linux内核UAF漏洞分析之CVE-2018-17182

最新推荐文章于 2023-07-15 13:43:24 发布
最新推荐文章于 2023-07-15 13:43:24 发布
阅读量2k 收藏 3
点赞数 1
分类专栏: 安全漏洞分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yiduoxiaoxx/article/details/104521013
版权
本文深入分析了Linux内核中的Use-After-Free(UAF)漏洞CVE-2018-17182,详细解释了vma缓存机制及其两次优化过程,以及如何导致的安全隐患。文章还介绍了漏洞的修复方法和PoC执行流程,展示了利用该漏洞进行提权的过程。
摘要由CSDN通过智能技术生成

1. 漏洞原理分析

1.1 vma缓存机制

vma就是虚拟地址区域(virtual memory area),内核用vma来管理进程分配的虚拟内存地址。vma在内核中用结构体struct vm_ares_struct 表示,定义如下:

struct vm_area_struct {
   
          .....
          unsigned long vm_start; // 起始虚拟地址
          unsigned long vm_start; // 起始虚拟地址
          struct vm_area_struct *vm_next, *vm_prev; //同时是一个链表节点
          struct rb_node vm_rb; //同时也是一个红黑树节点
          ......
 }

一个进程有多个vma,这些vma如何管理呢,根据结构体的定义可知vma同时存在2种组织方式
1)链表,用于遍历vma
2)红黑树,用于查找某个虚拟地址所在的vma

在内核中有个find_vma函数,根据传入的虚拟地址addr,查找vma组成的红黑树,找到这个addr所在的vma并返回,也就是vm_start <= addr <= vm_end。这个函数在内核中调用的比较频繁,比如进程访问一个虚拟地址时,在内核里面都会先去找这个地址对应的vma。 如果每次find_vma都走红黑树查找,效率会比较低。vma缓存机制,就是为了优化find_vma这个函数的执行效率,这个机制将上次find_vma得到的vma缓存下来,下次find_vma时,先去缓存中找,找不到时再去走红黑树查找。

1.2 缓存机制第一次优化

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=615d6e8756c87149f2d4c1b93d471bca002bd849

根据这个优化的patch可以看到,最原始的缓存机使用的是mm_struct中的mmap_cache,即mmap_cache指向上次find_vma函数返回的vma。但是在多线程环境下,所有线程都是共用一个mm_struct,也就是说所有线程共用一个缓存mmap_cache,那么这种情况下,缓存的命中率就不会很高。所以这个patch主要的思想就是给每个线程一个单独的缓存,互不影响。

diff --git a/include/linux/mm_types.h b/include/linux/mm_types.h
index 290901a..2b58d19 100644
--- a/include/linux/mm_types.h
+++ b/include/linux/mm_types.h
@@ -342,9 +342,9 @@ struct mm_rss_stat {
   
 
 struct kioctx_table;
 struct mm_struct {
   
- struct vm_area_struct * mmap;  /* list of VMAs */
+ struct vm_area_struct *mmap;  /* list of VMAs */
  struct rb_root mm_rb;
- struct vm_area_struct * mmap_cache; /*移除老的缓存方式*/
+ u32 vmacache_seqnum;                   /* per-thread vmacache */
 #ifdef CONFIG_MMU
  unsigned long (*get_unmapped_area) (struct file *filp,
     unsigned long addr, unsigned long len,

mm_struct里面新增的vmacache_seqnum后面再讲作用,继续往下看补丁。由于每个线程都对应一个单独的task_struct,所以将缓存放到了task_struct里面,即vmacache,而且为task_struct结构体新增了一个u32类型的成员变量vmacache_seqnum。

@@ -1235,6 +1239,9 @@ struct task_struct {
   
 #ifdef CONFIG_COMPAT_BRK
  unsigned brk_randomized:1;
 #endif
+ /* per-thread vma caching */
+ u32 vmacache_seqnum;
+ struct vm_area_struct *vmacache[VMACACHE_SIZE];
 #if defined(SPLIT_RSS_COUNTING)
  struct task_rss_stat rss_stat;
 #endif

线程之间共用虚拟地址空间,即共用一个mm_struct,vma也都是共用的。 task_struct,mm_struct,vma_area_struct的关系如下图:
在这里插入图片描述
思考一个问题,如果一个vma被一个线程释放掉了,但是这个vma还在另外一个线程的缓存中,而这个线程不知道它自己缓存的vma被释放掉了,后面这个线程在find_vma的时候,如果要查找的地址刚好在这个vma中,那么就会把这个已经释放了的vma返回,这样就产生了UFA(Use After Free),所以需要一个同步机制。

继续看这个patch,在task_struct和mm_strcut这2个结构体中都新增了一个u32的成员变量vmacache_sequm,用来做同步,机制如下:
1)当有vma被某个线程给释放了,将mm_struct中的vmacache_sequm加1
2)线程在find_vma中使用缓存时,先比较task_struct和mm_struct中的vmacache_sequm,如果不相等,说明vma有变化,清空缓存,走红黑树查找vma

当一个vma被释放的时候,调用vmacache_invalidate将mm_strcut中的vmacache_seqnum加1,但是vmacache_sequm是一个u32类型的变量,如果一直加1,是有可能发生溢出的。所以在这个函数中有个检测溢出的处理,如果发生溢出,就调用vmacache_flush_all遍历所有线程将他们的vmacache都清空,然后vmacache_sequm又从0开始加1。

+static inline void vmacache_invalidate(struct mm_struct *mm)
+{
   
+ mm->vmacache_seqnum++;
+
+ /* 处理溢出 */
+ if (unlikely(mm->vmacache_seqnum
最低0.47元/天 解锁文章
yiduoxiaoxx
关注
专栏目录
Linux Kernel nf_tables 本地权限提升漏洞(CVE-2024-1086)
做自己喜欢的事,并将其发挥到极致!
06-06 8215
2024年1月,各Linux发行版官方发布漏洞公告,修复了一个 netfilter:nf_tables 模块中的释放后重用漏洞(CVE-2024-1086)。在nft_verdict_init()函数的错误处理导致nf_hook_slow()函数在NF_DROP的分支的时候以NF_ACCEPT返回,进而在NF_HOOK()函数产生释放后重用漏洞。鉴于该漏洞易于利用,并且允许本地攻击者提升至ROOT权限。​
Linux kernel(CVE-2018-17182)提权漏洞复现
weixin_30730151的博客
09-30 1198
0x01 漏洞前言 Google Project Zero的网络安全研究人员发布了详细信息,并针对自内核版本3.16到4.18.8以来Linux内核中存在的高严重性漏洞的概念验证(PoC)漏洞利用。由白帽黑客Jann Horn发现,内核漏洞CVE-2018-17182)是Linux内存管理子系统中的缓存失效错误,导致释放后使用漏洞,如果被利用,可能允许攻击者获得根权限...
CVE-2018-17182:Linux内核VMA-UAF提权突破(CVE-2018-17182),0天
03-20
CVE-2018-17182 Linux内核VMA-UAF提权突破(CVE-2018-17182) 关于 Google Project Zero的网络安全研究人员发布了详细信息,并针对自内核版本3.16至4.18.8以来Linux内核中存在的高严重性漏洞的概念验证(PoC)漏洞利用。 由白帽黑客Jann Horn发现,内核突破(CVE-2018-17182)是Linux内存管理磁盘中的缓存错误,导致释放后使用漏洞, 如果被利用,可能允许攻击者获得root权限目标系统上的特权。 免费使用后(UAF)攻击是一类内存损坏错误,非特权用户可利用这些错误来破坏或更改内存中的数据,从而导致拒绝服务(系统崩溃)或升级权限优先管理权限访问系统 Linux内核攻击于9月18日在oss-security邮件列表中公开,并在第二天在上游支持的稳定内核版本4.18.9,4.14.71,4.9.128和4.4.
linux内核漏洞 安全客,CVE-2018-17182
weixin_29761519的博客
05-16 317
Since commit 615d6e8756c8 ("mm: per-thread vma caching", first in 3.15),Linux has per-task VMA caches that contain up to four VMA pointers forfast lookup. VMA caches are invalidated by bumping the 32-...
Linux 二进制漏洞挖掘入门系列之(五)UAF 漏洞分析与利用
个人笔记
03-05 2336
UAF 0x10 UAF(Use After Free) 漏洞原理 这里,需要先介绍一下堆分配内存的原则。ptmalloc 是 glibc 的堆管理器,前身是 dlmalloc,Linux 中进程分配内存的两种方式:brk 和 mmap。当程序使用 malloc 申请内存的时候,如果小于 128K,使用 brk 方式,将数据段(.data)的最高地址指针_edata往高地址推;如果大于 128K...
UAF漏洞利用原理分析
qq_29317353的博客
12-25 951
二进制安全,UAF漏洞分析学习
pwnable.kr-uaf WP
Casuall的博客
06-22 521
UAF(Use After Free)释放后重用,其实是一种指针未置空造成的漏洞。 首先介绍一下迷途指针的概念 在计算机编程领域中,迷途指针,或称悬空指针、野指针,指的是不指向任何合法的对象的指针。 当所指向的对象被释放或者收回,但是对该指针没有作任何的修改,以至于该指针仍旧指向已经回收的内存地址,此情况下该指针便称迷途指针。若操作系统将这部分已经释放的内存重新分配给另外一个进程,而原来的程序重...
linux 内核漏洞,Linux内核漏洞CVE-2016-0728的分析与利用
weixin_42183486的博客
04-29 1595
介绍Perception Point研究团队已经在Linux操作系统的内核中发现了一个0 day漏洞,这是一个本地提权漏洞。这个漏洞从2012年开始就存在于Linux内核中了,但是我们的团队最近才发现了这个漏洞,并将漏洞的详细信息报告给了内核安全团队。在此之后,我们还发布了一个针对此漏洞的概念验证利用实例。截止至漏洞披露的那一天,这个漏洞已经影响了大约数千万的安装了Linux操作系统的个人计算机...
linux内核竞争条件漏洞,CVE-2017-10661
weixin_42245701的博客
05-10 660
/** PoC for CVE-2017-10661, triggers UAF with KASan enabled in kernel 4.10*/#include #include #include #include #include #include #include #include #include #include #include #include #include #includ...
linux 内核漏洞 2018,Linux发行版高危严重漏洞 CVE-2018-14665
weixin_26716079的博客
05-01 748
安全研究人员在X.OrgServer软件包中发现了一个影响主要Linux发行版的高度严重漏洞(CVE-2018-14665)。安全研究员NarendraShinde在X.OrgServer软件包中发现了一个非常关键的漏洞(CVE-2018-14665),它影响了主要的Linux发行版,包括OpenBSD,Debian,Ubuntu,CentOS,RedHat和Fedora。XorgX项目提供了XW...
微软RDP服务高危UAF漏洞分析(CVE-2019-0708)
systemino的博客
07-07 997
原创: Alpha天融信阿尔法实验室 0x00 前言 CVE-2019-0708经微软披露已经有一个多月了,本文将主要围绕以下几个方面介绍该漏洞 1、经过分析验证该漏洞是一个UAF漏洞,引发UAF漏洞的指针是由何时创建以及为何该指针在Free之后又被使用,是本文重点关注的地方。 2、该漏洞属于RDP协议实现方面的漏洞,文中会列举与该漏洞相关的RDP协议知识。 0x...
linux内核pwn,Linux Kernel Pwn 学习笔记 (UAF)
weixin_39747087的博客
04-29 325
原标题:Linux Kernel Pwn 学习笔记 (UAF) 本文为看雪论坛优秀文章看雪论坛作者ID:Vinadiak0x01 背景知识UAF漏洞UAF 漏洞是当我们 free 掉某个指针变量所指向的堆块的时候,未将该指针变量置0,导致该指针依然指着该堆块地址,当我们引用该指针的话,也就引用该指针所所指向的地址。这个漏洞对于开发者很容易忽略,但威力非常强大。条件竞争:在多线程的环境下,当多个线...
linux内核申请堆,linux kernel pwn学习之UAF
weixin_29832179的博客
04-30 310
Linux Kernel UAF与用户态下的glibc差不多,都是对已经释放的空间未申请就直接使用,内核UAF往往是出现在多线程多进程多文件的情况下。即,假如某个用户程序对用一个内核驱动文件打开了两次,有两个文件描述符,它们都指向了该驱动,又因为是在同一个程序里,所以当我们释放掉其中一个文件描述符后,还可以使用另一个文件描述符来操控驱动。为了加深理解,我们就以一题为例ciscn2017_baby...
Linux Kernel 释放后重用内存损坏漏洞
weixin_30740581的博客
07-18 264
漏洞名称: Linux Kernel 释放后重用内存损坏漏洞 CNNVD编号: CNNVD-201307-305 发布时间: 2013-07-18 更新时间: 2013-07-18 危害等级: 漏洞类型: 威胁类型: 远程 CVE编号: CVE-2013-4127 ...
Linux: 记一次内核 UAF 问题解决过程
最新发布
JiMoKuangXiangQu的专栏
07-15 1159
linux, 调试, UAF(Use After Free)
linux无效内存访问,Linux内存管理中缓存失效漏洞分析及利用(CVE-2018-17182
weixin_32349561的博客
05-01 633
概述自内核版本3.16以来,Linux内存管理中存在一个缓存失效漏洞(CVE-2018-17182),本文是对该漏洞分析。尽管这一漏洞所在的代码可以被比较强大的沙盒上下文所访问,但在本文中我们介绍了一种在未配置增强安全性的Linux内核环境中利用漏洞的方式(特别是内核linux-image-4.15.0-34-generic,版本在4.15.0-4.34.37之间的Ubuntu 18.04操作...
漏洞学习笔记——UAF漏洞
谈成(C/C++)
04-30 1507
UAF即为Use After Free。也就是使用了已经被释放的内存,最终导致内存崩溃或任意代码被执行的漏洞UAF漏洞常见于浏览器中,如IE、Chrome、Firefox等。 当分配有内存的指针被释放后,如果指针没有及时置空。那么此时的指针就被称为“悬挂指针”,也就是俗称的野指针。引用此类指针就会出现各种意外情况。举例以下代码。 #include "stdafx.h" #include <stdlib.h> #include <tchar.h> #include <windo
Windows内核漏洞学习-UAF
WocW的博客
05-20 881
0x00:前言 本章所提到的漏洞UAF(释放后利用),这也是目前我所接触到的第一个复杂一点的内核漏洞。参考文章: 传送门 0x01:漏洞原理 NTSTATUS FreeUaFObject() { NTSTATUS Status = STATUS_UNSUCCESSFUL; PAGED_CODE(); __try { if (g_UseAfterFreeObject) { DbgPrint("[+] Freeing UaF Object
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值