【kernel exploit】CVE-2016-9793 错误处理负值导致访问用户空间

已于 2022-07-17 10:46:33 修改
阅读量752 收藏
点赞数
分类专栏: 漏洞 内核漏洞 文章标签: git linux
于 2021-09-07 18:12:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/panhewu9919/article/details/120164051
版权

文章目录

影响版本:Linux v4.8.14 以前。v4.8.14已修补,v4.8.13未修补。 7.8分。

测试版本:Linux-4.8.13 exploit及测试环境下载地址—https://github.com/bsauce/kernel-exploit-factory

编译选项CONFIG_SLAB=y

General setup —> Choose SLAB allocator (SLUB (Unqueued Allocator)) —> SLAB

在编译时将.config中的CONFIG_E1000CONFIG_E1000E,变更为=y。参考

$ wget https://mirrors.tuna.tsinghua.edu.cn/kernel/v4.x/linux-4.8.13.tar.xz
$ tar -xvf linux-4.8.13.tar.xz
# KASAN: 设置 make menuconfig 设置"Kernel hacking" ->"Memory Debugging" -> "KASan: runtime memory debugger"
$ make -j32
$ make all
$ make modules
# 编译出的bzImage目录:/arch/x86/boot/bzImage。

漏洞描述net/core/sock.c中的 sock_setsockopt() 函数错误处理负值,导致 sk_sndbufsk_rcvbuf取值为负。调用write时将skb->headskb->end设置错误,最后调用close释放时会访问用户空间报错。

注意,前提是有CAP_NET_ADMIN权限,才能在构造setsockopt系统调用时加上 SO_SNDBUFFORCE 。配置环境时需在文件系统中包含setcap程序,这样才能给exp设置权限。

补丁patch


diff --git a/net/core/sock.c b/net/core/sock.c
index 5e3ca414357e2..00a074dbfe9bf 100644
--- a/net/core/sock.c
+++ b/net/core/sock.c
@@ -715,7 +715,7 @@ int sock_setsockopt(struct socket *sock, int level, int optname,
 		val = min_t(u32, val, sysctl_wmem_max);
 set_sndbuf:
 		sk->sk_userlocks |= SOCK_SNDBUF_LOCK;
-		sk->sk_sndbuf = max_t(u32, val * 2, SOCK_MIN_SNDBUF);
+		sk->sk_sndbuf = max_t(int, val * 2, SOCK_MIN_SNDBUF);
 		/* Wake up sending tasks if we upped the value. */
 		sk->sk_write_space(sk);
 		break;
@@ -751,7 +751,7 @@ set_rcvbuf:
 		 * returning the value we actually used in getsockopt
 		 * is the most desirable behavior.
 		 */
-		sk->sk_rcvbuf = max_t(u32, val * 2, SOCK_MIN_RCVBUF);
+		sk->sk_rcvbuf = max_t(int, val * 2, SOCK_MIN_RCVBUF);
 		break;
 
 	case SO_RCVBUFFORCE:

保护机制:未开 KASLR/SMAP/SMEP。伪造的skb_shared_info结构在用户空间,显然不能绕过SMAP。

利用总结

  • (1)首先在地址0xfffffed0处伪造skb_shared_info结构, skb_shared_info)->destructor_arg->callback 指向提权函数。
  • (2)调用socketpair新建两个socket,用于发送和接收数据。
  • (3)调用setsockopt(sockets[1], SOL_SOCKET, SO_SNDBUFFORCE,&sndbuf, sizeof(sndbuf))sk->sk_sndbuf 设置为 0xFFFFFE00。
  • (4)调用write(sockets[1], "\x5c", 1),将skb->end设置为0xfffffec0,skb->head设置为0x10。
  • (5)调用close(sockets[0])触发调用callback函数,劫持控制流。

1. 漏洞分析

漏洞sock_setsockopt() 中错误处理负值,导致 sk->sk_sndbufsk->sk_rcvbuf 取值过大。

int sock_setsockopt(struct socket *sock, int level, int optname,
		    char __user *optval, unsigned int optlen)
{
	struct sock *sk = sock->sk;
	int val;
	int valbool;
	struct linger ling;
	int ret = 0;

	if (optname == SO_BINDTODEVICE)
		return sock_setbindtodevice(sk, optval, optlen);

	if (optlen < sizeof(int))
		return -EINVAL;

	if (get_user(val, (int __user *)optval))
		return -EFAULT;

	valbool = val ? 1 : 0;

	lock_sock(sk);

	switch (optname) {
    ... ...
	case SO_SNDBUF:
		val = min_t(u32, val, sysctl_wmem_max);					// [1]
set_sndbuf:
		sk->sk_userlocks |= SOCK_SNDBUF_LOCK;
		sk->sk_sndbuf = max_t(u32, val * 2, SOCK_MIN_SNDBUF);	// <----- max_t() 表示以u32类型比较 val*2 和 SOCK_MIN_SNDBUF 的大小,如果val是负数,如-1>100,导致 sk->sk_sndbuf 等于一个较大的值
		/* Wake up sending tasks if we upped the value. */
		sk->sk_write_space(sk);
		break;
	case SO_SNDBUFFORCE:
		if (!capable(CAP_NET_ADMIN)) {
			ret = -EPERM;
			break;
		}
		goto set_sndbuf;										// [2]
	case SO_RCVBUF:
		val = min_t(u32, val, sysctl_rmem_max);
set_rcvbuf:
		sk->sk_userlocks |= SOCK_RCVBUF_LOCK;
		sk->sk_rcvbuf = max_t(u32, val * 2, SOCK_MIN_RCVBUF);	// <----- 同理
		break;
	... ...

#define max_t(type, x, y) ({   \
 type __max1 = (x);   \
 type __max2 = (y);   \
 __max1 > __max2 ? __max1: __max2; })
        
// SOCK_MIN_SNDBUF 取值
#define SOCK_MIN_SNDBUF		(TCP_SKB_MIN_TRUESIZE * 2)
#define TCP_SKB_MIN_TRUESIZE	(2048 + SKB_DATA_ALIGN(sizeof(struct sk_buff)))

注意:如果直接通过参数SO_SNDBUF去设置k->sk_sndbuf,则必然经过[1],导致val不会取传入的0xffffff00,无法将k->sk_sndbuf设置为较大的数;所以需通过参数SO_SNDBUFFORCE去设置k->sk_sndbuf,跳过[1]k->sk_sndbuf = 0xffffff00*2 = 0xFFFFFE00

2. 漏洞跟踪

write调用链Sys_write -> vfs_write() -> __vfs_write() -> sock_write_iter() -> sock_sendmsg() -> unix_stream_sendmsg() -> sock_alloc_send_pskb() -> alloc_skb_with_frags() -> alloc_skb() -> __alloc_skb()

  • unix_stream_sendmsg():将sk_sndbuf与其他值进行比较后,将size - data_len = 0xFFFFFEC0作为参数传递给sock_alloc_send_pskb() —— 参数是header_len=0xFFFFFEC0,最终传递给 __alloc_skb(),参数是size=0xFFFFFEC0
  • __alloc_skb():申请sk_buff结构,并对headendtail等成员赋值。注意,对size进行对齐,并加上skb->tail赋值给skb->end
static int unix_stream_sendmsg(struct socket *sock, struct msghdr *msg,
			       size_t len)
{
	struct sock *sk = sock->sk;
	struct sock *other = NULL;
	int err, size;
	struct sk_buff *skb;
	int sent = 0;
	struct scm_cookie scm;
	bool fds_sent = false;
	int max_level;
	int data_len;

	wait_for_unix_gc();
	err = scm_send(sock, msg, &scm, false);
	if (err < 0)
		return err;
	... ...
	while (sent < len) {
		size = len - sent;

		/* Keep two messages in the pipe so it schedules better */
		size = min_t(int, size, (sk->sk_sndbuf >> 1) - 64);				// 0xFFFFFE00 >> 1 -0x40 = 0xFFFFFEC0   sk->sk_sndbuf 是int类型,所以右移一位符号位不变, size = 0xFFFFFEC0

		/* allow fallback to order-0 allocations */
		size = min_t(int, size, SKB_MAX_HEAD(0) + UNIX_SKB_FRAGS_SZ);	// size = 0xFFFFFEC0

		data_len = max_t(int, 0, size - SKB_MAX_HEAD(0));				// data_len = max(0, 0xfffffec0-0xec0) = 0

		data_len = min_t(size_t, size, PAGE_ALIGN(data_len));			// data_len = min_t(0xfffffffffffffec0, 0) = 0

		skb = sock_alloc_send_pskb(sk, size - data_len, data_len,		// size - data_len = 0xFFFFFEC0
					   msg->msg_flags & MSG_DONTWAIT, &err,
					   get_order(UNIX_SKB_FRAGS_SZ));
        ... ...
    }
}

struct sk_buff *__alloc_skb(unsigned int size, gfp_t gfp_mask,			// size = 0xFFFFFEC0
			    int flags, int node)
{
	struct kmem_cache *cache;
	struct skb_shared_info *shinfo;
	struct sk_buff *skb;
	u8 *data;
	bool pfmemalloc;

	skb = kmem_cache_alloc_node(cache, gfp_mask & ~__GFP_DMA, node);

	size = SKB_DATA_ALIGN(size);							// [1] size = SKB_DATA_ALIGN(0xfffffec0) = 0xfffffec0
	size += SKB_DATA_ALIGN(sizeof(struct skb_shared_info));	// size += 0x140 = 0
	data = kmalloc_reserve(size, gfp_mask, node, &pfmemalloc);	// data = 0x10
	if (!data)
		goto nodata;
															// ksize(0x10) = 0
	size = SKB_WITH_OVERHEAD(ksize(data));					// size = 0 - sizeof(struct skb_shared_info) = 0xfffffec0
	prefetchw(data + size);

	memset(skb, 0, offsetof(struct sk_buff, tail));
	/* Account for allocated memory : skb + skb->head */
	skb->truesize = SKB_TRUESIZE(size);
	skb->pfmemalloc = pfmemalloc;
	atomic_set(&skb->users, 1);
	skb->head = data;										// [2] skb->head = 0x10
	skb->data = data;
	skb_reset_tail_pointer(skb);
	skb->end = skb->tail + size;							// [3] skb->end = 0xfffffec0
	skb->mac_header = (typeof(skb->mac_header))~0U;
	skb->transport_header = (typeof(skb->transport_header))~0U;

	/* make sure we initialize shinfo sequentially */
	shinfo = skb_shinfo(skb);
	memset(shinfo, 0, offsetof(struct skb_shared_info, dataref));
	atomic_set(&shinfo->dataref, 1);
	kmemcheck_annotate_variable(shinfo->destructor_arg);

	if (flags & SKB_ALLOC_FCLONE) {
		struct sk_buff_fclones *fclones;

		fclones = container_of(skb, struct sk_buff_fclones, skb1);

		kmemcheck_annotate_bitfield(&fclones->skb2, flags1);
		skb->fclone = SKB_FCLONE_ORIG;
		atomic_set(&fclones->fclone_ref, 1);

		fclones->skb2.fclone = SKB_FCLONE_CLONE;
		fclones->skb2.pfmemalloc = pfmemalloc;
	}
out:
	return skb;
nodata:
	kmem_cache_free(cache, skb);
	skb = NULL;
	goto out;
}
EXPORT_SYMBOL(__alloc_skb);

3.控制流劫持

close调用链skb_release_data() 最后会调用 skb_shared_info->destructor_arg->callback 函数,destructor_arg指向ubuf_info结构,可劫持该函数即可提权。

static void skb_release_data(struct sk_buff *skb)
{
	struct skb_shared_info *shinfo = skb_shinfo(skb);				// shinfo = skb->head + skb->end = 0x10 + 0xfffffec0 = 0xfffffed0
	int i;

	if (skb->cloned &&
	    atomic_sub_return(skb->nohdr ? (1 << SKB_DATAREF_SHIFT) + 1 : 1,
			      &shinfo->dataref))
		return;

	for (i = 0; i < shinfo->nr_frags; i++)
		__skb_frag_unref(&shinfo->frags[i]);

	/*
	 * If skb buf is from userspace, we need to notify the caller
	 * the lower device DMA has done;
	 */
	if (shinfo->tx_flags & SKBTX_DEV_ZEROCOPY) {
		struct ubuf_info *uarg;

		uarg = shinfo->destructor_arg;
		if (uarg->callback)
			uarg->callback(uarg, true);
	}

	if (shinfo->frag_list)
		kfree_skb_list(shinfo->frag_list);

	skb_free_head(skb);
}
// shinfo偏移的计算方法
#define skb_shinfo(SKB)	((struct skb_shared_info *)(skb_end_pointer(SKB)))

#ifdef NET_SKBUFF_DATA_USES_OFFSET
static inline unsigned char *skb_end_pointer(const struct sk_buff *skb)
{
	return skb->head + skb->end;
}
// skb_shared_info 结构
struct skb_shared_info {
	unsigned char	nr_frags;
	__u8		tx_flags;
	unsigned short	gso_size;
	/* Warning: this field is not always filled in (UFO)! */
	unsigned short	gso_segs;
	unsigned short  gso_type;
	struct sk_buff	*frag_list;
	struct skb_shared_hwtstamps hwtstamps;
	u32		tskey;
	__be32          ip6_frag_id;

	/*
	 * Warning : all fields before dataref are cleared in __alloc_skb()
	 */
	atomic_t	dataref;

	/* Intermediate layers must ensure that destructor_arg
	 * remains valid until skb destructor */
	void *		destructor_arg;									// 指向 ubuf_info 结构

	/* must be last field, see pskb_expand_head() */
	skb_frag_t	frags[MAX_SKB_FRAGS];
};

struct ubuf_info {
	void (*callback)(struct ubuf_info *, bool zerocopy_success);
	void *ctx;
	unsigned long desc;
};
// destructor_arg偏移
gef➤  p/x &(*(struct skb_shared_info *)0)->destructor_arg
$6 = 0x28

参考:

https://nvd.nist.gov/vuln/detail/CVE-2016-9793

nuoye-CVE-2016-9793漏洞分析与利用

bsauce
关注
专栏目录
macOS-Kernel-Exploit:适用于CVE-2019-8781的macOS Kernel Exploit。 该错误的功劳归@LinusHenze :)
02-02
在"macOS-Kernel-Exploit-master"压缩包中,可能包含@LinusHenze编写的漏洞利用示例代码,这为安全研究人员提供了学习和研究漏洞利用技术的机会。通过分析这些代码,可以理解漏洞的具体利用机制,有助于防御类似攻击...
CVE-2019-11708:针对Windows 64位版本的Firefox的完整漏洞利用链(CVE-2019-11708和CVE-2019-9810)
02-04
CVE-2019-11708和CVE-2019-9810的全链漏洞利用 这是针对Windows 64位Firefox的完整的浏览器入侵漏洞利用链(CVE-2019-11708和CVE-2019-9810)。 它使用CVE-2019-9810在内容流程以及父流程中获取代码执行,并使用CVE-...
2016linux内核漏洞,CVE-2016-9793
weixin_39945816的博客
04-30 265
// CAP_NET_ADMIN -> root LPE exploit for CVE-2016-9793// No KASLR, SMEP or SMAP bypass included// Affected kernels: 3.11 -> 4.8// Tested in QEMU only// https://github.com/xairy/kernel-exploits/t...
kernel exploitCVE-2021-41073 内核类型混淆漏洞利用分析
panhewu9919的博客
07-10 1174
CVE-2021-41073
Linux kernel Exploit 内核漏洞学习(0)-环境安装
钞sir的博客
07-24 1万+
前言 在Linux上面搞事情很多东西都可能需要我们利用源码来自己编译,相对于Windows来讲可能会比较麻烦和耗时,这个过程中肯定会遇到很多报错,所以一定要有耐心… 方法步骤 编译内核 首先到linux内核的官网下载一份内核源代码并解压: 至于需要下载的版本,随意就好,我下载的是5.2.1的… 然后先安装有些依赖: sudo apt-get install git fakeroot build-...
Linux Privilege Escalation Kernel Exploits | Linux本地内核提权漏洞复现 CVE-2015-1328
Shadow_DAI_990101的博客
09-04 1393
此漏洞源于overlayfs文件系统在上层文件系统目录中创建新文件时没有正确检查文件权限。它只检查了被修改文件的属主是否有权限在上层文件系统目录写入,导致当从底层文件系统目录中拷贝一个文件到上层文件系统目录时,文件属性也随同拷贝过去。如果Linux内核设置了CONFIG_USER_NS=y和FS_USERNS_MOUNT标志,将允许一个普通用户在低权限用户命名空间中mout一个overlayfs文件系统。本地普通用户可以利用该漏洞在敏感系统目录中创建新文件或读取敏感文件内容,从而提升到管理员权限。
[kernel exploit] Dirty Cred: 一种新的无地址依赖漏洞利用方案
热门推荐
Breeze的博客
10-14 1万+
本文分析 Black Hat 2022由Zhenpeng Lin博士提出的新的linux 内核漏洞利用技巧,可以不依赖内核版本的地址来完成攻击,达到"通杀"的效果
Phpmyadmin后台代码执行CVE-2016-5734_poc
09-30
CVE-2016-5734在exploit-db上也就是 phpMyAdmin 4.6.2 - Authenticated Remote Code Execution ,意即phpMyAdmin认证用户的远程代码执行,根据描述可知受影响的phpMyAdmin所有的 4.6.x 版本(直至 4.6.3),4.4.x ...
CVE-2017-8759-Exploit-sample-master
07-05
CVE-2017-8759-Exploit-sample-master,漏洞示例代码。
CVE-2021-1732-Exploit:CVE-2021-1732漏洞利用
03-06
在提供的压缩包中,"CVE-2021-1732-Exploit-main"可能是一个示例代码或者利用程序,用于演示如何触发这个漏洞。研究这个文件可以帮助安全专家理解漏洞的工作原理,从而更好地防御和修复。不过,直接运行这样的文件...
exploit-CVE-2016-7434:NTPD远程DOS漏洞利用和易受攻击的容器
02-05
CVE-2016-7434 ntpd DOS攻击 Ntpd具有空指针引用,该引用可能触发崩溃的应用程序。 根据NTP.org的说法,“如果将ntpd配置为允许来自发送精心制作的恶意数据包的服务器的mrulist查询请求,则ntpd会在收到该精心制作的恶意mrulist查询数据包时崩溃。” ntpd程序是一个操作系统守护程序,用于与Internet标准时间服务器同步设置和维护计算机系统的系统时间。 它是网络时间协议(NTP)版本4的完整实现,但保留了与版本1、2和3的兼容性。 可以在找到读取MRU列表的例程( read_mru_list ), 利用 脆弱的形象 如果您希望有漏洞的系统测试
新版脏牛Linux内核提权漏洞CVE-2022-0847
03-09
5.8 <= Linux kernel < 5.16.11 / 5.15.25 / 5.10.102中的一个漏洞,它允许覆盖任意只读文件中的数据。这会导致权限提升,因为非特权进程可以将代码注入根进程。 修复版本:Linux 5.16.11、5.15.25 和 5.10.102 中修复。
学习 Linux_kernel_exploits 小记
weixin_30686845的博客
04-19 133
Linux_kernel_exploits+ 功能:自动生成UAF类型漏洞exp文件的工具,目前缺少文档介绍,可以参考test文件下的使用实例,但是源码中缺少dataflowanalyzer模块+ 相关内容:源码路径https://github.com/ww9210/Linux_kernel_exploits, 论文:   @inproceedings...
Linux Kernel Exploit 内核漏洞学习(3)-Bypass-Smep
钞sir的博客
08-09 1万+
简介 smep的全称是Supervisor Mode Execution Protection,它是内核的一种保护机制,作用是当CPU处于ring0模式的时候,如果执行了用户空间的代码就会触发页错误,很明现这个保护机制就是为了防止ret2usr攻击的… 这里为了演示如何绕过这个保护机制,我仍然使用的是CISCN2017 babydriver,这道题基本分析和利用UAF的方法原理我已经在kernel...
linux内核溢出利用,利用Linux内核本地漏洞解决root密码忘记
weixin_28755331的博客
05-13 178
回家期间,同事说有台服务器的root密码不对了,无法通过su - root切换到root,问我如何解决。服务器环境:CentOS 6.3 x86_64 定制版默认登录:服务器添加了普通用户master用于remote ssh login,默认root是禁止直接remote ssh login的,只能通过master登录后,通过su来切换编译环境:gcc 4.4.6在网上查看了下Linux的本地溢出...
kernel exploitCVE-2017-8890 Phoenix Talon漏洞分析与利用
panhewu9919的博客
06-11 664
影响版本:Linux 2.5.69~4.10.15 详细影响版本 评分7.8,可能导致远程代码执行。隐藏11年,通过syzkaller挖到。 测试版本:Linux-4.10.15 测试环境下载地址 — https://github.com/bsauce/kernel_exploit_factory 编译选项:CONFIG_E1000=y和CONFIG_E1000E=y General setup —> Choose SLAB allocator (SLUB (Unqueued Allocator))
linux提高内核版本,kernel-exploits
weixin_30432831的博客
04-29 221
Kernel ExploitsKernels: 3.8.0, 3.8.1, 3.8.2, 3.8.3, 3.8.4, 3.8.5, 3.8.6, 3.8.7, 3.8.8, 3.8.9, 3.9, 3.10, 3.11, 3.12, 3.13, 3.4.0, 3.5.0, 3.6.0, 3.7.0, 3.8.0, 3.8.5, 3.8.6, 3.8.9, 3.9.0, 3.9.6, 3.10.0,...
Linux Kernel Exploit 内核漏洞学习(4)-RW Any Memory
钞sir的博客
09-02 1万+
简介 RW Any Memory的全称是Read and write any memory, 就是内存任意读写;通常这种类型的漏洞是由于越界读写或者错误引用了指针操作造成可以修改控制某个区域里面的指针,导致我们可以改变程序的常规读写区域甚至程序执行流程… 这里我是利用2019 STARCTF里面的hackeme来演示和学习这种漏洞的利用,其中环境和题目我放在github上面了.需要的话可以自行下载...
Linux内核最新漏洞,【更新PoC】潜伏11年的Linux内核提权漏洞曝光
weixin_29137997的博客
05-01 297
// A proof-of-concept local root exploit for CVE-2017-6074.// Includes a semireliable SMAP/SMEP bypass.// Tested on 4.4.0-62-generic #83-Ubuntu kernel.// https://github.com/xairy/kernel-exploits/tree/...
exploit/cve-2007-1036
最新发布
06-20
CVE-2007-1036是一个已知的安全漏洞,通常与Windows系统中的MS07-068漏洞有关,也称为“Windows Internet Explorer Remote Code Execution Vulnerability”。这个漏洞影响了多个版本的Internet Explorer浏览器,使得攻击者可以通过精心构造的恶意网页(也称为exploit)来执行任意代码,从而获得远程系统的控制权。 具体来说,该漏洞存在于IE的JScript引擎处理某些特定类型的XMLHttpRequest对象时的不安全行为。攻击者可以通过用户点击包含恶意脚本的链接或附件,利用这个漏洞将用户的浏览器变成攻击载体。 当用户访问了包含利用payload的网站时,恶意代码会利用浏览器的漏洞来创建一个执行上下文,从而使攻击者能够运行他们选择的代码,这可能包括窃取敏感信息、安装后门、甚至完全接管受害者的计算机。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值