linux内核提取ret2usr,CVE-2017-8890 Linux内核提权 ret2usr

最新推荐文章于 2022-07-01 09:20:08 发布
最新推荐文章于 2022-07-01 09:20:08 发布
阅读量148 收藏
点赞数
文章标签: linux内核提取ret2usr

最近一段时间在研究linux kernel的漏洞利用,我们以CVE-2017-8890为例探索了linux kernel的提权过程.

0x00 测试环境

linux kernel 版本:4.10.6  x86_64

调试环境:qemu + linux kernel + busybox + gdb

kernel 防护机制: no smep, no smap,no KASLR

主机:Ubuntu 16.04

测试环境我们使用qemu运行linux kernel + busybox的最小化系统,并在Ubuntu主机上通过gdb远程调试linux kernel,十分便捷。同时,我们为了方便,关闭了内核的SMEP/SMAP、KASLR防护机制。

0x01 漏洞原理

CVE-2017-8890是启明星辰ADLab去年披露的linux kernel double free漏洞,取名Phoenix Talon,可影响几乎所有Linux kernel 2.5.69 ~ Linux kernel 4.11的内核版本、对应的发行版本以及相关国产系统。我们简单介绍下该漏洞的原理。

我们在socket编程中服务端创建socket时会在内核创建一个inet_sock结构体, 暂时称其为sock1:

struct inet_sock {

/* sk and pinet6 has to be the first two members of inet_sock */

struct sock     sk;

........

__be32          inet_saddr;

__s16           uc_ttl;

__u16           cmsg_flags;

__be16          inet_sport;

__u16           inet_id;

..........

__be32          mc_addr;

struct ip_mc_socklist __rcu *mc_list;

struct inet_cork_full   cork;

};

当服务端调用accept函数接收外来连接的时候会创建一个新的inet_sock结构体, 称为sock2。sock2对象会从sock1对象复制一份ip_mc_socklist指针,其结构体如下:

struct ip_mc_socklist {

struct ip_mc_socklist __rcu *next_rcu;

struct ip_mreqn     multi;

unsigned int        sfmode;     /* MCAST_{INCLUDE,EXCLUDE} */

struct ip_sf_socklist __rcu *sflist;

struct rcu_head     rcu;

};

此时在内核中存在两个不同inet_sock对象,但它们的mc_list指针却指向同一个ip_mc_socklist对象。此后,当服务端close socket的时候,内核会free对应的inet_sock对象sock1,并同时释放mc_list指针指向的那个ip_mc_socklist对象。但是服务端在关闭accept创建的inet_sock对象sock2时,会再次释放同一个mc_list对象,造成double free漏洞。

该漏洞的原理比较简单,就是在复制对象的时候将指针也一同复制了一份,造成两个指针指向同一对象。因此,漏洞修复也比较简单,直接在复制对象的时候将mc_list指针置为NULL即可。

秦问wh
关注
取自开源,分享于开源 —— 利用CVE-2017-8890漏洞ROOT天猫魔屏A1
god
05-12 3974
本来对阿里的东西挺有好感的,没想到这么一个东西就一个开机广告问题把我的好感败光了。 入手的时候根本没有什么开机广告,使用三个月之后一次系统更新就出现了开机广告。感情升级就是生个开机广告?果断投诉。 可是又如何呢?最多只是把我提到的“开机广告音量大,吓死人,还不可调节音量”修改了,开机广告还是存在。 就算是入手四五个月还是比较新的,直接拆了,然后扔一边,搬家的时候就当垃圾扔了。 什么阿里! 突然翻到之前的记录,躺着也是躺着,就分享下。 ...
linux 内核漏洞,Linux内核漏洞CVE-2016-0728的分析与利用
weixin_42183486的博客
04-29 1593
介绍Perception Point研究团队已经在Linux操作系统的内核中发现了一个0 day漏洞,这是一个本地提权漏洞。这个漏洞从2012年开始就存在于Linux内核中了,但是我们的团队最近才发现了这个漏洞,并将漏洞的详细信息报告给了内核安全团队。在此之后,我们还发布了一个针对此漏洞的概念验证利用实例。截止至漏洞披露的那一天,这个漏洞已经影响了大约数千万的安装了Linux操作系统的个人计算机...
CVE-2017-8890- 8.x以下的root漏洞
04-04
CVE-2017-8890- 8.x以下的root漏洞
关于CVE-2017-8890的一点细节
weixin_33674976的博客
12-22 377
因为有很多分析这个漏洞的文章所以我不详细分析了,只是总结要注意的细节,抛砖引玉。感谢非常棒的几篇文章:https://www.freebuf.com/articles/t...
【kernel exploit】CVE-2017-8890 Phoenix Talon漏洞分析与利用
panhewu9919的博客
06-11 660
影响版本:Linux 2.5.69~4.10.15 详细影响版本 评分7.8,可能导致远程代码执行。隐藏11年,通过syzkaller挖到。 测试版本:Linux-4.10.15 测试环境下载地址 — https://github.com/bsauce/kernel_exploit_factory 编译选项:CONFIG_E1000=y和CONFIG_E1000E=y General setup —> Choose SLAB allocator (SLUB (Unqueued Allocator))
CVE-2016-10190 FFmpeg Http协议 heap buffer overflow漏洞分析及利用
axiejundong的博客
12-30 979
1. 背景FFmpeg是一个著名的处理音视频的开源项目,非常多的播放器、转码器以及视频网站都用到了 FFmpeg 作为内核或者是处理流媒体的工具。2016年末 paulcher 发现FFmpeg三个堆溢出漏洞分别为CVE-2016-10190、CVE-2016-10191以及CVE-2016-10192。本文对CVE-2016-10190进行了详细的分析,是一个学习如何利用堆溢出达到任意代码执行的一
CVE-2021-3156 漏洞复现笔记
weixin_46483787的博客
07-01 1万+
CVE-2021-3156复现笔记
CVE复现NO.00001】“脏牛”漏洞CVE-2016-5195复现及简要分析
arttnba3的博客
04-16 3950
CVE复现NO.00001】CVE-2016-5195复现及简要分析[github blog addr](https://arttnba3.cn/2021/04/08/NOTE-0X04-CVE-2016-5195/)0x00.一切开始之前一、写时复制机制(Copy-on-Write)basic COWmmap 与 COW二、缺页异常(page fault)分类①软性缺页异常(soft page fault)②硬性缺页异常(hard page fault)③无效缺页异常(invalid page faul
CVE-2017-8890漏洞分析与利用(Root Android 7.x)
omnispace的博客
02-04 2815
漏洞简介 cve.mitre.org 网站给出的信息如下: The inet_csk_clone_lock function in net/ipv4/inet_connection_sock.c in the Linux kernel through 4.10.15 allows attackers to cause a denial of service (double free
Linux内核漏洞Phoenix Talon 只有CVE-2017-8890可以远程DoS及RCE 绿盟科技发布安全威胁通告...
weixin_34236497的博客
09-01 193
Linux被爆潜藏11年的内核漏洞,绿盟科技发布《Linux 多个内核拒绝服务漏洞(CVE-2017-8890 CVE-2017-9075 CVE-2017-9076 CVE-2017-9077)安全威胁通告》。通告全文如下: Linux 多个内核拒绝服务漏洞 近日, 内核存在的多个拒绝服务漏洞被公布,涉及CVE-2017-8890CVE-2017-9...
cve
王嘟嘟的博客
01-10 815
cve编号 时间 备注 cve-2018-20680 2019-01-09 2018年末提交的现在才通过 CVE-2018-20520 2018-12-27 CVE-2018-20448 2018-12-25 cve-2018-20680 CVE-2018-20520 CVE-2018-20448 ...
linux内核提取ret2usr,kernel pwn(0):入门&ret2usr
weixin_29079643的博客
05-07 437
一、序言从栈、格式化串,再到堆,当这些基本的攻击面都过下来以后,对于劫持流程拿shell的过程就应该非常熟悉了,然而传统的exploit拿到的shell的权限并非最高的,而kernel pwn的核心目标就是拿到一个具有root权限的shell,其意义就在于提权。二、kernel pwn简介1.一般背景:内核pwn的背景一般都是Linux内核模块所出现的漏洞的利用。众所周知,Linux内核被设置成...
操作系统-用户态和内核态切换细节分析
qq1187239259的博客
10-13 690
1 前言 本文并非介绍当前使用的linux操作系统的用户态和内核态的切换细节,而是介绍ucore这个教学性质的系统,主要是为了说明用户态和内核态本质上到底是什么。 2 初始状态 操作系统在加电启动、完成各个部分的初始化之后,处于内核态,假设当前的栈顶指针寄存器的值为x,指向内存的某个位置,如图2.1所示。 3 内核态切换到用户态 #define T_SWITCH_TOU 120 // user/kernel switch ...
ucore_lab1实验报告
一斗水的专栏
03-07 1792
此篇是学习ucore操作系统lab1的实验报告,参考了很多资料和文章,也学到了不少。 先看要求: 为了实现lab1的目标,lab1提供了6个基本练习和1个扩展练习,要求完成实验报告。 对实验报告的要求: 基于markdown格式来完成,以文本方式为主。 填写各个基本练习中要求完成的报告内容 完成实验后,请分析ucore_lab中提供的参考答案,并请在实验报告中说明你的实现与参考答案的区别 列出你认为本实验中重要的知识点,以及与对应的OS原理中的知识点,并简要说明你对二者的含义,关系,差异等方面的理解(也可
一次实战 WIFI 渗透小米4A千兆路由器提权开 telnet
Suroy
02-22 7158
一次WIFI渗透小米4A千兆路由器提权开telnet 到朋友家里,手机信号太差了,于是想连个wifi网络。苦于没有Wi-Fi密码,于是这篇文章便有了着落。 1. 网络嗅探 打开手机 WIFI 发现周围的 WIFI 热点挺多的,用模拟器下载WIFI万能钥匙开始尝试连接 “免费热点” 即用户不小心泄露的Wi-Fi密码。几番下来,连上7、8个热点。 2. 挑选质量信号较好热点 随意挑选信号3格以上热点,使用测速软件 speedtest 进行网速测试,选取百兆网络热点。 3. 尝试登入路由器管理页面
【kernel exploit】CVE-2017-10661 链表漏洞与TOCTTOU——任意地址写
panhewu9919的博客
04-01 980
【kernel exploit】CVE-2017-10661 链表漏洞与TOCTTOU——任意地址写 影响版本:Linux 2.6.27~4.10.14 4.10.15已修补,通过syzkaller发现。 7.0分 测试版本:Linux-4.10.14 测试环境下载地址 编译选项: CONFIG_SLAB=y General setup —> Choose SLAB allocator (SLUB (Unqueued Allocator)) —> SLAB $ wget https:/
busybox启动默认以root用户登陆运行却没有root权限
lysysjw的专栏
05-27 7311
在以nfs根文件系统启动后发现虽然默认是以root用户登陆的,但是shell默认不是以root权限运行的,表现就是在终端中的command prompt显示的是"$"而不是"#",之前遇到过几次,但是没有深入探讨原因,只是粗暴的把所有文件的owner改成root,这次在buildroot中编译出来的文件系统又存在这个问题了,那么就看看具体原因吧. 在终端中输入"whoami"命令,输出是defa
ARM Linux内核启动深度解析:head-armv.S关键代码详解
本文将深入分析ARM Linux内核启动过程,重点关注arch/arm/kernel/head-armv.S文件,它是Linux内核的初始入口点。当Bootloader完成加载后,控制流首先会转向head-armv.S的第一个指令。这个文件在启动过程中与其他模块...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值