内核驱动mmap Handler利用技术(二)

最新推荐文章于 2022-11-14 21:15:41 发布
最新推荐文章于 2022-11-14 21:15:41 发布
阅读量249 收藏
点赞数
分类专栏: 内核 编程 dpdk 文章标签: servlet c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_60043341/article/details/126392879
版权
本文深入探讨了内核驱动中mmap Handler的利用技术,包括原理、基础利用方法和针对不同场景的漏洞利用。文章通过示例展示了如何通过mmap Handler获取root权限,以及如何在内存中搜索cred结构体来修改权限。同时,文章还讨论了如何利用mmap的fault handler进行信息泄露,并提供了一种即使在映射尺寸受限条件下的利用策略。最后,提到了在分析mmap handler时的技巧和搜索这类漏洞的方法。
摘要由CSDN通过智能技术生成

4. 利用mmap Handlers

4.1 原理

到此我们理解了如何去实现一个可以获取任意内存地址(通常是内核内存)访问权的mmap handler。现在的问题是:我们如何用现有的知识来获取root权限?我们考虑两种基本情景:

  1. 我们知道物理内存布局(通常通过/proc/iomem)

  2. 黑盒模型 - 我们只是有一个非常大的mmap

当我们了解了物理内存布局后,我们可以轻易地查看我们映射了内存的那个区域,也可以试图去把想要的内存区域与虚拟地址进行关联。

这允许我们对信令(creds)/函数指针执行精准的覆写。

更有意思的在于完成黑盒模型的情景。它可以工作在多版本内核和CPU架构,且一旦写成了exploit,它对不同的驱动来说都会更为的可靠。

为了写这样的exp,我么需要找出内存中的一些pattern,这些pattern可以直接告诉我们找到的东西是否有用。

当我们开始考虑我们可以搜索到什么时,我们就迅速的找到了实现方法:“有一些我们可以搜索的明显pattern,至少16字节,既然是全部内存我们应该可以几乎找到任何东西”。

如果我们看一下credential结构体(struct cred)的话,就可以看到一些有意思的数据:

struct cred {

  atomic_t usage;

#ifdef CONFIG_DEBUG_CREDENTIALS

  atomic_t subscribers; /* number of processes subscribed */

  void *put_addr;

  unsigned magic;

#define CRED_MAGIC 0x43736564

#define CRED_MAGIC_DEAD 0x44656144

#endif

  kuid_t uid; /* real UID of the task */

  kgid_t gid; /* real GID of the task */

  kuid_t suid; /* saved UID of the task */

  kgid_t sgid; /* saved GID of the task */

  kuid_t euid; /* effective UID of the task */

  kgid_t egid; /* effective GID of the task */

  kuid_t fsuid; /* UID for VFS ops */

  kgid_t fsgid; /* GID for VFS ops */

  unsigned securebits; /* SUID-less security management */

  kernel_cap_t cap_inheritable; /* caps our children can inherit */

  kernel_cap_t cap_permitted; /* caps we're permitted */

  kernel_cap_t cap_effective; /* caps we can actually use */

  kernel_cap_t cap_bset; /* capability bounding set */

  kernel_cap_t cap_ambient; /* Ambient capability set */

#ifdef CONFIG_KEYS

  unsigned char jit_keyring; /* default keyring to attach requested * keys to */

  struct key __rcu *session_keyring; /* keyring inherited over fork */

  struct key *process_keyring; /* keyring private to this process */

  struct key *thread_keyring; /* keyring private to this thread */

  struct key *request_key_auth; /* assumed request_key authority */

#endif

#ifdef CONFIG_SECURITY

  void *security; /* subjective LSM security */

#endif

  struct user_struct *user; /* real user ID subscription */

  struct user_namespace *user_ns; /* user_ns the caps and keyrings are relative to. */

  struct group_info *group_info; /* supplementary groups for euid/fsgid */

  struct rcu_head rcu; /* RCU deletion hook */

};

cred结构体用于控制我们线程的信令。这意味着我们可以掌握此结构体的大部分值,可以通过简单的读/proc/<pid>/status或者通过系统调用获取。

查看结构体定义可以观察到有8个连续的整型变量,我们对此很熟悉(uid,gid,suid,sgid等)。紧随其后是一个4字节的securebits变量,再后面是4或5个(实际数量取决于内核版本)long long int(cap_inheritable等)。

我们获取root权限的计划是:

  1. 获取我们的credentials

  2. 扫描内存去查找这样的一组跟随4-5个long long int型capabilities变量的8个int型变量。在capabilities和uids/gids之间还应该有4个字节的留空。

  3. 将uids/gids改为值0

  4. 调用getuid(),检查我们是否已经是root用户

  5. 如果是,则将capabilities修改为值0xffffffffffffffff

  6. 如果不是,则恢复uids/gids的旧值,继续查找;重复步骤2

  7. 我们现在是root,跳出循环

在某些情况下,这一方案不奏效,例如:

  • 如果内核是坚固的,一些组建对提权进行了监视(例如,一些三星手机设备上的Knox)。

  • 如果我们已经有了值为0的uid。这种情况下我们好像可以修改内核的一些东西因为内核包含了大量的0值在内存中而我们的pattern没什么用。

  • 如果一些安全模块被使能(SELinux, Smack等),我们可能完成的是部分提权,安全模块需要通过后面的步骤来绕过。

在安全模块的情况下,cred结构体的security域拥有一个指向内核使用的特殊安全模块定义的结构体。例如,对SELinux来说他是指向一个包含下列结构体的内存区域:

struct task_security_struct {

  u32 osid;             /* SID prior to last execve */

  u32 sid;                 /* current SID */

  u32 exec_sid;         /* exec SID */

  u32 create_sid;         /* fscreate SID */

  u32 keycreate_sid;     /* keycreate SID */

  u32 sockcreate_sid;     /* fscreate SID */

};

我们可以替换security域的指针为一个我们已经控制的地址(如果给定架构(如arm, aarch64)允许我们在内核中直接访问用户空间映射的话,我们可以提供用户空间映射),然后brute force sid值。进程应该相对快速因为大部分权限标签例如内核或初始化时会将该值设置为0到512之间。

为了绕过SELinux我们需要尝试下列步骤:

  • 准备一个新的SELinux策略,该策略将当前SELinux的上下文设置成宽松

  • 固定伪造的包含全0值的security结构

  • 尝试去重载SELinux策略

  • 恢复旧的安全指针

  • 尝试去执行一个恶意行为,该行为此前被SELinux禁止

  • 如果他工作的话,我们就绕过了SELinux

  • 如果不行的话,在我们伪造的security结构中递增sid值,重试

4.2 基础mmap Handler利用

这一部分我们将会尝试开发一个完整root权限的exp,针对下面的代码:

static int simple_mmap(struct file *filp, struct vm_area_struct *vma)

{

  printk(KERN_INFO "MWR: Device mmap\n");

  printk(KERN_INFO "MWR: Device simple_mmap( size: %lx, offset: %lx)\n", vma->vm_end - vma->vm_start, vma->vm_pgoff);

  if (remap_pfn_range(vma, vma->vm_start, vma->vm_pgoff, vma->vm_end - vma->vm_start, vma->vm_page_prot))

  {

    printk(KERN_INFO "MWR: Device mmap failed\n");

    return -EAGAIN;

  }

  printk(KERN_INFO "MWR: Device mmap OK\n");

  return 0;

}

代码有2个漏洞:

  • vma->vm_pgoff在remap_pfn_range中被作为一个物理地址直接使用而没有进行安检。

  • 传递给remap_pfn_range的映射尺寸没有做安检。

我们exp开发的第一步就是,创建触发漏洞的

最低0.47元/天 解锁文章
DPDK技术员
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【Linux驱动编程】mmap方法
只要思想不滑坡,想法总比问题多。
04-03 3911
mmap常规的应用是将普通文件映射到用户进程空间,提高文件读写效率。linux的思想是“一切皆文件”,对于设备文件而言,同样可以实现mmap映射。一个设备,一般涉及到帧缓存会考虑实现映射接口,常见的LCD<font color=cloor> framebuffer</font>设备的显存空间,经过映射后,用户进程可以直接操作进程内存空间将LCD显示数据写入,提高刷新效率,节省CPU拷贝内存开销。
内核驱动mmap Handler利用技术
weixin_60043341的博客
08-17 172
在实现Linux内核驱动中,开发者可以注册一个设备驱动文件,该文件常常在/dev/目录下完成注册。该文件可以支持所有的常规文件方法,比如opening, reading, writing, mmaping, closing等等。设备驱动文件支持的操作由包含了一组函数指针的结构体file_operations描述,每个指针描述一个操作。在4.9版本内核中可以找到如下的定义。#endif};...
驱动总结之mmap函数实现
pursue的专栏
11-21 3015
原文地址:驱动总结之mmap函数实现 作者:gongping11 mmap作为struct file_operations的重要一个元素,mmap主要是实现物理内存到虚拟内存的映射关系,这样可以实现直接访问虚拟内存,而不用使用设备相关的read、write操作,mmap的基本过程是将文件映射到虚拟内存中。在之前的一篇博客中谈到了mmap实现文件复制的操作。 关于li
linux 内核mmap,Linux内核mmap机制
weixin_28717939的博客
05-08 592
1. 问:如何将物理地址映射到用户空间的虚拟地址上? 2.linux内核mmap机制2.1.回顾LED驱动数据流的操作过程 通过分析LED驱动,得出以下结论:如果利用read,write,ioctl三个系统调用函数实现对LED硬件进行操作,这三个系统调用函数操作数据最终要经过两次数据拷贝,分别是用户空间到内核空间,内核空间到硬件或者硬件到内核内核到用户;如果操作访问的数据量比较小,对系统性能的影...
内核中与驱动相关的内存操作之十(mmap)
四哥的专栏
03-18 1072
mmap是标准的用户空间的系统调用API.最为常见的就是用户空间对LCD的操作.mmap允许用户直接对硬件设备实现直接访问操作,因此,其效率是很高的.要正确使用mmap机制,首先重温一下VMA.
mmap函数使用
菜鸟成长轨迹
01-22 1万+
UNIX网络编程第卷进程间通信对mmap函数进行了说明。该函数主要用途有三个:1、将一个普通文件映射到内存中,通常在需要对文件进行频繁读写时使用,这样用内存读写取代I/O读写,以获得较高的性能;2、将特殊文件进行匿名内存映射,可以为关联进程提供共享内存空间;3、为无关联的进程提供共享内存空间,一般也是将一个普通文件映射到内存中。函数:void *mmap(void *start,size_t l
mmap说明
u010154760的专栏
03-24 665
如果同时指定了MAP_FIXED标志并且将起始地址start设置为0,则mmap调用的结果会是什么?     答:在sys_mmap系统调用中并没有看到对这种情况的排斥,可以暂时先理解成不同的架构对应不同的情况,这种情况是否允许在各个架构上的实现是不同的,而sys_mmap作为一个和平台无关的系统调用这里并不会对这种情况进行排斥; 而在实际的具体的平台的操作时,比如x86下,当你的addr没有
【DPDK】谈谈DPDK如何实现bypass内核的原理 其一 PCI设备与UIO驱动
最新发布
lingshengxiyou的博客
11-14 994
可以看到对unbind文件进行写操作后,最终会转到内核态的pci设备的unbind_store函数,这个函数的内容也非常简单,首先根据输入的PCI 地址找到对应的PCI设备实例,然后调用device_release_driver函数释放device相关联的driver,而new_id的属性实现则是在/drivers/pci/pci-driver.c中,函数调用流程即为图14中的下半部分,最终会调到驱动的probe钩子上,在igb_uio驱动中即为igbuio_pci_probe函数。接下来进入科普时间。
Linux系统 mmap 存储映射
tugouxp的专栏
04-23 1722
括号中表示预期行为,括号外部的表示在LINUX系统中的实际行为,比如组合SHARED/EXEC的读行为,对于一个可执行的共享地址来说,没有给与PROT_READ属性,预期当然不可读,但是由于CPU执行上面的代码,必须要进行读操作,而实际的硬件架构和及并没有区分执行读和其它方式的读,所以,实际上对于这样的内存,仍然是可读的。从上图中可以看到,这段匿名区域(可能是MMAP区域,现在的MALLOC都用MMAP实现)地址是向下增长的,像栈一样,就像前面提到的第种情况,这是在哪里控制的呢?
内存管理(三)虚拟内存映射(读奔跑吧linux内核总结)
zuodenghuakai的博客
04-11 1895
一:vmalloc https://www.cnblogs.com/arnoldlu/p/8251333.html vmalloc创建内核空间的连续的虚拟地址的内存块。(主要是在vmalloc区域找到合适的hole,然后逐页分配内存从屋里上填充hole)特点:可能连续,虚拟地址连续,物理地址不连续,size页对齐(不适合小内存分配)。 struct vm_struct(vmalloc描述符)...
Linux图形子系统之GEM内存管理
fs3296的博客
03-29 4764
Linux图形子系统之GEM内存管理引言1 创建与映射1.1 创建GEM1.2 映射对象2 内存分配2.1 数据结构2.1.1 内存管理结构2.1.2 内存节点结构2.2 分配算法2.3 常见用法 引言 drm对内存使用抽象成GEM对象,用户空间通过句柄或文件映射的方式访问。 1 创建与映射 1.1 创建GEM drm_mode_create_dumb_ioctl是DRM_IOCTL_MODE_CREATE_DUMB的处理函数,它直接调用了drm_mode_create_dumb函数,该函数通过参数解析和检
DRM 驱动 mmap 详解:(一)预备知识
hexiaolong2009的专栏
08-21 1万+
本文并不打算讲解 mmap 系统调用的原理及其相关细节,因为这涉及到 linux 内存管理的诸多概念,大家只需要了解如何去写一个简单的 mmap 驱动程序就可以了,为后续 drm mmap 驱动的编写做准备。
linux申请内存失败,Linux 申请内存失败解决方法
weixin_32183107的博客
04-30 2379
在linux上部署项目的时候可能会遇到这么一个错误Native memory allocation (mmap) failed to map 1879048192 bytes for committing reserved memory错误原因毫无疑问就是分配内存的时候内存不足,但是使用free 命令去查看系统的内存占用却发现此时还有很多内存可用.再使用 ulimit -a 发现内存也并没有被限...
linux内核那些事之用户空间管理
weixin_42730667的博客
08-08 1289
内核主要数据结构 linux内核将用户空间抽象成struct vm_area_struct进行管理,每申请以个用户空间在内核中都会抽象成对应的vm_are_struct进行管理,同时为了区别不同进程的空间相互进行隔离,进行一个层次抽象划分如下图所示: 内核中用户空间管理主要涉及到task_struct、mm_strcut及vm_area_struct等几个比较重要的数据结构。 vm_are_struct的组织形式有链表和红黑树两种方式以方便加速查找,即链表+树形式,是一种场景优化方式,以弥补链..
Linux 内存管理:DAX(Direct Access)机制的作用及实现原理
热门推荐
猫科龙
07-08 1万+
随着持久内存逐步走向商用,DAX这个概念的出现频率日益增加。那么DAX究竟起到什么作用,其背后的原理又是什么?本文将率先对其进行揭晓。
Linux驱动----mmap系统调用
qq_45570844的博客
08-19 837
mmap的概念及案例使用方法
4.内存映射
q790006739的博客
03-28 194
用户态内存映射 用户态内存映射函数mmap,包括用它来做匿名映射和文件映射 用户态的页表结构,存储位置在mm_struct中 在用户态访问没有映射的内存就会引发缺页异常,分配物理页表、补齐页表。如果是匿名映射则分配物理内存;如果是swap,将swap文件读入;如果是文件映射,则将文件读入 mmap的原理 虚拟地址空间,每一个进程都有一个列表vm_area_struct,指向虚拟地址空间的...
Linux内存管理子系统——mmap内存映射原理分析(dax文件系统的mmap)
Imagine Miracle的博客
04-18 2740
Linux mmap分析 内核版本:linux-5.16 1. 虚拟内存概要内容简介 1.1. mm_struct 和 vm_area_struct // mm_struct 和 vm_area_struct 的简要成员 struct mm_struct { unsigned long start_brk, brk, start_stack; } __attribute__((preserve_access_index)); struct vm_area_struct { unsigned lo
深入解析Linux内核MMap机制与页故障处理
本文档深入解析了Linux内核中的内存映射(MMAP)机制,特别是与Page Fault处理相关的部分,基于Sung-hun Kim的原创内容。MMap是POSIX兼容的函数,用于在调用进程的虚拟地址空间中创建新的映射区域。它涉及到以下几个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值