的话可以自行下载...
Linux下使用modprobe加载驱动
狐狸哥的专栏
03-08 6994
在搞Linux驱动移植/开发的时候,对于编译出来的驱动可以选择手动insmod,但是感觉很土:1. 需要指定路径; 2. 如果碰到存在依赖的,就丑陋不堪了。 但是modprobe可以很优雅的解决:直接$ modprobe XX_DRIVER_XX即可。 那么问题来了:modprobe自动加载的时候,如何知道驱动的路径和信息呢?以及,我自己编译的驱动,又如何能够modprobe,而不是山寨的in
modprobe IO_Dev有啥代替
06-08
如果 `modprobe IO_Dev` 命令无法正常工作,可能是因为该模块已经从 Linux 内核中删除,或者该模块不再被推荐使用。 如果你需要使用某个驱动程序或模块,建议先查看 Linux 内核文档或相关软件包的文档,了解该模块是否已被删除或推荐使用其他模块代替。 如果你需要使用某个驱动程序或模块,但无法确定正确的替代方法,可以尝试在 Linux 内核邮件列表或相关社区中寻求帮助。在这些社区中,你可以与其他 Linux 用户和开发人员交流,寻求帮助和建议。 另外,也可以使用 `lsmod` 命令查看当前已加载的模块,以确定你是否需要使用特定的驱动程序或模块。如果你无法确定是否需要该模块,可以尝试在不加载该模块的情况下运行你的应用程序或操作系统,以查看是否存在问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值