老表带你学Linux kernel pwn 入门(四)

最新推荐文章于 2023-03-24 15:29:28 发布
最新推荐文章于 2023-03-24 15:29:28 发布
阅读量855 收藏 2
点赞数
分类专栏: CTF 文章标签: 内核 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43889007/article/details/109646895
版权
本文是Linux kernel pwn系列的第四篇,讲解了如何利用内核态Use-After-Free (UAF)漏洞。内容包括ida中诡异变量的意义、目标驱动的逆向分析、内核堆块的申请与释放、漏洞分析以及exp的调试与编写。文中提到的堆喷射技术是利用漏洞的关键,并给出了参考资料。
摘要由CSDN通过智能技术生成

文章目录

写在前面

​ 本篇是老表带你学linux kernel pwn系列的第四篇,这里用到的题目是内核态uaf漏洞。

第一章 基础知识

1.1 ida中诡异变量的意义

https://www.dazhuanlan.com/2019/12/30/5e094e9beea31/

第二章 目标分析与准备

2.1 逆向分析baby.ko

分析目标驱动文件,首先从init_module()入手,然后分析主功能函数的逻辑。

2.1.1init_moudle()

注册了一个misc设备``,

__int64 init_module()
{
   
  _fentry__();
  return misc_register(&off_200);
}

2.1.2 ioctl驱动文件分析

ioctl函数特别长我们慢慢来梳理一下

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DVRujTtA-1605169406340)(C:\Users\Siamese\AppData\Roaming\Typora\typora-user-images\image-20201112144519051.png)]

  • ioctl的初始化部分

    __int64 __fastcall ioctl(__int64 fd, __int64 command)
{
     
  __int64 args1; // rdx
  __int64 info; // r13
  __int64 chunks; // rbx
  __int64 i; // rax
  __int64 can_use_id; // r12
  __int64 chunk_addr; // rax
  __int64 v9; // rdx
  __int64 edit_idx; // rax
  __int64 edit_chunk_ptr; // rsi
  __int64 v12; // rax
  __int64 idx; // rax
  __int64 free_chunk_ptr; // rdi

  _fentry__(fd, command);
  info = args1;
  chunks = kmem_cache_alloc_trace(kmalloc_caches[4], 0x6000C0LL, 16LL);
  copy_from_user(chunks, info, 16LL);

    看的时候顺手函数名、便令名做修改,方便进行后面的分析

    上来ioctl的给参数设备描述符*fd,运行命令0x6008之类的

    第18行,申请内核chunk

    第19行,把info也就是ioctl中传进来的第三个变量进行copy_from_user做个拷贝。

    传进来的大小16个字节。

  • 内核堆块释放部分

        case 0x6008:                                // free  函数
      idx = *(signed int *)(chunks + 8);
      if ( (unsigned int)idx <= 31 )
      {
        free_chunk_ptr = buf[idx];
        if ( free_chunk_ptr )
          kfree(free_chunk_ptr);
      }
      break;

    第2行,说明传进来的结构体offset8处表示对块的索引,变量类型为__int64.

    buf是一个全局的指针数组,用来存申请的内核指针。

    第3-9行,当前索引不超过31时,寻找buf中idx处的指针,如果不为空,就释放掉。

  • 函数调用功能部分

        case 0x6009:
      edit_idx = *(signed int *)(chunks + 8);
      if ( (unsigned int)edit_idx <= 31 )
      {
     
        edit_chunk_ptr = buf[edit_idx];
        if ( edit_chunk_ptr )
        {
     
          rax_value = *(_QWORD *)(edit_chunk_ptr + 64);
          _x86_indirect_thunk_rax(*(_QWORD *)(edit_chunk_ptr + 0x38), edit_chunk_ptr, 0x48LL);
        }
      }
      break;

    __x86_indirect_thunk_rax直接jmprax相当于系统调用直接call。

    1-12功能为:根据chunks的id定位buf数组中需要使用的内核堆块地址edit_chunk_ptr然后把offset为0x40出的值传给eax,然后执行call eax

  • 内核堆块申请部分

        case
最低0.47元/天 解锁文章
SiameseJuly
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux服务器slab缓存回收方案设计
木简熙的博客
09-14 346
如何通过内核驱动去释放服务器上slab内存
加载内核模块遇到的问题
baijiaao_sjtu的博客
12-16 1960
总结以下前一阵做的一个大作业(hack掉部分系统调用)遇到的各类问题 首先是加载内核模块时报错: Nov 26 19:42:05 baijiaao kernel: helloworld: Unknown symbol __x86_indirect_thunk_rax (err 0) Nov 26 19:59:46 baijiaao kernel: helloworld: disagrees ...
linux通用内核,Linux内核通用堆喷射技术详解
weixin_28982257的博客
04-29 426
简介这个内核堆喷射技术曾经在beVX研讨会期间进行过相应的演示,之后,还曾被用于内核IrDA子系统(Ubuntu 16.04)的0day攻击。与已知的堆喷射不同,该技术适用于非常小的对象(大小不超过8或16字节)或需要控制前N个字节的对象(即目标对象中没有不受控制的头部)。这种技术可以用来利用两个UAF内核漏洞,正如我在研讨会上提到的那样,“堆喷射”这个术语在利用UAF漏洞时并不适用,因为它通常不...
[kernel exploit] linux 内核常规堆溢出漏洞的“胜利方程式“
热门推荐
Breeze的博客
05-20 1万+
[kernel exploit] linux 内核常规堆溢出漏洞的"胜利方程式" 文章目录[kernel exploit] linux 内核常规堆溢出漏洞的"胜利方程式"简介背景前置条件与技术漏洞利用准备msg队列布置溢出构造msg corrupt构造 MSG UAF泄露msg 地址 1泄露msg 地址 2msg UAFDirty Pipe初始化pipe篡改flag/ops 进行Dirty Pipe成功案例参考 简介 背景 对于内核中堆溢出的利用手段还是比较多的,在以前常规的堆类漏洞利用方法中,通常是想办法
Linux RT 进程引发内核频繁卡死的优化方案
VE_Edge的博客
12-16 1394
近期,火山引擎边缘计算在支持某大客户上云过程中,遇到自定义 Linux 镜像虚机频繁卡死的现象,通过主机监控发现客户虚机内部某个 Cpu 长期 100%,并且虚机 ping 时通时不通,通过 VNC 也无法登录,本文尝试从技术的角度记录问题排查和解决的过程,规避使用 RT 进程可能来的“坑”。
老表Linux kernel pwn 入门(三)
weixin_43889007的博客
11-12 487
double fetch 条件竞争
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\栈溢出基础\格式化字符串漏洞等
02-linux pwn入门习到放弃.pdf
09-20
02-linux pwn入门习到放弃.pdf
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
linux kernel 4.4.1 uaf提权漏洞,条件竞争在Kernel提权中的应用
weixin_30366435的博客
05-17 392
Double-Fetch漏洞简介随着多核CPU硬件的普及,并行程序被越来越广泛地使用,尤其是在操作系统、实时系统等领域。然而并行程序将会引入并发错误,例如多个线程都将访问一个共享的内存地址。如果其中一个恶意线程修改了该共享内存,则会导致其他线程得到恶意数据,这就导致了一个数据竞争漏洞。数据竞争极易引发并发错误,包括死锁,原子性违例(atomicity violation),顺序违例(order v...
Linux权限提升—Kernel exploit
qq_27828281的博客
12-21 831
Linux权限提升—利用kernel exploit进行权限提升。
解决insmod igb_uio.ko报错问题
huoyunfeng13579的专栏
07-27 3935
解决insmod绑定失败的问题
JS中的map函数
weixin_44728100的博客
10-09 4729
JS中的map
mysql udp提权_linux内核提权系列教程(1):堆喷射函数sendmsg与msgsend利用
weixin_39875516的博客
02-07 301
本文从我的先知转过来。说明:实验所需的驱动源码、bzImage、cpio文件见我的github进行下载。本教程适合对漏洞提权有一定了解的同阅读,具体可以看看我先知之前的文章,或者我的简书。一、 堆喷函数介绍在linux内核下进行堆喷射时,首先需要注意喷射的堆块的大小,因为只有大小相近的堆块才保存在相同的cache中。具体的cache块分布如下图:cache_distrubute.png本文的漏洞...
[ES6] 理解JavaScript中 map、forEach、filter 和 find 与箭头函数的使用
最新发布
zhtbs的博客
03-24 1783
如果你是一个刚开始习 JavaScript 的人,你可能会觉得编写箭头函数很容易。但如果在箭头函数出现之前你已经习惯了 JavaScript 的写法,那么在你适应之前,每次遇到箭头函数时,你可能需要上网搜索箭头函数的语法或整理笔记。我相信很多人都有这样的经历。然而,一旦你适应了箭头函数的写法,你就可以写出更简洁的代码,以至于在以后你可能会忘记传统的写法。在本文中,我们将讲解如何使用箭头函数和 map、forEach、find、filter 函数,帮助你掌握箭头函数的编写方法和各个函数的使用方法。
老表Linux kernel pwn 入门(一)
weixin_43889007的博客
11-04 3027
不加任何保护机制的内核栈溢出提权
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值