linux3.13.0内核溢出漏洞exp,Linux Kernel Pwn 学习笔记(栈溢出)

最新推荐文章于 2023-01-28 21:24:59 发布
最新推荐文章于 2023-01-28 21:24:59 发布
阅读量458 收藏
点赞数
文章标签: linux3.13.0内核溢出漏洞exp

0x01 背景

栈溢出是最基本的一个漏洞,学习 pwn 从栈溢出开始学习是比较简单的入门方式。之前也研究过 linux 内核,但因为种种原因不得不放弃。现在跟着安卓版主学习了几天linux内核漏洞,收获了不少知识,开始自己梳理和分享自己的笔记,特此感谢版主老师的教导

0x02 内核基本知识

Canary: 是防止栈溢出的保护,一般在 ebp-0x8 的位置,学习 linux pwn 的基本知识,不细讲

KASLR:地址随机化,类似 ASLR

SMAP:内核保护机制,内核态不可使用用户态的数据

SMEP:内核保护机制,内核态不可执行用户的代码

commit_creds(prepare_kernel_cred(0)) :获得 root权限功能函数

file_opertion : Linux使用file_operations结构访问驱动程序的函数,这个结构的每一个成员的名字都对应着一个调用ioctl系统调用来控制设备

获取基址

vmlinux_base: 内核加载基址,有了这个可以绕过 kaslr 实现内核的其他函数

获取方式:head /proc/kallsyms 1,startup对应的地址就是基址

970c4a27f2e889c385455d247559c7df.png

core_base:驱动加载基地址

查看基地址方式

cat /proc/modules

cat /proc/devices

cat /proc/kallsyms

lsmod

dmesg

25696ed79f7ff8a9824c8e8f5e13b02f.png

0x03 分析代码

题目:2018 强网杯CTF pwncore

保护机制

从checksec我们可以知道开启canary和nx enable

d49558bc1469d8a4b32e008d2417c23e.png

在start.sh可以看到内核没有开启smep和smap,但开启kaslr

5fa0ae842beb2e8514c62adc8d7cf9bd.png

程序逻辑

ioctl

首先是ioctl,通过ioctl可以实现core_read和修改off和core_core_func三个功能,我们可以控制ioctl的三个参数,就是

最低0.47元/天 解锁文章
higf12586
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统设计-linux kernel 3.13.0 研究学习 &
01-10
Linux系统在科学计算、数据分析和机器学习等领域也有广泛应用。许多知名的科学计算软件都在Linux上开发和运行,Linux系统在各个领域都有广泛的应用,其强大的功能和灵活性使得它成为许多产品和服务的基础架构。
云尘靶场-Tr0ll-vulhub
最新发布
m0_64180167的博客
11-07 132
直接fscan扫描发现这里有一个ftp我们等等看 首先去nmap扫描端口ftp ssh 和80然后我们继续继续目录扫描 dirb出来没什么用处 所以我们继续去看 流量包。
Kernel pwn 基础教学之 Kernel ROP
蚁景网安学院
01-28 2506
点击"蓝字"关注,获取更多技术内容!前言Kernel ROP本质上还是构造ropchain来控制程序流程完成提权,不过相较于用户态来说还是有了一些变化,这里选取的例题是2018年强网杯的赛...
linux内核rop姿势详解,linux kernel rop
weixin_36137385的博客
05-02 403
Introduction学习 liunx 内核漏洞利用 rop 技术,练习一下内核 rop 链的构造到执行来完成普通用户权限提升。在一般的 ret2usr 攻击中,内核的控制流会被重定向到用户空间中包含权限提升代码的地址处:void __attribute__((regparm(3))) payload() {commit_creds(prepare_kernel_cred(0);}执行上面的代码...
PWN2OWN 2017 Linux 内核提权漏洞分析
omnispace的博客
05-17 2382
0.前言 在2017年PWN2OWN大赛中,长亭安全研究实验室(Chaitin Security Research Lab)成功演示了Ubuntu 16.10 Desktop的本地提权。本次攻击主要利用了linux内核IPSEC框架(自linux2.6开始支持)中的一个内存越界漏洞,CVE编号为CVE-2017-7184。 众所周知,Linux的应用范围甚广,我们经常使用的Androi
linux kernel pwn学习之堆漏洞利用+bypass smap、smep
seaaseesa的博客
03-01 4973
Linux kernel Heap exploit Linux内核使用的是slab/slub分配器,与glibc下的ptmalloc有许多类似的地方。比如kfree后,原来的用户数据区的前8字节会有指向下一个空闲块的指针。如果用户请求的大小在空闲的堆块里有满足要求的,则直接取出。 通过调试,可以发现,被释放的堆的数据域前8字节正好指向下一个空闲堆的数据域 与glibc下的ptmalloc...
“360随身WiFi2” linux驱动 MT7601U linux内核版本3.13.0
01-21
Linux内核版本3.13.0-32-generic是Ubuntu 14.04的一个更新版本,属于3.13系列。在Linux环境下,硬件驱动通常需要与内核版本匹配才能正常工作。描述中的关键信息是“已经修改过common/rtusb_dev_id.c文件”,这表明...
linux-3.13.0:linux kernel 3.13.0研究与电子科技大学李林《 Linux操作系统内核技术》课程PPT
03-11
Linux 3.13.0内核学习笔记本仓库内容《 Linux操作系统内核技术》上课笔记Linux操作系统内核技术》 PPT分享Something I hope you know before go into the coding~First, please watch or star this repo, I'll be...
mpss-modules:适用于Linux 3.13.0的Intel MPSS模块Ubuntu 14.04
05-11
已修补该源代码以与Linux Kernel 3.13.0一起使用,仅在Ubuntu 14.04上进行了测试,但由于Kernel版本为3.13.0(未在较新的内核版本上进行测试),因此该源可以在任何发行版上运行。 要求 在构建内核模块之前,请确保...
arm linux利用alsa驱动并使用usb音频设备
09-15
在ARM Linux3.13.0内核版本中,ALSA提供了对各种音频设备的支持,包括USB音频设备。ALSA是Linux内核音频子系统的用户空间接口,它为应用程序提供了一套标准的API,使得开发者可以方便地控制音频设备。 二、准备...
【二进制漏洞pwn简单分析】
qq_21119415的博客
01-28 395
输入,这里没有限制用户输入典型的栈溢出漏洞,并且传入变量为&S,因此这里需要输入多个字符串,覆盖掉返回地址。第五步:查找敏感函数,在fun函数里面,执行bin/sh,这里要明白汇编命令,push是压栈,即开始位置,它的起始地址是401168。此处双击&s来定位本漏洞最核心位置,main函数的堆栈地址区域,数一数从输入到执行结束一共需要多少个字节,即多少行,十五行。1,打开main函数,查看逻辑和运行时候的文字(此处需要读取汇编语 言)覆盖到后门位置,即backdoor,然后寻找后门的地址,
Linux kernel 攻击 入门
Mira_Hu的博客
02-13 334
基础知识 kernel 介绍 kernel 是现代操作系统最基本的部分,主要功能有两点: 控制I/O并与硬件进行交互 提供 application 能运行的环境 包括 I/O,权限控制,系统调用,进程管理,内存管理等多项功能都可以归结到上边两点中。 intel CPU 将 CPU 的特权级别分为 4 个级别:Ring 0, Ring 1, Ring 2, Ring 3。 Ring0 只给 OS...
kernel ROP
qq_46441427的博客
11-07 774
之前有一个点,root权限时的gid和uid为0 内核态提权到root,一般就是执行commit_creds(prepare_kernel_cred(0));这两个函数原理就是分配一个新的cred结构,uid = 0,gid = 0。此时就是root权限 输入cat /proc/kallsyms可以查看他们的地址commit_creds和prepare_kernel_cred(0)都是内核函数 现在看一下2018年qwb的core,回顾一下之前的 start.sh:启动脚本,标明了启动的方法,保护措施
linux ubuntu 3.13.0-24-generic,Canonical因系统安全为所有Ubuntu版本提供内核更新
weixin_36121284的博客
05-15 424
这是Canonical为Ubuntu用户提供的最大范围的内核安全更新。主要解决一些安全问题:允许非特权用户导致拒绝服务系统获得Root用户访问权。Canonical已经为几乎所有Ubuntu系统提供内核更新,这些系统包括:Ubuntu 14.04 Trusty Tahr、Ubuntu 13.10 Saucy Salamander、Ubuntu 12.10 Quantal Quetzal、Ubunt...
linux内核栈溢出,【Linux内核漏洞利用】2018强网杯core_栈溢出
weixin_34329874的博客
05-01 368
一.linux内核漏洞利用预备知识1.介绍(1)ioctl :用于与设备通信。int ioctl(int fd, unsigned long request, ...) 的第一个参数为打开设备 (open) 返回的 文件描述符,第二个参数为用户程序对设备的控制命令,再后边的参数则是一些补充参数,与设备有关。(2)struct cred:kernel 记录了进程的权限,更具体的,是用 cred 结构...
linux smb 漏洞_[原创]Linux cve-2017-7494samba远程漏洞利用和分析
weixin_42520661的博客
01-13 435
漏洞背景:Samba是在Linux和UNIX系统上实现SMB协议的一个软件,2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞漏洞编号CVE-2017-7494,漏洞影响了Samba3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本,,确认属于严重漏洞,可以造成远程代码执行。环境搭建:靶机环境 : Li...
linux3.13.0内核溢出漏洞exp,Linux Kernel 'exitcode_proc_write()'函数本地缓冲区溢出漏洞(CVE-2013-4512)...
weixin_32657751的博客
05-06 200
发布日期:2013-11-04更新日期:2013-11-07受影响系统:Linux kernel 3.xLinux kernel 2.6.x描述:--------------------------------------------------------------------------------BUGTRAQ ID: 63510CVE(CAN) ID: CVE-2013-4512Lin...
Linux本地提权漏洞复现与检测思路
weixin_46137328的博客
10-15 1829
我做的是linux本地提权漏洞的复现。但本地提权漏洞并不像其他web漏洞一样,可以直接pull一个docker镜像就ok了,提权的洞复杂在于配置环境,基本都是在虚拟机里复现,一个镜像的大...
linux内核exp,简单的linux提权收集的N多linux内核exp
weixin_30140317的博客
05-08 219
这是简单的linux提权收集的N多linux内核exp下载,创建一个表, Linux低权限提权 反弹试试 tmp里创建好文件,就可以利用这个函数执行命令,准备提权.先看下linux内核 uname -a 2.6.18-194.11.3.el5 内核 2010的,我们是要来做其他的事情。软件介绍简单的linux提权收集的N多linux内核exp是按照上面的方法,可能报错会显示出来,估计修改过了 试着...
Linux设备驱动指导
12-22
"Linux设备驱动开发教程,主要针对Ubuntu 14.04 32位系统,内核版本3.13.0-32-generic。教程介绍了如何构建内核源码树,以及编写和编译Hello World驱动程序的基础步骤。" 在Linux操作系统中,设备驱动是连接硬件和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值