内核堆加固机制的脆弱性分析

最新推荐文章于 2022-07-10 09:19:33 发布
最新推荐文章于 2022-07-10 09:19:33 发布
阅读量403 收藏 1
点赞数 1
分类专栏: 内核漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/panhewu9919/article/details/105151545
版权

来自于原文"Weaknesses in Linux Kernel Heap Hardening"。

总结:free_list poisoning是堆漏洞利用的常用方法,原理是将fd指针改成指向目标地址,这样下一次分配就会将分配到我们的目标地址。然而linux内核引入了堆加固机制,会将fd指针异或加密,导致利用受阻。本文分析一下这种加固机制的脆弱性,在特定情况下,攻击者还是能够利用free_list poisoning

1. 介绍内核堆加固机制

在2017年开始,内核开始引入内核堆加固机制。编译选项是CONFIG_SLAB_FREELIST_HARDENED,patch见https://patchwork.kernel.org/patch/9864165/。

*
* Returns freelist pointer (ptr). With hardening, this is obfuscated
* with an XOR of the address where the pointer is held and a per-cache
* random number.
*/
static inline void *freelist_ptr(const struct kmem_cache *s, void *ptr,
    unsigned long ptr_addr)
{
#ifdef CONFIG_SLAB_FREELIST_HARDENED
 return (void *)((unsigned long)ptr ^ s->random ^ ptr_addr);
#else
 return ptr;
#endif

目标指针与某个地址指针和一个随机值异或加密,这个随机值对于每个slab都不一样,slab知识可以看看SLAB分配器概述

2.利用面分析

首先需要明白,指向空闲块的指针和被存放在类似大小的空闲块中。也就是说,堆指针和指针所在地址的值相似,例如,分配2个16字节的堆块,很有可能指针和指针所在的地址只有低12bit不同(页大小为4K)。

当free_list 指针被混淆为ptr ^ ptr_addr ^ s->randomptrptr_addr的高位是相同的,导致高位异或ptr ^ ptr_addr的结果是0。也就是说如果有信息泄露漏洞,我们可以泄露s->random的前52 bit。

同时注意,我们泄露了几个s->random的低比特。可以预测,slab块是对齐的,如果分配16字节堆块,则低4bit为0 ;如果分配256字节堆块,则低8bit为0 ;如果分配字4096堆块,则低12bit为0 。所以分配不同大小的slab,我们能够泄露s->random中不同的比特位。

3.利用

如果要实施free_list poisoning,首先我们需要一个信息泄露。假设已经申请了1个16字节的堆块,我们需要知道该空闲块内存中的free_list pointer值(64位系统,则为前8字节,类似于FD)。泄露出free_list pointer值之后,前52bit和后4bit就是secret值(s->random)。

现在进行free list pointer corruption,先分配16字节堆块再释放,目标是修改FD为目标地址TARGET_PTR。空闲块的地址记为PTR_ADDR

secret = high_bits_of_secret | low_bits_of_secret;

OBFUSCATED_POINTER = TARGET_PTR ^ secret ^ PTR_ADDR;

问题:目前我们只知道56bit的secret值,还有8bit未知。虽然这8bit未知,但有一定几率返回同一内存页的地址,只要能控制整个内存页(即所有返回值指向的内存),就有可能利用成功。

4.结论

作者提交了1个patch解决这个问题。

kmalloc-32 freelist walk, before:

ptr              ptr_addr            stored value      secret
ffff90c22e019020@ffff90c22e019000 is 86528eb656b3b5bd (86528eb656b3b59d)
ffff90c22e019040@ffff90c22e019020 is 86528eb656b3b5fd (86528eb656b3b59d)
ffff90c22e019060@ffff90c22e019040 is 86528eb656b3b5bd (86528eb656b3b59d)
ffff90c22e019080@ffff90c22e019060 is 86528eb656b3b57d (86528eb656b3b59d)
ffff90c22e0190a0@ffff90c22e019080 is 86528eb656b3b5bd (86528eb656b3b59d)
...

after:

ptr              ptr_addr            stored value      secret
ffff9eed6e019020@ffff9eed6e019000 is 793d1135d52cda42 (86528eb656b3b59d)
ffff9eed6e019040@ffff9eed6e019020 is 593d1135d52cda22 (86528eb656b3b59d)
ffff9eed6e019060@ffff9eed6e019040 is 393d1135d52cda02 (86528eb656b3b59d)
ffff9eed6e019080@ffff9eed6e019060 is 193d1135d52cdae2 (86528eb656b3b59d)
ffff9eed6e0190a0@ffff9eed6e019080 is f93d1135d52cdac2 (86528eb656b3b59d)

参考:

Weaknesses in Linux Kernel Heap Hardening

Linux slub 分配器上的安全加固学习

bsauce
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文章管理 优雅的slab内存分配器(六)—— freelist
liuhangtiant的博客
08-12 2218
freelist是干嘛的? 我们前面提到过freelist,只不过仅仅提到了freelist可以放在slab内部也可以放在slab外部,并没有提到freelist的具体作用。我们今天就来剖析一下freelist的作用。 freelist的作用其实非常非常简单,就是记录slab中没有使用的object。这里有几个注意点: freelist实际上是一个数组,数组中存放未使用的object的...
万字长文---手把手教你加固内核安全配置
Rethinking the Kernel
08-01 1万+
内核安全配置的角度来分析了KSPP,在LSM机制、漏洞利用分析、栈溢出攻击等方面会有真实利用场景,后续会逐步更新相关文章
内核漏洞利用】绕过CONFIG_SLAB_FREELIST_HARDENED防护—kernoob两种解法
panhewu9919的博客
12-28 1406
环境下载:download 题目来源:XCTF高校战"疫"分享赛 1.漏洞分析 功能分析: // 共 4 个功能:add_note、del_note、show_note、edit_note,用户输入 user_input 格式——(index+user_addr+size),全局数组pool处存放(note+size)。、 // 1.add_note cmd=0x30000 signed __int64 __usercall add_note@<rax>(__int64 a1@<rbp&
Linux 安全缓解机制总结
panhewu9919的博客
06-28 5935
学习资料: linux-kernel-defence-map A Decade of Linux Kernel Vulnerabilities, their Mitigation and Open Problems-2017 The State of Kernel Self Protection-2018 PaX/Grsecurity 代码分析——各种安全机制 Linux每个版本对应的安全更新 linux安全机制的论文 防护研究团队: SELinux (NSA)、AppArmor
【kernel exploit】CVE-2021-41073 内核类型混淆漏洞利用分析
panhewu9919的博客
07-10 1115
CVE-2021-41073
新手学习实记(八、在树莓派上实现云台舵机目标追踪)
qq_44941583的博客
12-04 6646
【前言】 校内实习制作——基于树莓派的云台人脸追踪系统。本文主要是记录我的操作和执行过程。 由于要同时准备考研,所以只能学习做一个简易的系统啦,希望能有收获叭。 【个人情况(供看文章的同学参考): ①树莓派初学者,第一次操作全新树莓派(包括选购器件、安装硬件、烧录镜像、配置所有本次实验需要的树莓派通信环境等等)。 ②python初学者,但是有其他语言基础。 文中有大量试错过程可供参考。】 九月份补充说明:整体合计约一个月零十天的时长,因为答主考研,所以只能花这么长时间学习相关知识并实践。...
安卓毕业设计加源码-GaoXinCompany:高新企业名单(Updating)
06-06
安卓毕业设计加源码 2016年 2015年 2016年10月培训单位名单 1 Y161019001 莱姆电子(中国)有限公司 2 Y161019002 京北方信息技术股份有限公司 3 Y161019003 中国天鹅国际旅游公司 4 Y161019004 中国地质物资供销总公司 5 Y161019005 北京泰派斯特科技发展有限公司 6 Y161019006 中信光华置业(北京)有限公司 7 Y161019007 北京美尔斯通科技发展股份有限公司 8 Y161019008 北京哈莫尼工程顾问有限责任公司 9 Y161019009 北京诺华制药有限公司 10 Y161019010 北京华录百纳影视股份有限公司 11 Y161019011 北京中富信和投资有限公司 12 Y161019012 中国华融资产管理股份有限公司 13 Y161019013 北京市金杜律师事务所 14 Y161019014 北京勤邦生物技术有限公司 15 Y161019015 北京慈爱嘉养老服务有限公司 16 Y161019016 友利银行(中国)有限公司 17 Y161019017 中国精算师协会 18 Y1610
exploit:我写的一些内核漏洞利用
07-02
我写的一些内核漏洞: CVE-2009-2692-sock_sendpage.c CVE-2009-2698-udp_sendmsg.c Intel_sysret.c can_bcm_exp.c csaw文件 nfs_mount.c perf_exp.c perf_stack.c
KE-之单机案例分析
fangjun791350的博客
08-04 545
目录 一、背景: 二、第一份KE分析 三、第二份KE分析 四、总结 一、背景: 单台机器出现2例KE,且位置随机都在开机几秒内出现,从经验来看,偏单体,可以通过gdb + minidump的方式进行简单推导 二、第一份KE分析 1、环境准备 ../../../../0_code/r0-trunk-0422/prebuilts/gdb/linux-x86/bin/gdb (gdb) exec-file vmlinux (gdb) info files Local exec file:
slub allocator工作原理
weixin_45337360的博客
06-27 998
slub allocator工作原理,包括相应slub数据结构,slub数据结构的联系。描述了slub分配内存原理和slub释放内存原理的流程框图,代码走读了常用的kmalloc和kfree函数。对于slub系统启动阶段的初始化,slub的创建以及slub的销毁在其他文章篇幅中有细讲.........
slab分配器--Linux内存管理(二十二)
OSKernelLAB(gatieme)
09-29 7031
日期 内核版本 架构 作者 GitHub CSDN 2016-09-29 Linux-4.7 X86 & arm gatieme LinuxDeviceDrivers Linux内存管理 2 slab分配器2.1 slab分配器每个C程序员都熟悉malloc, 及其在C标准库中的相关函数. 大多数程序分配若干字节内存时. 经常会调用这些函数.内核也必须
Linux内存管理之SLAB分配器
ibless的博客
08-06 8879
注:本文讲述的SLAB相关代码是基于Linux内核v4.7,代码网址。 1、SLAB分配器的由来 在讲SLAB分配器之前先说两个概念: 内部碎片和外部碎片。 外部碎片指的是还没有被分配出去(不属于任何进程)但由于太小而无法分配给申请内存空间的新进程的内存空闲区域。外部碎片是除了任何已分配区域或页面外部的空闲存储块。这些存储块的总和可以满足当前申请的长度要求,但是由于它们的地址不连续或其他原因...
内核中自带的内存调试方法CONFIG_DEBUG_SLAB
weixin_30615767的博客
07-07 384
CONFIG_DEBUG_SLAB, 这是非常重要的选项,选中它则打开内核内存分配函数中的多个类型的检查; 打开该检查后,就可以检测许多内存溢出及忘记初始化的错误,在将已分配内存返回给调用者之前,内核会把其中的每个字节设置为0Xa5,而在释放后将其设置为0X6b。 如果内核开发者在自己的程序输出中或者oops信息中看到上述字符“毒剂”字符,则可以轻...
linux内核熵,Linux内核强化漏洞利用研究
weixin_34851493的博客
05-01 147
0x01 摘要常见的利用技术中的空闲列表投毒会破坏分配器的空闲块的链接列表。分配后将返回投毒的地址,Linux内核引入了强化,这使这些链接列表中的指针会变得非常模糊。在不知道密钥和指针地址的情况下,攻击者无法可靠地用选定的地址毒化指针。在这篇文章中,我将分析Linux内核的free列表指针混淆有一些缺陷,在适当的条件下,攻击者可以进行自由列表投毒攻击。0x02 介绍Linux内核中的默认...
linux内核漏洞分类,blog/linux kernel double-free类型漏洞的利用.md at master · snorez/blog · GitHub...
weixin_29440125的博客
05-02 382
对linux kernel double-free类型漏洞的较通用利用方法update Wed Nov 29 16:39:01 HKT 2017linux kernel 4.14 released this month;relevant PATCH 0: add a naive detection of double free or corruption这个补丁, 在进行连续的kfree的时候会起...
Android 8.0系统学习(7)---内核加固
zhangbijun1230的专栏
04-16 1383
内核加固Android 8.0 增添了内核加固功能,以帮助减少内核漏洞并发现内核驱动程序中的错误。这些功能位于分支 android-3.18、android-4.4 和 android-4.9 的 kernel/common 中。实现要获得这些功能,设备制造商和 SOC 应该将来自 kernel/common 的所有加固补丁程序合并到其内核树并启用以下内核配置选项:加固后的用户复制功能:CONFI...
双向链表的实现,定义, 并实现freelist管理内存
weixin_43937162的博客
10-26 768
#include<iostream> #include<sstream> #include <iomanip> #include <string> #include<cstddef> using namespace std; template <typename E> class Link //双链表结点 { pri...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值