linux函数 取值溢出,Linux中create_elf_tables函数整型溢出漏洞分析(CVE-2018-14634)

最新推荐文章于 2022-05-20 17:44:24 发布
最新推荐文章于 2022-05-20 17:44:24 发布
阅读量194 收藏
点赞数
文章标签: linux函数 取值溢出

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

在这篇文章中,我们将跟大家分析Linux平台中create_elf_tables函数的一个整型溢出漏洞(CVE-2018-14634)。

7448a653441383c76ece9d4548912a74.png

概述

在近期的一次安全分析过程中,我们在64位Linux系统内核里的create_elf_tables()函数中发现了一个整型溢出漏洞,本地攻击者将可以通过一份SUID-root代码来利用这个漏洞,并获取到目标设备的完整root权限。

目前,受该漏洞影响的Linux发行版有Red Hat Linux企业版、CentOS和Debian 8。

漏洞分析150#define STACK_ROUND(sp, items) \

151         (((unsigned long) (sp - items)) &~15UL)

...

165 create_elf_tables(struct linux_binprm*bprm, struct elfhdr *exec,

...

169        int argc = bprm->argc;

170        int envc = bprm->envc;

171        elf_addr_t __user *sp;

...

178        int items;

...

190        p = arch_align_stack(p);

...

287        items = (argc + 1) + (envc + 1) + 1;

288        bprm->p = STACK_ROUND(sp, items);

...

295        sp = (elf_addr_t __user *)bprm->p;

“argc”表示传递给execve()系统调用的命令行参数个数,个数受fs/exec.c中MAX_ARG_STRINGS的限制;“envc”表示传递给execve()的环境变量个数,个数同样受到MAX_ARG_STRINGS的限制;但是由于MAX_ARG_STRINGS为0x7FFFFFFF,所以我们可以让整数“items”发生溢出并让程序失效。

此时,我们就可以以增加用户态的栈指针,然后将用户态栈指针指向我们的参数和环境变量字符串,最终在用户模式执行SUID-root代码时重写这些字符串。

漏洞利用

在使用execve()运行SUID-root代码时,我们的“items”值为0x80000000,参数指针的大小约为0x80000000 * sizeof(char *) = 16GB,参数字符串为16GB,环境字符串也为16GB,因此我们的漏洞利用环境“只”需要2 * 16GB = 32GB内存,而并非3 * 16GB = 48GB或者更多,因为我们使用了一些小技巧来减少内存指纹。

下面这个图表代表了SUID-root代码开始执行后,我们的用户态栈结构:

91dc6bca5bd84e5c68594d06052957fc.png-“A”(“alpha”)为create_elf_tables()分配的栈空间大小(代码190-287行),大约为512字节。

-“sprand”是create_elf_tables()分配的随机栈空间大小(代码190行),大小范围在0-8192字节之间。

-“protect”参数字符串是一个非常重要的命令行参数&选项,这个参数必须不能受到内存崩溃的影响。

-“padding”参数字符串大约需要占用16GB栈空间。

-“protect”环境字符串是一个重要的环境变量,必须必须不能受到内存崩溃的影响。

-“scratch”环境字符串为1MB。

-“onebyte”环境字符串为256KB,其部分数据会被fname[]缓冲区覆盖。

-“B”(“beta”)为ld.so分配的栈空间数量。

此时,ld.so会使用handle_ld_preload()中fname[]缓冲区的数据重写“onebyte”环境变量中的部分数据,并让process_envvars()中的UNSECURE_ECVVARS等过滤器失效。

我们的POC代码能够利用create_elf_tables()中的这个整型溢出漏洞,演示样例如下:# gcc-O0 -o poc-suidbin poc-suidbin.c

#chown root poc-suidbin

#chmod 4555 poc-suidbin

$ gcc-o poc-exploit poc-exploit.c

$time ./poc-exploit

...

ERROR:ld.so: object 'LD_LIBRARY_PATH=.0LD_LIBRARY_PATH=.0LD_LIBRARY_PATH=.' fromLD_PRELOAD cannot be preloaded:

ignored.

ERROR:ld.so: object 'LD_LIBRARY_PATH=.0LD_LIBRARY_PATH=.' from LD_PRELOAD cannot bepreloaded: ignored.

ERROR:ld.so: object 'LD_LIBRARY_PATH=.' from LD_PRELOAD cannot be preloaded: ignored.

argc2147090419

stack0x7ffbe115008f < 0x7ffbe1150188 < 0x7fffe0e50128 < 0x7ff7e11503ea <0x7ffbe102cdea

getenv0x7ffbe114d83b .

0x7ffbe114d82bLD_LIBRARY_PATH=.

0x7ffbe114df60LD_LIBRARY_PATH=.

0x7ffbe114df72LD_LIBRARY_PATH=.

...

0x7ffbe114e69eLD_LIBRARY_PATH=.

0x7ffbe114e6b0LD_LIBRARY_PATH=.

0x7ffbe114e6c2LD_LIBRARY_PATH=.

real    5m38.666s

user    0m0.049s

sys     1m57.828s

附件poc-suidbin.c:【点我下载】

poc-exploit.c:【点我下载】

*参考来源:seclists,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

eventually7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
gcc_arm-linux-gcc_arm-elf-gcc.rar_arm linux gcc_arm-elf-gcc_elf_
09-22
介绍了GCC、ARM-LINUX-GCC、ARM-ELF-GCC的联系和区别。
CVE-2018-14634 - Linux create_elf_tables()整型溢出 - 翻译
weixin_30682415的博客
09-28 438
原文:https://seclists.org/oss-sec/2018/q3/274 摘要 Qualys研究实验室的安全团队发现一个位于Linux内核函数create_elf_tables()整型溢出漏洞。在64位系统下,本地攻击者可能利用该漏洞通过SUID-root程序获取root权限。 只有内核commit b6a2fea39318 (mm:可变参数长度,2007),但是没有commit...
[kernel exploit] linux 内核常规堆溢出漏洞的“胜利方程式“
Breeze的博客
05-20 1万+
[kernel exploit] linux 内核常规堆溢出漏洞的"胜利方程式" 文章目录[kernel exploit] linux 内核常规堆溢出漏洞的"胜利方程式"简介背景前置条件与技术漏洞利用准备msg队列布置溢出构造msg corrupt构造 MSG UAF泄露msg 地址 1泄露msg 地址 2msg UAFDirty Pipe初始化pipe篡改flag/ops 进行Dirty Pipe成功案例参考 简介 背景 对于内核溢出的利用手段还是比较多的,在以前常规的堆类漏洞利用方法,通常是想办法
Linux x86 漏洞利用-整数溢出
z190814412的博客
01-08 928
整数溢出 什么是整数溢出? 存储大于支持的最大值的值称为整数溢出。整数溢出本身不会导致任意代码执行,但整数溢出可能导致堆栈溢出或堆溢出,这可能导致任意代码执行。 数据类型大小及其范围: Data Type Size Unsigned Range Signed Range char 1 0 to 255 -128 to 127 short 2 0 to 65535 -32768 ...
Linux漏洞分析入门笔记-CVE_2018_6323_整型溢出
weixin_30795127的博客
12-25 237
操作系统 Ubuntu 16.04 /32 位 调试器 IDA pro 7.0 漏洞软件 binutils-2.29.1 0x00: 漏洞描述 1.什么是整数溢出: 在计算机,整数分为无符号整数以及有符号整数两种。其有符号整数会在最高位用0表示正数,用1表示负数,而无符号整数则没有这种限制。另外,我们常见的整数类型有8位(单字节字符、布尔类型)、16位(短整型)、32...
arm-elf-tools-20040427.rar_arm elf _arm-elf_arm-elf-tools linux_
09-22
linux和arm开发板编译环境建立,只要在linux上安装这个文件即可
ARM学习报告-3,bios源码分析.rar_ARM Linux_ARM-elf-PDF_BIOS 源码_Linux ARM7_
09-23
arm7 bios源码分析
setup-arm-elf-tools-20040427.rar_arm elf _arm-elf-tools_arm_elf_
09-14
讲述如何安装ARM-LINUX的交叉编译环境,里面有一些注意事项,可以帮你减少弯路
gcc-linaro-7.3.1-2018.05-x86_64_aarch64-linux-gnu.tar.xz
11-05
用于交叉编译linux内核 请自行解压 7z格式 适用于jetson板子gcc-linaro-7.3.1-2018.05-x86_64_aarch64-linux-gnu.tar.xz
信息安全快讯丨生日快乐,我的国
featherli2016的博客
09-29 606
  政府举措 个人信息保护将立法 关键词:个人信息保护 近日,国人大网公布了《十三届全国人大常委会立法规划》,69件法律草案列入第一类项目。其,个人信息保护法是第一类项目的第61个项目,也就是即条件比较成熟、任期内拟提请审议,这也这意味着个人信息保护将迎来专门立法。 在互联网时代,相信每个人都会或多或少的遇到莫名其妙的电话骚扰或者垃圾短信,一些黑色产业已经瞄准了个人信息,将...
CVE-2018-2894 本地复现
atw63792的博客
07-01 850
CVE-2018-2894 本地复现过程 名称: WebLogic反序列化远程命令执行漏洞 漏洞影响版本:10.3.6.0, 12.1.3.0, 12.2.1.2, 12.2.1.3 测试版本: 12.2.1.3.0 我测试的版本是 12.2.1.3.0 webkogic版本.png 1.配置访问目录 访问http://localhost:700...
Gitlab远程代码执行漏洞复现CVE-2018-14364
YouthBelief的博客
11-12 2534
Gitlab远程代码执行漏洞复现CVE-2018-14364Gitlab远程代码执行漏洞复现CVE-2018-143640x01 漏洞描述0x02 影响范围0x03 漏洞复现0x04 漏洞修复复现失败的常见问题解答 Gitlab远程代码执行漏洞复现CVE-2018-14364 0x01 漏洞描述 import_upload_path将未过滤的参数params[:path]添加到gitlab上传目录,导致存在目录遍历,此外由于文件内容没有限制,最终导致任意内容写入任意文件。 由于默认gitlab创建并启动了g
ELF文件的加载过程(load_elf_binary函数详解)--Linux进程的管理与调度(十三)
热门推荐
OSKernelLAB(gatieme)
06-10 3万+
日期 内核版本 架构 作者 GitHub CSDN 2016-06-04 Linux-4.6 X86 & arm gatieme LinuxDeviceDrivers Linux进程管理与调度-之-进程的描述 加载和动态链接从编译/链接和运行的角度看,应用程序和库程序的连接有两种方式。 一种是固定的、静态的连接,就是把需要用到的库函数的目标代码(二进制)代
Git任意代码执行漏洞检测与修复(CVE-2018-11235)
weixin_34018202的博客
06-01 617
检测漏洞方法 检测漏洞有两种方法: 1.通过查看git客户端版本 git --version 如果版本低于2.13.7肯定存在漏洞如果版本高于2.13.7请比对下面的版本 版本2.13.x,小于2.13.7则存在漏洞版本2.14.x ,小于 2.14.4则存在漏洞版本2.15.x,小于 2.15.2则存在漏洞版本2.16.x,小于 2.16.4则存在漏洞版本2.17.x,小于 2.17.1则存在漏...
关于Kubernetes Dashboard漏洞CVE-2018-18264的修复公告
weixin_33806300的博客
01-08 421
阿里云容器服务Kubernetes 已修复Dashboard漏洞CVE-2018-18264,本文介绍该漏洞的影响版本及解决方法。阿里云容器服务Kubernetes内建的Kubernetes Dashboard是托管形态且已进行过安全增强,不受此漏洞影响。 背景信息 Kubernetes社区发现Kubernetes Dashboard安全漏洞CVE-20...
linux程序的命令行参数
Netfilter
02-09 5116
程序执行的时候需要命令行参数,linux更是这样,随便在shell输入/bin/XX --help后列举出来的参数让你头晕眼花,可是这些参数是怎么进入程序的呢,我们知道程序执行的时候一般从main开始,而mian有两个参数,一个是 argc代表参数的个数,一个是argv代表具体字符串类型的参数,这是我们所看到的,我们都知道函数的参数都在堆栈,在调用函数前,主调函数应该将参数压入堆栈后再调用被调
曲速未来揭示 :新的CVE-2018-8373在野外发现漏洞利用
WarpFuture的博客
09-26 1042
区块链安全咨询公司 曲速未来 消息:在9月18日,也就是在Trend Micro研究人员发布分析UAF漏洞CVE-2018-8373的文章后一个月,又发现了一个影响VBScript引擎的新版Windows版本的免费使用(UAF)漏洞CVE-2018-8373的细节,然后发现了另一个漏洞,也是在野外使用相同的漏洞。请注意,此漏洞利用程序不适用于具有更新的Internet Explorer版本的系统。...
CVE-2018-8420 漏洞复现
andiao1218的博客
12-21 825
影响的 Windows 版本: Microsoft Windows 10 Version 1607 for 32-bit SystemsMicrosoft Windows 10 Version 1607 for x64-based SystemsMicrosoft Windows 10 Version 1803 for 32-bit SystemsMicrosoft Windows 1...
gcc-linaro-aarch64-none-elf-4.9-2014.07_linux
最新发布
10-22
gcc-linaro-aarch64-none-elf-4.9-2014.07_linux是一个适用于aarch64架构的GNU编译器套件。它是由Linaro组织开发和维护的。该编译器套件是专门为嵌入式设备和嵌入式Linux系统而设计的。 aarch64是一种基于ARM架构的64位处理器指令集。gcc-linaro-aarch64-none-elf-4.9-2014.07_linux提供了针对aarch64架构的交叉编译功能,使开发人员能够在x86平台上开发和编译针对aarch64架构的应用程序。 该编译器套件在功能和性能上进行了优化,可生成高效和优化的机器代码。它支持C、C++和Fortran等多种编程语言,并提供了多种优化选项,使开发人员能够根据应用程序的需求进行选择。 此外,gcc-linaro-aarch64-none-elf-4.9-2014.07_linux还包括各种工具,如调试器和分析器,以帮助开发人员进行调试和分析。它还提供了一套标准库和头文件,用于支持基本的功能和操作系统接口。 总而言之,gcc-linaro-aarch64-none-elf-4.9-2014.07_linux是一个针对aarch64架构的优化编译器套件,旨在帮助开发人员开发和编译高效、优化的应用程序,并提供了一系列工具和库来支持开发过程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值