[kernel exploit] 消息队列msg系列在内核漏洞利用中的应用

已于 2022-05-20 16:24:40 修改
阅读量1.3w 收藏 3
点赞数 3
分类专栏: # linux kernel 二进制 文章标签: linux kernel 内核提权 漏洞利用 内核安全 网络安全
于 2022-04-13 16:20:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Breeze_CAT/article/details/124150959
版权
本文详细分析了Linux内核中消息队列msg的使用,包括msgget、msgsnd和msgrcv的源码逻辑,以及在内核漏洞利用中的常见应用场景。msgget用于创建消息队列,msgsnd用于发送消息,msgrcv用于接收消息。msg队列在堆占位、地址泄露、UAF构造和任意地址读写等方面有广泛应用。通过MSG_COPY标志,可以避免释放消息时的链表异常,实现任意地址读。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[kernel exploit] 消息队列msg系列在内核漏洞利用中的应用

文章目录

简介

消息队列msg 和共享内存一样是linux 内核提供的一种进程间通信(IPC)方式,但它除了用于进程间通信,在内核堆漏洞利用中确是基本100%出场的常客,无论是堆占位、泄露地址、构造UAF、任意地址读写等操作它都能完成,所以这篇文章分析一下消息队列msg 的源码逻辑和在linux kernel 漏洞利用中的常见应用场景。

本篇分析使用内核代码版本5.13。

源码阅读与逻辑分析

在漏洞利用中,主要就使用msgget、msgsnd和msgrcv 三个函数。接下来分别分析这三个函数。

msgget 创建消息队列

msgget 原型

首先要使用消息队列,要调用msgget 创建消息队列。msgget 的原型如下:

int msgget(key_t key, int msgflg);
  • 参数key:键值,linux IPC初始化基本都需要一个键值,通常是通过ftok 生成或是IPC_PRIVATE。在我们漏洞利用场景中一般就是用IPC_PRIVATE 就可以了。
  • 参数msgflag:创建消息队列的操作和读写权限,可以设置IPC_CREAT(返回当前key 对应的msg队列id,若不存在则创建) 或IPC_CREAT | IPC_EXCL(返回当前key 对应的msg队列id,如果已经存在则返回错误)。在我们漏洞利用的场景中由于key 都是IPC_PRIVATE ,这里直接使用IPC_CREAT 即可,读写权限通常0666。
  • 返回值:返回msg 队列id,用于后续msgsnd 和msgrcv。

msgget 手册

msgget 源码分析

入口位置在ksys_msgget

linux\ipc\msg.c:

SYSCALL_DEFINE2(msgget, key_t, key, int, msgflg)
{
   
	return ksys_msgget(key, msgflg);
}

调用栈

  • ksys_msgget
    • ipcget
    • ipcget_new (key为IPC_PRIVATE)
      • newque

其中在ipcget 中,会判断key,如果是IPC_PRIVATE,则会直接调用ipcget_new:

linux\ipc\util.c:

int ipcget(struct ipc_namespace *ns, struct ipc_ids *ids,
			const struct ipc_ops *ops, struct ipc_params *params)
{
   
	if (params->key == IPC_PRIVATE)
		return ipcget_new(ns, ids, ops, params);
	else
		return ipcget_public(ns, ids, ops, params);
}

最后在newque 函数中,进行msg_queue 结构体的初始化,并且将该msg_queue 存入当前ipc_namespace中,消息队列msg_queue 结构体和相关代码如下;

linux\ipc\msg.c:

struct msg_queue {
   //msg队列结构体
	struct kern_ipc_perm q_perm; //每个ipc 相关结构体都要有q_perm
	time64_t q_stime;		/* last msgsnd time */
	time64_t q_rtime;		/* last msgrcv time */
	time64_t q_ctime;		/* last change time */
	unsigned long q_cbytes;		/* 当前消息队列中的字节数 */
	unsigned long q_qnum;		/* 当前消息队列中的消息数 */
	unsigned long q_qbytes;		/* 消息队列中允许的最大字节数 */
	struct pid *q_lspid;		/* pid of last msgsnd */
	struct pid *q_lrpid;		/* last receive pid */

	struct list_head q_messages;/* 消息队列 */
	struct list_head q_receivers;
	struct list_head q_senders;
} __randomize_layout;

static int newque(struct ipc_namespace *ns, struct ipc_params *params)
{
   
	struct msg_queue *msq;
	··· ···

	msq = kvmalloc(sizeof(*msq), GFP_KERNEL);//申请空间
    ··· ···
	/*
	 * 初始化 msq-> q_perm 和其他成员
	 */
	retval = ipc_addid(&msg_ids(ns), &msq->q_perm, ns->msg_ctlmni); //[1]
	··· ···

	return msq->q_perm.id;
}
  • [1] : 这里调用ipc_addid 将该msq 结构体的q_perm 成员加入到当前ipc_namespace 中,并返回对应该msg队列的id,在后续寻找的时候可以通过msq->q_perm 的地址用container_of 找到所属msq 的地址。

msq 没啥东西,主要看一下接下来的msgsnd 和msgrcv。

msgsnd 发送消息与消息队列模型

msgsnd 原型

msgsnd 用于向指定id 的有写权限的消息队列发送消息,原型如下:

int msgsnd(int  msqid , const void * msgp , size_t  msgsz , int  msgflg );

  • 参数msqid:指定消息队列id,由msgget 返回。

  • 参数msgp:发送的消息结构体指针,结构体如下:

    struct msgbuf {
     
    long mtype;       /* 消息类型,后续也会用于接收消息 */
    char mtext[1];    /* 用于发送的消息文本 */
};

  • 参数msgsz:发送消息的大小

  • 参数msgflg:一般会加一个IPC_NOWAIT,如果队列满了就不等待直接返回错误,默认状态会阻塞等待队列空出位置。

  • 返回值:0成功,-1失败。

msgsnd手册

msgsnd 源码分析

入口位置在ksys_msgsnd

linux\ipc\msg.c:

SYSCALL_DEFINE4(msgsnd, int, msqid, struct msgbuf __user *, msgp, size_t, msgsz, int, msgflg)
{
   
	return ksys_msgsnd(msqid, msgp, msgsz, msgflg);
}

调用栈:

  • ksys_msgsnd
    • do_msgsnd
      • load_msg
        • alloc_msg

根据代码分析消息队列的结构,根据调用栈从后往前分析比较清晰,首先看一下msg 相关的结构体:

struct msg_msg {
   //主消息段头部
	struct list_head m_list; //消息双向链表指针
	long m_type;
	size_t m_ts;		/* 消息大小 */
	struct msg_msgseg *next; //指向消息第二段
	void *security;
	/* 后面接着消息的文本 */
};

struct msg_msgseg {
   //子消息段头部
	struct msg_msgseg *next; //指向下一段的指针,最多三段
	/* 后面接着消息第二/三段的文本 */
};

消息分为两种结构体,主消息段头部和辅消息段头部,头部结构体后面紧跟着的就是消息的文本。然后分析申请结构体的alloc_msg 函数:

linux\ipc\msgutil.c:

#define DATALEN_MSG	((size_t)PAGE_SIZE-sizeof(struct msg_msg)) //0xfd0
#define DATALEN_SEG	((size_t)PAGE_SIZE-sizeof(struct msg_msgseg))//0xff8

static struct msg_msg *alloc_msg(size_t len)
{
   
	struct msg_msg *msg;
	struct msg_msgseg **pseg;
	size_t alen;

	alen = min(len, DATALEN_MSG);//[1] 获得第一段消息长度
	msg = kmalloc(sizeof(*msg) + alen, GFP_KERNEL_ACCOUNT);//为消息段申请内存
	if (msg == NULL)
		return NULL;

	msg->next = NULL;
	msg->security = NULL;

	len -= alen;//[2] 
	pseg = &msg->next;
	while (len > 0) {
   //[2] 查看消息是否需要分段
		struct msg_msgseg *seg;

		cond_resched();

		alen = min(len, DATALEN_SEG); //获得第二段消息长度
		seg = kmalloc(sizeof(*seg) + alen, GFP_KERNEL_ACCOUNT
最低0.47元/天 解锁文章
CVE-2019-8660 iMessage 漏洞复现
十年磨一剑,霜刃未曾试!
08-22 2271
CVE-2019-8660 iMessage 漏洞复现 近期谷歌的研究人员披露了 5 个 iOS 中安全漏洞,并公布了 POC(Proof of concept),攻击者利用这些漏洞可以通过 iMessage 发送精心设计的消息来攻击 iOS 设备,这些漏洞不需要和任何用户交互,只要目标机 iMessage 信息接收成功即可触发漏洞。 CVE-2019-8660、 CVE-2019-8662、 C...
[kernel exploit] 管道pipe在内核漏洞利用中的应用
Breeze的博客
05-20 1万+
[kernel exploit] 管道pipe在内核漏洞利用中的应用 文章目录[kernel exploit] 管道pipe在内核漏洞利用中的应用简介源码阅读与逻辑分析pipe 创建匿名管道pipe 原型pipe 源码分析pipe 相关结构体write & splice 向pipe 管道写pipe_write 分析(5.13代码)splice 传输文件splice 原型splice 原理分析pipe_write & splice 分析(老版本5.4代码)实际操作与漏洞利用使用场景dirty
普化群晖改造成正常磁盘布局及打开kernel message
minlearn's techrepos
10-10 1598
__本文关键字:群晖显卡支持,dsm 6 console tty,打开console,让3.x linux使用graphical terminal as console,改变黑群原生磁盘布局,一种动态调整压缩镜像文件的方法。压缩0空间,及在linux上离线操作raid/llvm分区的方法,离线折腾黑群镜像,调整黑群剩余空间为存储空间。initrd加载二个gz,dd会复制uuid吗,debian上grub-install会自带device-map导致grub rescue__
linux查看队列 msg,linux第10天 msg消息队列
weixin_28864249的博客
05-19 408
cat /proc/sys/kernel/msgmax最大消息长度限制cat /proc/sys/kernel/msgmnb消息队列总的字节数cat /proc/sys/kernel/msgmni消息条目数消息队列综合案例//server#include #include #include #include #include #include #include #include #define E...
Linux两种类型的消息队列,Linux消息队列学习(2)
weixin_42298622的博客
05-13 644
一、消息队列系统参数设置在Linux系统下有两个参数可以设置消息队列的大小:vim /etc/sysctl.conf加入:# Controls the default maxmimum size of a mesage queuekernel.msgmnb = 6553600# Controls the maximum size of a message, in byteskernel.msgma...
Linux内核利用msg_msg结构实现任意地址读写
panhewu9919的博客
10-18 2000
文章首发于安全客:Linux内核利用msg_msg结构实现任意地址读写 题目及exp下载 —— https://github.com/bsauce/CTF/tree/master/corCTF 2021 介绍:本文示例是来自corCTF 2021中 的两个内核题,由 BitsByWill 和 D3v17 所出。针对UAF漏洞漏洞对象从kmalloc-64到kmalloc-4096,都能利用 msg_msg 结构实现任意写。本驱动是基于NetFilter所写,有两个模式,简单模式(对应题目Fire_of_
[linux kernel]slub内存管理分析(7) MEMCG的影响与绕过
Breeze的博客
04-07 6042
linux内核内存管理算法slub源码分析之MEMCG的影响与绕过
jade的中文资料
蹒跚学步的人的专栏
04-25 9585
   第一章 绪论1.1问题概述多Agent系统是由多个可以相互交互的,称为Agent的计算单元所组成的系统.Agent作为计算机系统具有两种重要的能力.首先,每个Agent至少在某种程度上可以自治行动,由它们自己决定需要采取什么行动以实现其设计目标.其次,每个Agent可以与其他Agent进行交互,这种交互不是简单地交换数据,而是参与某种社会行为,就像我们在每天的生活中发生的
Linux内核参数解释
weixin_40548182的博客
08-27 8807
第1章 内核参数说明 1.1 内核参数列表 kernel.acct acct功能用于系统记录进程信息,正常结束的进程都会在该文件尾添加对应的信息。异常结束是指重启或其它致命的系统问题,不能够记录永不停止的进程。该设置需要配置三个值,分别是: 1.如果文件系统可用空间低于这个百分比值,则停止记录进程信息。 2.如果文件系统可用空间高于这个百分比值,则开始记录进程信息。 3.检查上面两个值的频率(以秒为单位)。 kernel.auto_msgmni 系统自动设置同时运行的消息队列个数。 0:不自动 1:自动 k
Linux 进程间通信-消息队列
ethercat_i7的博客
05-30 708
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
linux消息队列内核限制
热门推荐
04-15 2万+
消息队列: 1.每次msgrcv一个消息,1.那个消息会在内核中移除 2.每次msgrcv都只会给一个消息出来,不管你rcv用多大的buf来接收,都是可以的。如果msgrcv的bufSize小于实际的该消息的大小,那么可以设置一个标志:表示截断。 如果不设置,那么会报错。取不出来。 2.消息满了,则默认0为阻塞,直到有了空间位置,才能snd消息进入到内核。   消息空了,则默认为
Linux 内核态 Socket 编程
无为而无不为
11-27 1万+
1.内核态 socket API 内核态socket编程的过程和用户态下的socket编程流程一样,但是接口不同。Kernel供了一组内核态的socket API,基本上在用户态的sockt API在内核中都有对应的API。 在net/socket.c中可以看到如下导出符号: EXPORT_SYMBOL(kernel_sendmsg); EXPORT_SYMBOL(kernel_recv
【study】linux 进程通信之msg
dachunfree的博客
08-28 780
消息队列消息队列供了一个从一个进程向另外一个进程发送一块数据的方法  每个数据块都被认为是有一个类型,接收者进程接收的数据块可以有不同的类型值  消息队列也有管道一样的不足,就是每个消息的最大长度是有上限的(MSGMAX),每个消息队列的总的字节数是有上限的(MSGMNB),系统上消息队列的总数也有一个上限(MSGMNI) 对比: 管道:流管道 消息:有边
Linux内核的等待队列
thewayma的专栏
11-30 1242
Linux内核的等待队列是以双循环链表为基础数据结构,与进程调度机制紧密结合,能够用于实现核心的异步事件通知机制。在Linux2.4.21中,等待队列在源代码树include/linux/wait.h中,这是一个通过list_head连接的典型双循环链表,如下图所示。 在这个链表中,有两种数据结构:等待队列头(wait_queue_head_t)和等待队列项(wait_queue_t)
Linux网络编程之System V消息队列
Chenk的专栏
09-26 1544
System V消息队列函数: #include #include #include intmsgget(key_t key, int msgflg); intmsgctl(int msqid, int cmd, struct msqid_ds *buf); intmsgsnd(int msqid, const void *msgp, size_t msgsz, int msgflg)
3消息队列(报文队列)实践到内核-消息的接收 z
11-21 469
我是无名小卒,一直想写一些关于内核方面的资料,学习内核很久了,市面上的内核书我都读过了,无法对任何一本书加以总结,因为他就象linux内核一样在不断更新和升级,针对2.6内核现在市面上非常缺少相关内核的分析资料情况,当然,也有不少网友写了一些关于2.6内核的博客文章,我也看过,但是写的不够深刻具体,总是在内核的过程上粗略的一笔带过,因此我下决心只要有空闲时间就写一些日志来与大家分享,很多书籍
进程间通信(十八)——消息队列内核实现(下):内核实现
Scroll_C的博客
03-18 1565
消息队列内核实现(下):内核实现 POSIX消息队列内核实现 相关数据结构:/usr/include/linux/mqueue.h、ipc/mqueue.c 消息队列是消息的链表,存储在内核中,由消息队列标识符标识 标识符成为消息队列的ID,程序通过这个句柄可以操作消息队列 消息属性 一个无符号整数优先级 消息的数据长度(可以为0) 消息的数据本身 system V 消息队列内核实现 相关数据结构:msgid、/usr/include/linux/msg.h、/ipc/msg.c
消息:ftok(), msgget(), msgsnd(),msgrcv(),msgctl()
念愿的专栏
07-21 1880
/* * msgsnd.c * * Created on: 2012-7-20 * Author: liwei.cai */ //以下是消息队列发送端的代码,与接收端配合使用, //输入字符串quit时退出程序,其他字符串发送 #include #include #include #include #include #include #include #de
msgrcv()函数特性
技术专栏
11-13 9919
msgtyp:从消息队列内读取的消息形态。如果值为零,则表示消息队列中的所有消息都会被读取。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值