kernel pwn

最新推荐文章于 2025-03-03 23:32:20 发布
最新推荐文章于 2025-03-03 23:32:20 发布
阅读量3.7k 收藏 1
点赞数
文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nelson11112/article/details/124093097
版权
本文介绍了kernel pwn的基本概念,包括在比赛中遇到的文件分析,如bzImage、core.cpio和core.ko。讲解了内核、ioctl、cred结构体的作用,以及用户态与内核态的转换。提到了利用commit_creds(prepare_kernel_cred(0))进行权限提升,并讨论了调试技巧和获取shell的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

比赛中的kernel pwn

比赛中我们会得到下面几个文件

  • bzImage 这是一个内核编译生成的压缩内核映像
  • core.cpio这是一个文件管理系统

针对core.cpio会有一系列常规操作

mkdir core
cd core
mv ../core.cpio core.cpio.gz   //  cp ../core.cpio core.cpio.gz
gunzip core.cpio.gz
cpio -idmv < core.cpio
 

然后我们在core这个目录下我们可以看见
 

 

这里有一个init文件,我们用文本编辑器打开
 

#!/bin/sh
mount -t proc proc /proc
mount -t sysfs sysfs /sys
mount -t devtmpfs none /dev
/sbin/mdev -s
mkdir -p /dev/pts
mount -vt devpts -o gid=4,mode=620 none /dev/pts
chmod 666 /dev/ptmx
cat /proc/kallsyms > /tmp/kallsyms
echo 1 > /proc/sys/kernel/kptr_restrict
echo 1 > /proc/sys/kernel/dmesg_restrict
ifconfig eth0 up
udhcpc -i eth0
ifconfig eth0 10.0.2.15 netmask 255.255.255.0
route add default gw 10.0.2.2 
insmod /core.ko

#poweroff -d 120 -f &
setsid /bin/cttyhack setuidgid 1000 /bin/sh
echo 'sh end!\n'
umount /proc
umount /sys

poweroff -d 0  -f
 

这些就是内核启动时候的一些环境信息,其中
 

insmod /core.ko
 

这个core.ko文件就是我们主要分析的文件,这个系统挂载了core.ko这么个文件,往往漏洞就出现在这里,针对这个内核文件我们会写一个c语言的程序来完成我们的攻击
 

setsid /bin/cttyhack setuidgid 1000 /bin/sh 这句话代表着我们是用什么用户,我们往往在本地中会将这句话改为
 

setsid /bin/cttyhack setuidgid 0 /bin/sh
 

    
 
  • start.sh这是一个启动Linux的脚本
    • 

 

#!/bin/bash
qemu-system-x86_64 \
-m 128M \          //128m 的大小
-kernel bzImage \  //选择bzImage这个内核
-initrd core.cpio \    //选择core.cpio这个文件管理系统
-append 'console=ttyS0 kaslr quiet' \  //kaslr就是开启了地址随机化
-monitor /dev/null \
-cpu kvm64,+smep,+smap \ //内核保护措施
-smp cores=1,threads=1 \  
-nographic

 

    
 
  • vmlinux是 编译生成的最原始的文件,里面是有符号表与一些gadget,常用于debug
    • 

 

执行启动脚本之后我们会得到这样一个有普通用户权限的虚拟机环境
 

 

在比赛中我们要把普通用户变成特权用户,flag就在特权用户的目录下
 

 

我们编写脚本完成之后,打远程时一般通过一些方式将脚本发送到服务端。
 

原理
 

内核
 

百度一下
 

ioctl
 

ioctl 也是一个系统调用,用于与设备通信。
 

linux的内核我们是可以拓展的,对于一些我们写的驱动我们可以通过这个系统调用来完成。
 

cred结构体
 

内核会将各个进程的权限用一个cred结构体保存着,通过这个结构体,内核就知道这个进程的权限。
 

struct cred {
    atomic_t    usage;
    #ifdef CONFIG_DEBUG_CREDENTIALS
    atomic_t    subscribers;    /* number of processes subscribed */
    void        *put_addr;
    unsigned    magic;
    #define CRED_MAGIC  0x43736

                

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        


    

      

        

            

              
                
                  nelson11112
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
kernel pwn-kernel UAF

				
			

			

				

					qq_46441427的博客
				

				

					10-24
					
					2296
					
				

			

		

		

			
				
不同于用户态pwn,内核pwn就不是用python远程拿shell,而是给一个环境包,下载qemu本地起系统。给定以下文件
boot.sh: 一个用于启动 kernel 的 shell 的脚本,多用 qemu,保护措施与 qemu 不同的启动参数有关
bzImage: kernel binary rootfs.cpio: 文件系统映像

...

			
		

	



                

            
              



	

		

			

				
					
kernel pwn ——(1)

				
			

			

				

					qq_39869547的博客
				

				

					03-17
					
					470
					
				

			

		

		

			
				
文件 to_pwner.tar.xz
解压命令: xz -d to_pwner.tar.xz
再次解压:tar -xvf to_pwner.tar   之后获得 src文件夹

获得src文件夹 ,里面包含了启动脚本startvm.sh 和问题驱动mod.ko, bzImage 是经过压缩的原始内核文件。
运行脚本尝试获得一些信息:

加载进来,是在别的目录里,驱动程序应该是一开始就已经加载了的,...

			
		

	



              


  
              

                


	

		

			

				
					
Kernel Pwn 入门 (1)

				
			

			

				

					CoLin的pwn小屋
				

				

					04-24
					
					4864
					
				

			

		

		

			
				
Kernel pwn 入门 (1):环境搭建、注意事项、第一个Kernel pwn题:QWB2018-Core

			
		

	





	

		

			

				
					
PWN的学习顺序推荐 | pwn学习指北

					
最新发布

				
			

			

				

					2403_87031746的博客
				

				

					03-03
					
					673
					
				

			

		

		

			
				
Pwn是一种在网络安全和黑客竞赛(如CTF,夺旗赛)中常见的技术类型。它主要涉及对程序漏洞的利用,以实现对目标系统的控制或获取敏感信息。

			
		

	



		

			
		



	

		

			

				
					
Kernel Pwn 入门 (4)

				
			

			

				

					CoLin的pwn小屋
				

				

					07-15
					
					838
					
				

			

		

		

			
				
Kernel pwn 入门之堆溢出

			
		

	





	

		

			

				
					
Kernel pwn 入门 (8)

				
			

			

				

					CoLin的pwn小屋
				

				

					10-11
					
					1265
					
				

			

		

		

			
				
Kernel pwn 入门 (8)——Linux内核内存分配系统简介

			
		

	





	

		

			

				
					
老表带你学Linux kernel pwn  入门(一)

				
			

			

				

					weixin_43889007的博客
				

				

					11-04
					
					3886
					
				

			

		

		

			
				
不加任何保护机制的内核栈溢出提权

			
		

	





	

		

			

				
					
【学习札记NO.00004】Linux Kernel Pwn学习笔记 I:一切开始之前

				
			

			

				

					arttnba3的博客
				

				

					02-25
					
					708
					
				

			

		

		

			
				
【学习札记NO.00004】Linux Kernel Pwn学习笔记 I:一切开始之前[GITHUB BLOG ADDR](https://arttnba3.cn/2021/02/21/NOTE-0X02-LINUX-KERNEL-PWN-PART-I/)0x00.Linux Kernel Basic Knowledge一、内核内核架构:微内核 & 宏内核(单内核)宏内核(Monolithic Kernel,又叫单内核)微内核(Micro Kernel)二、分级保护域Intel Ring Model

			
		

	





	

		

			

				
					
kernel pwn】(壹)初探

				
			

			

				

					weixin_43960998的博客
				

				

					03-18
					
					667
					
				

			

		

		

			
				
1.环境搭建
只需要安装一个qemu就好了:
sudo apt-get install qemu

2.准备工作
一般kernel题目会给一些文件,分别是boot.sh,bzImage,rootfs.cpio,分别是启动脚本,内核映像,根文件系统映像。题中所给的 rootfs.cpio 一般先是一个压缩包,需要重命名后解压出真正的文件目录,这里参考  cnitlrt师傅的文章给出一些常用脚本:
首先是解包脚本:
#!/bin/bash
mv $1 $1.gz
unar $1.gz
mv $1 core
mv

			
		

	





	

		

			

				
					
kernel pwn -- UAF

					
热门推荐

				
			

			

				

					钞sir的博客
				

				

					07-25
					
					1万+
					
				

			

		

		

			
				
简介
众所周知,UAF的全称是Use After Free,是一种释放后重用漏洞;之前一直是在用户态下对这个漏洞进行利用学习的,最近想要体验一下在内核环境中利用此漏洞进行提权操作…
用户态的常规UAF可以看这篇文章…
这里我利用的CISCN2017 babydriver来进行学习的,环境我已经放到github上面了,需要的可以自行下载…
前置知识
权限
在Linux当中每个进程都有它自己的权限,而...

			
		

	





	

		

			

				
					
linux kernel pwn 基础知识

				
			

			

				

					sky123博客
				

				

					05-22
					
					3905
					
				

			

		

		

			
				
驱动程序设备驱动文件系统驱动内核拓展模块LKMs 的文件格式和用户态的可执行程序相同,Linux 下为 ELF ,Windows 下为 exe/dll ,mac 下为 MACH-O ,因此我们可以使用 IDA 等工具来分析内核模块。模块可以被单独编译,但不能单独运行,它在运行时被链接到内核作为内核的一部分在内核空间运行,这与运行在用户空间的进程不同。模块通常用来实现一种文件系统,一个驱动程序或者其它内核上层的功能。

			
		

	





	

		

			

				
					
kernel pwn入门

				
			

			

				

					Peanuts
				

				

					05-09
					
					2799
					
				

			

		

		

			
				
kernel入门
自己的环境是16.04,出入kernel记录下,大佬勿喷。。
环境编译
下载kernel源代码:https://www.kernel.org/
按照必要的依赖
sudo apt-get update

sudo apt-get install build-essential libncurses5-dev

编译kernel源码
make menuconfig #遵循sakura...

			
		

	





	

		

			

				
					
Kernel pwn 入门 (6)

				
			

			

				

					CoLin的pwn小屋
				

				

					07-31
					
					787
					
				

			

		

		

			
				
强网杯2021赛题解析——notebook,userfaultfd利用学习

			
		

	





	

		

			

				
					
Kernel pwn 入门 (3)

				
			

			

				

					CoLin的pwn小屋
				

				

					07-08
					
					1958
					
				

			

		

		

			
				
kernel pwn 入门之 ret2dir

			
		

	





	

		

			

				
					
接触内核pwn(babydriver)

				
			

			

				

					csdn546229768的博客
				

				

					04-11
					
					1175
					
				

			

		

		

			
				
文章目录分析思路保护gdb调试exp利用整体思路如下:
分析
拿到babydriver题目附件后得到的文件如下:

发现运行内核就报错,内容如下:
Could not access KVM kernel module: No such file or directory qemu-system-x86_64: failed to initialize KVM: No such file or directory
未能初始化kvm,大概率是因为系统不支持虚拟化,具体可通过如下命令查看是否支持
egrep '^

			
		

	





	

		

			

				
					
kernel pwn】(贰)kernel ROP

				
			

			

				

					weixin_43960998的博客
				

				

					03-19
					
					459
					
				

			

		

		

			
				
继续学习 kernel pwn 相关知识,同时记录一些方法。
本文以 QWB2018-core 为例
1.题前准备
解压等一套流程。先看一下 start.sh (修改后):
qemu-system-x86_64 \
-m 128M \
-kernel ./bzImage \
-initrd  ./core.cpio \
-append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet kaslr" \
-netdev user,id=t0, -

			
		

	





	

		

			

				
					
Kernel pwn 入门 (7)

				
			

			

				

					CoLin的pwn小屋
				

				

					10-08
					
					771
					
				

			

		

		

			
				
Kernel pwn 入门(7)

			
		

	





	

		

			

				
					
Kernel-Pwn-FGKASLR保护绕过

				
			

			

				

					dzqxwzoe的博客
				

				

					08-11
					
					116
					
				

			

		

		

			
				
KASLR)是KASLR的加强版,增加了更细粒度的地址随机化。因此在开启了FGASLR的内核中,即使泄露了内核的程序基地址也不能调用任意的内核函数。

			
		

	





	

		

			

				
					
ubuntu 24pwn

				
			

			

				

					02-20
				

			

		

		

			
				
### Ubuntu 24-Bit PWN Exploitation Information and CTF Challenges  #### Overview of Linux Kernel Exploitation Techniques Linux内核利用技术涉及多个方面,包括但不限于绕过KASLR (Kernel Address Space ...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值