linux内核中atoi,[翻译]CVE-2016-6187 Exploiting Linux kernel heap off-by-one 利用堆大小差一错误爆破Linux内核(中)...

最新推荐文章于 2022-05-03 12:51:11 发布
最新推荐文章于 2022-05-03 12:51:11 发布
阅读量357 收藏
点赞数
文章标签: linux内核中atoi

CVE-2016-6187 Exploiting Linux kernel heap off-by-one 利用堆大小差一错误爆破Linux内核(上)

Exploitation(漏洞利用)

利用该漏洞的一个优势是我们能控制目标对象的大小(args对象大小由用户决定)。为了利用该漏洞,对象大小应该被设置为缓存大小中的一个(如8,16,32,64,96等)。本文不会详细介绍SLUB分配器如何工作(linux默认内核内存分配器),我们所需要知道的是为了提高效率分配器会预先分配大量相同尺寸的对象。slab是在缓存上包含同样大小对象主要的页。自由对象在偏移地址0(默认)处有一个“next free”的指针指向slab的下一个自由对象。

我们的方案是在同样的一个slab放置我们脆弱的对象(A)邻近一个自由对象(B),然后清除对象B的“next free”指针的least-significant字节。当两个新对象在同样的slab上被分配,最后的对象将会被分配在靠着“next free”指针的对象A和/或者对象B。

6412125d5952e6ec4b3133666c86a957.png

上文情境(重叠A和B对象)是仅仅可能结局之一。目标对象“变化”的值是一个字节(0-255)并且最终目标对象的位置会依靠在原始的“next free”指针的值和对象大小。

假设目标对象会与对象A和B重叠,我们想要控制这些对象的内容。

在一个高等级,漏洞利用程序如下:

1.在同样的slab上在邻近对象B处放置脆弱对象A

2.重写B中的“next free”指针的least-significant字节

3.在同样的slab分配两个新对象:第一个对象将会被放在B处,并且第二个对象将会替代我的目标对象C

4.如果我们控制对象A和B的内容,我们可以强制对象C被分配在用户空间

5.假设对象C有一个能从其他地方触发函数指针,在用户空间或者可能的一个ROP链(绕过SMEP)中设置这个指针为我们的权利提升的payload。

为了执行步骤1-3,连续的对象分配能够取得使用一个标准的堆耗尽技术。

接下来,我们需要选择正确的对象的大小。对象比128字节更大(例如,申请缓存256,512,1024个字节)的话就不会在这里起作用。(原因在于我们只能重写一个字节,想清楚这点很关键)让我们假设起始的slab地址是0x1000(标记slab的起始地址是与页大小一致的并且连续对象分配是相连的)。接下来的C程序列出了被给定对象大小的一个单页的分配:// page_align.c

#include

int main(int argc, char **argv) {

int i;

void *page_begin = 0x1000;

for (i = 0; i 

printf("%p\n", page_begin + i);

}

因为这些对象是256个字节(或>128并<=256字节),我们接下来匹配模式:vnik@ubuntu:~$ ./align 256

0x1000

0x1100

0x1200

0x1300

0x1400

0x1500

0x1600

0x1700

0x1800

...

在slab所有配置的最低有效位为0并且重写邻近的自由对象的“next free”指针为null会没有效果:

bc9f0a51a4723eb04d4b288cf2b92930.png

因为128字节缓存,这里有两种可能选项:vnik@ubuntu:~$ ./align 128

0x1000

0x1080

0x1100

0x1180

0x1200

0x1280

0x1300

0x1380

0x1400

...

abc812a39741a63b7f8a5d5365dd6fa4.png

第一个选项相似于之上的256字节例子(“next free”指针的最低有效位字节已经为0)。第二个选项很有趣,因为重写“next free”指针的最低有效位字节会指向自由对象本身。分配一些8个字节大小的对象(A)到一些(确定的)用户空间内存地址,其次是目标对象(B)的分配会在用户空间用户控制的内存地址放置对象B。这可能是在可靠性和易于利用两者间中的最好的选项。

1.这有一个50/50成功机会。如果它是第一选项,没有崩溃,我们可以再试一次

2.找到一个有一些用户空间地址的对象(首8个字节)将被放置在kmalloc-128 缓存并不难。

尽管这是最好的方法,我决定将所有96字节对象和用msgsnd() 堆耗尽/喷涂粘合起来。主要(仅有)的理由是因为已经发现了一个我想要使用的96字节的目标对象了。感谢Thomas Pollet帮助找到合适的堆对象并且在运行时用gdb/python自动化处理这个乏味的过程!

然而,显然使用96字节对象有下降趋势;一个主要的原因是利用的可靠性。一个耗尽slab(如填充满slab部分)的主意就是48字节对象的标准msgget() 技术(其他48字节被用来作为消息头)。这也将用作一个堆喷涂因为我们控制了msg对象的一半(48字节)。我们也控制脆弱对象的内容(数据从用户空间被写到/proc/self/attr/current)。如果目标对象分配以便首8个字节被我们的数据所覆盖,然后漏洞利用将会成功。在另一方面,如果这8个字节用msg头(我们没有控制的)来覆盖,这会导致一个页面错误但是内核可能会被它自身恢复。基于我的分析,这里有两个例子,在这“next free”指针会用先前分配的随机msg头覆盖。

这里是有一些技巧来提高漏洞利用的可靠性。

未完待续……

-----------------------------------

译者:rodster

校对:song

原文作者:Vitaly Nikolenko

微信公众号:看雪iOS安全小组 我们的微博:http://weibo.com/pediyiosteam

我们的知乎:http://zhihu.com/people/pediyiosteam

加入我们:看雪iOS安全小组成员募集中:http://bbs.pediy.com/showthread.php?t=212949

[看雪iOS安全小组]置顶向导集合贴:

邵苏
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux C 最新库函数手册-强烈推荐
10-25
Linux C 最新库函数手册是一本非常实用的资源,它为C语言编程者在Linux环境下提供了详尽的库函数参考。这份手册包含了丰富的信息,帮助开发者深入理解和使用各种C库函数,提高编程效率和代码质量。.chm文件是...
Linux-Socket-服务器编程实例.pptx
最新发布
06-07
Linux Socket服务器端编程实例 例:建立一个Linux TCP服务器,等待客户端的连接请求,一旦接收到客户端请求,将客户端的IP地址和端口号打印出来,并且向客户端发送"Hello!Socket communication world!"字符串,然后...
Linux内核atoi,itoa等函数
听说读写
06-23 4571
对于普通应用程序,可以通过包含头文件stdlib.h和stdio.h,string.h等,然后调用需要的itoa(),atoi()等函数,但是对于Linux内核来说,无法使用那些C库的函数。对此Linux内核里有了相应的实现:对于atoi()用simple_strtol() ,simple_strtoul()等函数替代;对于itoa(),用snprintf()。其他相关函数,自己
linux内核atoi,linux atoi
weixin_39796855的博客
04-29 124
Angular2 指令1. 指令说明 Angular2 指令是构成Angular2应用程序的重要组成部分,指令主要用来对模板的标签或者元素附加一些新的特性或者功能,改变一个 DOM 元素的外观或行为,Angular2指 ...QT 网络编程#include "networkinformation.h" #include "ui_networkinformation.h" networkinform...
Linux内核atoi和itoa
Yumin's Blog
08-19 493
对于atoi()用simple_strtol() ,simple_strtoul()等函数替代; 对于itoa(),用snprintf()。 参考:http://blog.chinaunix.net/uid-26377382-id-4849927.html
Linux (x86) Exploit 开发系列教程之三(Off-By-One 漏洞 (基于栈))
weixin_30895603的博客
07-31 103
off by one(栈)?将源字符串复制到目标缓冲区可能会导致off by one1、源字符串长度等于目标缓冲区长度。当源字符串长度等于目标缓冲区长度时,单个NULL字节将被复制到目标缓冲区上方。这里由于目标缓冲区位于,所以单个NULL字节可以覆盖存储在的调用者的EBP的最低有效位(LSB),这可能导致任意的代码执行。实例代码test1.c:#include<stdio.h&g...
linux-c-man.rar_linux man
09-23
这份名为"linux-c-man.rar_linux man"的压缩包文件提供了一份全面的Linux C函数库参考手册,对于理解和使用Linux系统的C语言编程具有极大的帮助。 Linux Man页面(Manual pages)是Linux系统为命令、系统调用、...
Go-一个Golang的类型转换工具
08-14
Go语言,也称为Golang,是由Google开发的一种静态类型的编程语言,它强调简洁、高效和可移植性。在Go语言,类型系统是其强项之一,但有时处理不同类型之间的转换可能会变得复杂。针对这个问题,"Go-一个Golang的...
2.2.6循环结构程序设计---循环结构程序设计2.2(1).ppt
07-09
循环结构程序设计是编程语言的一个基本概念,它允许程序员重复执行某些操作,以达到特定的目的。在本节,我们将讨论while循环和for循环的使用,包括它们的语法、示例代码和应用场景。 while循环是一种常用的...
Linux C之atoi()函数
yueyaquanBoy的专栏
04-07 3073
1.首先man下 ATOI(3)       Linux Programmer's Manual                   ATOI(3) NAME  atoi, atol,atoll, atoq - convert a string to an integer SYNOPSIS #include   int atoi(const char *nptr); long
linux调大heap大小,CVE-2016-6187 Exploiting Linux kernel heap off-by-one 利用大小差一错误爆破L......
weixin_29613859的博客
05-03 188
12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152static ssize_t proc_pid_attr_write(struct file * file, const char __user * buf,size_t count, loff_t *ppos...
【bsauce读论文】 Playing for K(H)eaps: Understanding and Improving Linux Kernel Exploit Reliability
panhewu9919的博客
05-03 1839
1. 简介 主要内容:分析现有的 exploitation stabilization 技术,回答以下问题:(1)野外最常用的利用稳定技术是什么?(2)漏洞专家对这些技术的观点是什么,是否正确?(3)利用稳定技术有效或无效的原因是什么?(4)如何提升内核利用的可靠性? 作者最后提出了名为 Context Conservation 的新技术,来提升UAF/DF 漏洞利用的稳定性,实验结果表明,稳定性平均提升了14.87%;如果和现有的利用稳定技术相结合,稳定性平均提升 125.53%。 实验过程:采访了11
atoi陷阱
csdn-gs
11-08 971
字符串转换为数字,小心陷阱。 最常用的就是atoi函数,那么在Linux下执行下面函数 char *str = "123456789123456789123456789" atoi(str); 得到什么结果,肯定不是123456789123456789123456789!那么问题来了。 atoi 在Windows下使用,没什么问题。但是一移植到Linux下,问题就出来了,发现得到
atoi源代码的溢出问题,自己写了个程序 可以防止溢出 让atoi限制在0-65535
mokart的博客
03-20 826
atoi源代码的溢出问题,自己写了个程序 可以防止溢出 让atoi限制在0-65535,当然改一下也可以限制在INT_MAX和INT_MIN之间。  写在这里是为了以后用到的话没地方找,或者给一些需要的朋友参考。本人水平有限,不足之处请指出 下面贴上代码 #include #include #include #include int myatoi(co
atoi()函数解析以及缺陷分析,以及对atoi()、atof()的改造
热门推荐
努力的小白马
03-17 1万+
1、atoi()解析 atoi()原型: int atoi(const char *str ); 函数功能:把字符串转换成整型数。 参数str:要进行转换的字符串 返回值:每个函数返回 int 值,此值由将输入字符作为数字解析而生成。 如果该输入无法转换为该类型的值,则atoi的返回值为 0。 工作原理:atoi通过全局变量来区分返回0的情况。 如果是非法输入,返回0,并把这个全局变量设为特殊标志; 如果输入是”0”,则返回0,不会设置全局变量。 注意:使用该函数时要注意atoi返回的是int类型,注意输
【C语言】容易遗漏的atoi
码农印象
03-19 656
atoi难就难在很少有人能考虑到它所涉及的各个方面,因此觉得有必要写一篇文章来详细阐述一下令不少程序猿遗憾的atoi。 函数原型 【头文件】#include <stdlib.h> 【函数原型】atoi() 函数用来将字符串转换成整数(int),其原型为int atoi (const char * str); 【函数说明】atoi() 函数会扫描参数 str 字符串,跳过前面的空白字符(...
Linux Kernel Exploit 内核漏洞学习(2)-ROP
钞sir的博客
08-05 1万+
简介 ROP的全称为Return-oriented Programming,主要思想是在栈缓冲区溢出的基础上,利用程序已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程;这种攻击方法在用户态的条件运用的比较多,ret2shellcode,ret2libc,ret2text等ret2系列都利用到了ROP的思想,当然这种攻击手法在内核态同样是有用的,并且手法都基...
Linux Kernel Exploit 内核漏洞学习(5)-整数溢出
钞sir的博客
11-05 1万+
Linux Kernel Exploit 内核漏洞学习(5)-整数溢出 前言 在计算机语言整数类型都有一个宽度,我们常见的整数类型有8位(单字节字符、布尔类型)、16位(短整型)、32位(长整型)等,也就是说,一个整数类型有一个最大值和一个最小值;如歌把一个数据放入了比它本身小的存储空间,从而出现了溢出;而通常一个数据的溢出,往往影响的是一个或者栈的申请,最终导致或栈的溢出… 我这里是通过...
c++实现 linux 命令 pmap [-x -X] 的功能
05-30
可以使用 C++ 的文件流和字符串处理库来实现 pmap 命令的功能。具体实现步骤如下: 1. 打开 /proc/[pid]/maps 文件,其 pid 为进程号,该文件记录了进程的内存映射情况。 2. 逐行读取文件内容,使用字符串分割...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值