Dirty COW漏洞原理与简单利用

最新推荐文章于 2024-05-11 10:02:36 发布
最新推荐文章于 2024-05-11 10:02:36 发布
阅读量9.9k 收藏 45
点赞数 26
分类专栏: 计算机基础 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hbhgyu/article/details/106245182
版权

我将分为3个部分进行介绍,包括:漏洞的概述,漏洞的成因以及漏洞的利用。

首先是漏洞概述:

Dirty COW漏洞是一种发生在写时复制竞态条件漏洞,它影响所有基于Linux的操作系统,包括Android,这个漏洞2007年起就存在于Linux内核中,直到2016年才被发现和修复。可以利用这个漏洞修改受保护的文件,也可以利用这个漏洞提权。

Dirty COW漏洞是发生在写时复制竞态条件漏洞,我们先看看什么是竞态条件和写时复制。

image-20200520085510421

竞态条件是指一个系统或者进程的输出依赖于不受控制的事件出现顺序或者出现时机。我们看下边的这个例子:这个php代码的功能为从银行执行取款交易,首先检查要提取的金额是否少于余额,如果是,则授权,之后更新余额并退出。那么,如果同时有两个提款请求,则可能会出现竞态条件漏洞。比如说,当前余额是100元,线程1要求提取90元,在服务器更新余额之前,线程2尝试提取90元,这将被批准,因为当前的余额仍然是100元,因此总共提取了180元,账户中的余额为10元。

image-20200520091719663

竞态条件通常发生在多个进程(线程)同时访问和操作相同的数据 以及 执行结果取决于特定的顺序这两种情况。那么如果特权程序具有竞态条件漏洞的话,攻击者就可以通过对不可控事件施加影响来影响特权程序的输出。

image-20200520092303346

好,我们接下来再看一下写时复制:写时复制是一种允许不同进程中的虚拟内存映射到相同物理内存页面的技术。比如我们使用fork系统调用创建子进程,那么这个子进程通过使页表条目指向相同的物理内存来共享父进程内存,当任何进程试图写入内存时,会引发异常,OS将为子进程分配新的物理内存,从父进程复制内容,更改每个进程的页表使它指向自己的私有内存副本,这就是写时复制技术

image-20200520093045891

写时复制执行过程执行三个重要步骤,包括:制作映射内存的副本;更新页表,使虚拟内存指向新创建的物理地址;写入内存。由于三个步骤不是原子性的,一个线程在执行这三个步骤过程中可能被其他线程中断,从而产生潜在的竞态条件。

image-20200520093639149

那么,什么地方会利用到内核的写时复制机制呢?我们来看一个比较常见的系统调用mmap(),它是一个将文件或者设备映射到进程内存的系统调用,也就是说对进程内存的读写就是对文件的读写。

这个系统调用包含图中的几个参数:前两个参数是映射内存区域的起始地址和大小,第三个参数是读写方式,即是否可读是否可写,第四个参数指定映射的方式,包括map_shared和map_private,map_shared是指当多个线程将同一个文件映射到自己的虚拟地址中,它们都共享同一个物理内存块,说通俗点就是共享内存,map_private则是将文件映射到进程的私有内存,这个后一页重点介绍,后两个参数是映射的文件以及文件内偏移。

image-20200520095037278

map_private参数指定将文件映射到进程的私有内存。从图中可以看到,两个进程将同一个文件映射到自己的虚拟内存地址,如果两个文件都是只读的,那么虚拟内存地址将指向同一个物理内存块。但是如果一个进程试图写入数据,就像图中的进程2,此时就会发生写时复制,将物理内存块复制一个副本,然后更新进程2的页表指向新的内存块,最后向物理内存块的副本中写入数据。

**这里需要注意的是,**即使程序是以只读的方式来做内存映射,map_private允许程序通过WRITE系统调用往物理内存块的副本中写入数据,这为我们后面的利用创造了条件。

image-20200520100410168

前面我们知道了写时复制时会有竞态条件漏洞呢?那么该如何利用呢,这里介绍另一个系统调用,madvise(),这个调用通过指定第三个参数为MADV_DONOTNEED告诉内核不再需要声明地址部分的内存,内核将释放该地址的资源,进程的页表会重新指向原始的物理内存。

image-20200520101026305

组合使用mmap和madvise就可以利用写时复制的竞态条件漏洞,这张图展示了整个过程。

先看右边的图,这是一个进程将只读文件映射到进程的虚拟内存地址中,当mmap指定参数为map_private,尽管是只读的,仍然可以写入数据,只不过这时写到的是原始物理内存的副本。

左边的图,步骤A,B,C,是写时复制的三个步骤,首先创建映射内存的副本,然后将进程页表指向原始物理内存的副本,最后向副本写入数据。

那么当同一个进程的线程1执行写时复制过程,具体的就是执行完步骤B但还没执行步骤C,另一个线程2调用了madvice(),那么进程的页表将重新指向原始的映射的内存物理块,线程1继续执行步骤C会向只读文件写入数据。

这就是整个Dirty-cow漏洞的利用过程。

image-20200520102019507

最后,我们看一下漏洞利用。利用的基本思路是在一个进程里创建两个线程,一个线程向只读的映射内存通过Write系统调用写入数据,这时候发生写时复制,另外一个线程通过madvise系统调用来丢弃映射内存的私有副本,这两个线程相互竞争从而向只读文件写入数据。

image-20200520102546712

这是我们的主程序,它将指定的只读文件映射到物理内存块中,参数是MAP_PRIVATE,然后创建两个线程。

image-20200520103046832

这个线程通过访问Linux的/proc文件系统来访问所在进程的内存地址空间,并通过Write系统调用不断尝试向映射的物理内存块写入数据,这时候发生写时复制。

image-20200520103349972

这个线程通过madvise系统调用不断让系统释放原始映射的物理内存块的副本,这样总能产生一个时序使得写时复制的线程将数据写到原始的映射内存物理块中。

image-20200520103641554

这是Linux内核版本,当前用户无root权限。

image-20200520103752745

编译利用程序。

image-20200520103816618

准备测试文本文件,这个文件对普通用户是只读的。

image-20200520103849916

然后在普通用户下运行攻击程序,第一个参数是目标文件,第二个参数是写入的数据,可以看到成功向只读文件写入数据。

image-20200520104051667

第二个复现内容是修改/etc/passwd文件提权,其实这个过程和上一个实验过程是一样的,只不过目标文件换成了/etc/passwd,向文件中写入一行来创建一个新的用户,将uid设置成0就可以了。下面看一下攻击结果。

image-20200520104421013

这是环境。

image-20200520104447284

编译的过程

image-20200520104514966

image-20200520104635936

最后总结一下,漏洞需要较早的内核版本,该漏洞可以在低权限下提升对文件的操作权限,也可以获得root权限。

卖行家的小报纸
关注
  • 26
    点赞
  • 45
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
DirtyCow漏洞分析
qq_25899635的博客
07-22 784
漏洞编号:CVE-2016-5195, 这是一个Linux kernel的本地权限提升漏洞。这里通过一个实验来逐步分析这个漏洞。 实验poc:
dirtycow提权漏洞原理
03-10
自己画的关于脏牛漏洞提权的原理图,个人感觉比较清晰,适合小白理解用
dirty cow的一点理解
qq_39108061的博客
07-30 238
利用安全* 基线安全 每一个进程都有一个页表 dirty cow触发过程jian 获取4次页面 第一次 调页,填页表,只读映射cow,更新页表项 第二次 要求写foll_write=1,不让写,判断cow存在和不可写->只读内存,foll_write=0 第三次 寻页,可以写cow的页,开线程2,madvise() 页表项置空->缺页,调页,不需要写权限foll_write=0->不会cow 第四次 写操作同步到只读文件中(越权) 上读下写 ...
探索 Dirty COW:一个安全领域的传奇漏洞
最新发布
gitblog_00044的博客
05-11 358
探索 Dirty COW:一个安全领域的传奇漏洞 项目地址:https://gitcode.com/dirtycow/dirtycow.github.io 1、项目介绍 在信息技术的世界中,安全始终是至关重要的议题。Dirty COW(亦称“脏牛”)是一个著名的历史性Linux内核漏洞,它揭示了内存管理中一个潜在的严重问题。这个项目不仅提供了一个学习和理解系统安全性的窗口,还鼓励社区成员参与互动,...
漏洞复现- - -CVE-2016-5195 Dirty Cow脏牛提权漏洞
weixin_67503304的博客
11-02 4589
本文主要讲解了脏牛漏洞的提全过程及其修复建议。
dirtycow
joosonmao的专栏
11-09 3554
最近曝光一个关于dirtycow的linux漏洞,准备在android下进行提权测试,以下是网上的一些观点和我自己的测试。 一、关于编译 在Windows7下的cygwin下编译 windows设置环境变量,将android-ndk-r11路径添加到Path下 cygwin下的找到一个 home\\.bash_profile 文件,添加 NDK=/cygdrive/e/andro
android系统dirty cow(脏牛)漏洞的检查资料
03-22
脏牛漏洞,全称为"Dirty COW",是Android系统中的一个重大安全漏洞,首次公开于2016年。这个漏洞源于Linux内核中的一个内存管理错误,具体是由于在处理内存拷贝(copy-on-write)操作时的权限控制不当,导致普通用户...
android4.*通杀漏洞dirty-cow源代码
01-21
漏洞具体为,Linux内核的内存子系统在处理写入时复制(copy-on-write, COW)时产生了竞争条件(race condition)。恶意用户可利用漏洞,来获取高权限,对只读内存映射进行写访问。(A race condition was found ...
复旦大学_软件安全_SEED labs_5-Dirty_Cow.zip
06-27
《复旦大学软件安全SEED Labs - Dirty Cow漏洞解析》 在网络安全领域,软件安全是至关重要的一环。复旦大学的软件安全课程,通过引入来自雪城大学SEED Labs的实验,让学生深入理解这一主题。其中,"5-Dirty_Cow...
dm-region-hash.rar_Dirty
09-23
《Device-Mapper Dirty Region Hash详解》 在Linux存储管理领域,Device-Mapper(DM)是一个至关重要的组件,它提供了一种映射设备的抽象层,允许对底层块设备进行高级操作。在DM中,"Dirty Region Hash"是用于跟踪...
CVE-2016-5195 漏洞利用代码dirtyc0w.c
05-12
利用CVE-2016-5195漏洞,在 ubuntu-14.04.5-desktop-amd64系统中,本地普通用户可以通过提权获取root权限
dirty template.zip_Dirty_few32h_sameztt_uwb
07-14
UWB system using estimated templates
linux本地内核提权漏洞 Dirty COW 成因分析
热门推荐
softgmx的博客
03-31 1万+
关于“Dirty COW" 的影响,这方面的文章网上写的太多了,但是关于此漏洞真实成因的文章却很缺乏,基于此,我写了这篇文章,希望对想深入研究的人一些帮助。脏牛漏洞核心成因: 基于下面的POC来讲,要篡改的特权文件在被只读映射后,攻击者第一次发起wite=>mem_write=>get_user_pages=>faultin_page调用后已经去掉了...
Linux核心再修补了安全漏洞 DirtyCOW修补不完全
自在过生活
12-05 701
尽管DirtyCOW已被修补一年,但资安业者Bindecy发现修补并不完全,第三方在未授权下可写入只读页面,影响应用程序表现,受影响版本包括Ubuntu、Fedora、SUSE等,Android及Red Hat则未受影响。 在Linux重大安全漏洞DirtyCOW(CVE-2016–5195)被修补的一年之后,资安业者Bindecy发现该修补程序并不完全,使得Linux核心的首席开
dirty cow 试验
vbaspdelphi的专栏
10-26 3165
dirty cow 解释 https://dirtycow.ninja/ 下面的链接里面有当前暴露出来的一些exploit利用工具 https://github.com/dirtycow/dirtycow.github.io/wiki/PoCs 手动测试了dirtyc0w.c和dirty_passwd_adjust_cow,没有效果 # 编译代码 gcc -pthread dirtyc0w.c -o
脏牛(Dirty COW漏洞攻击实验(SEED-Lab:Dirty-COW Attack Lab)
CTFwp笔记1-rsa基本知识+共模攻击
08-30 2491
​   该漏洞是Linux的一个本地提权漏洞,发现者是Phil Oester,影响>=2.6.22的所有Linux内核版本,修复时间是2016年10月18号。该漏洞是 Linux Kernel 中的条件竞争漏洞,攻击者可以利用 Linux kernel 中的 COW(Copy-on-Write)机制存在的逻辑漏洞,完成对文件的越权读写。............
Dirty Cow Attack Lab(中文译版)
SiSong_Ru的博客
03-06 2183
Dirty COW Attack Lab(中文译版) 版权说明 Copyright © 2017 Wenliang Du, Syracuse University. The development of this document was partially funded by the National Science Foundation under Award No. 130...
Dirtycow: dirty0w.c(脏牛漏洞
qq_40976667的博客
02-11 1111
/* ####################### dirtyc0w.c ####################### $ sudo -s # echo this is not a test > foo # chmod 0404 foo $ ls -lah foo -r-----r-- 1 root root 19 Oct 20 15:23 foo $ cat foo this is not a test $ gcc -pthread dirtyc0w.c -o dirtyc0w $ ./dirt
dirty COW的攻击原理和后果
04-29
Dirty COW(Copy-On-Write)是一种针对Linux系统中的内核漏洞,攻击者可以利用它来提升自己的权限。它是一个本地提权漏洞,攻击者需要在系统上拥有一个已授权的账户才能利用漏洞提升自己的权限。 攻击者可以通过使用一个特殊的程序来利用Dirty COW漏洞,该程序通过修改文件的内存映射来访问系统上的受保护文件。攻击者可以使用这种方法来修改系统上的任何文件,包括系统文件和配置文件等。 Dirty COW的攻击后果非常严重,攻击者可以获得系统管理员权限,这意味着他们可以执行任何操作,包括读取、修改和删除系统上的任何文件。这种攻击可能会导致系统的完全崩溃,甚至可能导致数据丢失或泄露。因此,对于这种漏洞,及时修复是至关重要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值