PXN防护技术的研究与绕过

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/hu3167343/article/details/47394707

PXN的研究与绕过

Linux安全机制简介

近些年来,由于Android系统的兴起,作为Android底层实现的Linux内核其安全问题也是越来越被人们所关注。为了减小漏洞给用户带来的危害和损失,Linux内核增加了一系列的漏洞缓解技术。其中包括DEP,ASLR,更强的Selinux,内核代码段只读,PXN等等。

Linux中这些安全特性的增加,使得黑客们对漏洞的利用越来越困难。其中,DEP,ASLR,Selinux等技术在PC时代就已经比较成熟了。内核代码段只读也是可以通过修改ptmx_fops指针表等方案来绕过。那么,PXN是什么?它又该如何绕过呢?

 

PXN简介

     PXN其实就是PrivilegedExecute-Never的缩写,按字面翻译就是“特权执行从不”。它的开启与否主要由页表属性的PXN位来控制,如图1所示。

图1

     在没有PXN安全机制的Android机器上,我们一般的提权思路大致可分为如下几步:

1.   修改ptmx_fops表的fsync指针地址,使其指向我们用户态的提权代码。

2.   应用层调用fsync函数,使得系统触发我们的提权代码。

3.   获取root权限。

4.   将ptmx_fops表的fsync指针置为NULL,主要防止其他进程调用fsync而使系统崩溃。

上述说到的提权步骤是在没有PXN影响下的一般思路。那么在带有PXN的机器上表现又是如何呢?经过我们的多番测试,在不同的机型上表现各不相同。在有的机器上会卡住,shellcode不会继续执行;有的机器上会产生Kernel Panic,机器直接重启。

所以说,PXN的大致工作原理就是在内核状态下,系统是无法直接执行用户态代码的。因此,我们常用的提权思路也就行不通了。更加坑爹的是在绝大部分的arm64系统机型(如三星s6,华为p8),和一些arm32位机型(如三星note3,三星s5等主流机型)的最新ROM都默认开启了PXN。


PXN初探

       在CVE-2015-3636漏洞的一种利用方式中,我们最终可以控制inet_release函数中sk->sk_prot->close指针的值。对应汇编代码如图2所示。


图2

图2中X2寄存器的值即为sk->sk_prot->close指针的地址,这里的X2对应着32位系统中的R2。BLR X2指令就是跳转到X2所指向的地址处执行。

在开启了PXN的机型上,如果我们将sk_prot->close指针的地址指向用户态的提权代码,那么系统就直接panic重启了,错误信息如图3。在这个panic信息中可以看到PC寄存器的值为0x558d15a2a8,是一个用户态地址。


图3

既然在内核状态下PXN机制能阻止系统运行用户态的代码,那么它会不会阻止内核层的代码执行呢?我们将sk_prot->close指针的地址指向了inet_release函数的返回处。代码如图4所示。

图4

此时再触发漏洞,函数能正确返回到用户态,并且系统也没有panic,从而验证了PXN是不会阻止内核态代码执行的。这和PXN自身的原理也是一致的。

 

再战PXN

基本思路

在带有PXN的机器上虽然不能执行用户态的shellcode,但是依然可以执行内核态的代码。因此,我们的策略就是使用内核ROP:构建内核gadget,使得栈指针sp泄露,然后通过sp计算得到thread_info结构的地址,之后patch thread_info结构的addr_limit字段,从而达到用户态任意读写内核态的目的。

构建gadget

接下来,我们的主要目的就是验证上述方案的可行性。首要任务就是寻找合适的内核gadget。

假设我们现在已经可以利用漏洞控制X1寄存器的值,如图5所示。


图5

因此,在寻找ROP需要的gadget时,我们以X1所指向的内存区域为基础来控制其他寄存器的值。在触发漏洞前,通过mmap函数来创建一块用户态可以控制的内存空间。如下所示:

void *map_addr_tmp= mmap((void*) 0x30303000, 0x10000, 
PROT_WRITE|PROT_READ|PROT_EXEC, 
MAP_SHARED|MAP_ANONYMOUS|MAP_FIXED, -1, 0
);

做完了上面的准备工作,接下来,我将上述方案分解成下面三步来完成:

1.泄露sp的值;

2.计算addr_limit的地址;

3.patch addr_limit。

首先,用ROP来完成sp的泄露。因为寄存器X1所指向的地址是我们在用户态自己分配出来,并且可以随意控制的内存块,所以我们在第一段gadget中借由X1来布局各个跳转的地址,然后跳转到下一段gadget开始执行。

第二段gadget主要是将sp栈指针的值赋给X0,然后跳转到下一段gadget。在这个例子里面,用户态是无法直接通过X0来获得sp的。所以我们在gadget3里面通过一条STR指令将X0的值保存到用户态。ROP的大致思路如图6所示。

找gadget在某种程度上是一个体力活,当然也可以通过一些工具来Make life easier,大家可以自行Google。注意这里描述的gadget只是一个大致的思路,和实际中可能会有一些区别。


图6

我们得到sp的值后,就可以计算出addr_limit字段的地址了。在arm64系统上,栈的最大深度为16K。其次,addr_limit字段位于thread_info结构+8的位置。因此,计算方式如下所示:

unsigned long thread_info_addr = sp & 0xFFFFFFFFFFFFC000;
unsigned long addr_limit_addr = thread_info_addr + 8;
printf("addr_limit_addr: %p\n", addr_limit_addr); 

       最后,我们通过ROP来设置addr_limit的值为0xFFFFFFFFFFFFFFFF。同样,X1寄存器我们可以随意控制其内容。第一段gadget用来设置各个跳转地址。第二段gadget完成主要任务,即通过一个STR指令来完成patch addr_limit的目的。最后跳转到inet_release的函数返回处。ROP的大致思路如图7所示。

图7

完成了addr_limit字段的patch之后,那么用户态就可以任意读写内核态了。接下来的选择就很多了,一种方法是先确定task_struct的地址,它是在thread_info+0x10的位置。得到了task_struct的地址之后,就可以定位到cred字段,之后patch uid、gid、capability、selinux等即可。

实践中,通过结合已知的漏洞,上述方案在近期发布的一些64位旗舰机型上均能测试成功,如图8所示。当然,这个思路在32位机型上也同样适用。

图8

       假设我们所使用的是一个任意写的漏洞,那么绕过PXN的方式其实是类似的。首先通过任意写的洞控制Kernel的一个函数指针,指向我们的gadget,泄露出sp的值。接下来,可以直接通过任意写的能力去patch addr_limit(不需要再通过ROP去patch了)。

总结

近些年来随着对Android、Linux的研究越来越深入,通用的Linux平台漏洞,例如:CVE-2013-6282、CVE-2014-3153 (towelroot)以及最新的CVE-2015-3636(pingpong)纷纷被公之于众。

同时,Linux上运用的最新的漏洞缓解机制让系统漏洞的利用越发困难,但绕过这些缓解机制的技术也在推陈出新。攻与防的博弈永远不会结束。

 

参考文章:

http://git.kernel.org/cgit/linux/kernel/git/davem/net.git/commit/?id=1d4d37159d013a4c54d785407dd8902f901d7bc5

http://infocenter.arm.com/help/index.jsp?topic=/com.arm.doc.subset.architecture.reference/index.html

https://bugzilla.redhat.com/show_bug.cgi?id=1218074

阅读更多
想对作者说点什么?

博主推荐

换一批

没有更多推荐了,返回首页