kernel pwn 入门(四) ret2dir详细

原创 于 2025-08-13 22:14:33 发布 · 851 阅读 · 28 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ctf #pwn

介绍

ret2dir 是哥伦比亚大学网络安全实验室在 2014 年提出的一种辅助攻击手法,主要用来绕过 smep、smap、pxn 等用户空间与内核空间隔离的防护手段
原论文见此处: ret2dir原文论文

参考:kernel pwn入门到大神
ret2dir

ret2dir原理

在开启了smep/smap后,内核空间到用户空间的直接访问被禁止,也就是传统的ret2usr失效了,如下图(图片来源于论文)。
在这里插入图片描述
为饶过这种限制,原文作者找到了一段区域,可以隐式的访问到用户空间数据。在内核空间就能访问到用户空间的数据,该区域也被称为phsymap,是很大一段的虚拟内存,映射了整个物理内存
这片区域叫做:direct mapping of all physical memory
在这里插入图片描述

这个映射区其实就是内核空间会与物理地址空间进行线性的映射,我们可以在这段区域直接访问到物理地址对应的内容。

在这里插入图片描述
下图就是在论文中对ret2dir这种攻击的示例图,不和ret2usr一样,指针不是指向用户空间,而是指向直接映射区域,在用户空间构造的payload也会映射到物理地址,所以只要在phsymap区域找到用户空间的payload就能执行。在高版本内核中 direct mapping area没有可执行权限需要通过ROP利用

在这里插入图片描述
因此若能获得指向存在payload的用户空间对应的物理地址在phsymap位置,就能够直接执行用户空间的payload

  1. 通过读取/proc/pid/pagemap可获取映射地址,该文件中存放了物理地址与虚拟地址的映射关系,可是该文件需要root权限才能读取.
  2. 利用堆喷技术phsymap区域填充大量payload,提高命中概率。

在这里插入图片描述

ret2dir手法总结:

  • 利用mmap或者堆喷技术在用户空间喷射大量相同的payload
  • 随机挑选direct mapping area上的地址,大概率命中写入的payload

pt_regs

系统调用:用户态布置好相应的参数后执行 syscall 进入到内核中的 entry_SYSCALL_64,随后通过系统调用表跳转到对应的函数

entry_SYSCALL_64 :当程序进入到内核态时,该函数会将所有的寄存器压入内核栈上,形成一个 pt_regs 结构体,该结构体实质上位于内核栈底.

entry_SYSCALL_64定义在arch/x86/entry/entry_64.S

在这里插入图片描述
pt_regs定义在arch/x86/include/asm/ptrace.h

struct pt_regs {
   
   
/*
 * C ABI says these regs are callee-preserved. They aren't saved on kernel entry
 * unless syscall needs a complete, fully filled "struct pt_regs".
 */
	unsigned long r15;
	unsigned long r14;
	unsigned long r13;
	unsigned long r12;
	unsigned long rbp;
	unsigned long rbx;
/* These regs are callee-clobbered. Always saved on kernel entry. */
	unsigned long r11;
	unsigned long r10;
	unsigned long r9;
	unsigned long r8;
	unsigned long rax;
	unsigned long rcx;
	unsigned long rdx;
	unsigned long rsi;
	unsigned long rdi;
/*
 * On syscall entry, this is syscall#. On CPU exception, this is error code.
 * On hw interrupt, it's IRQ number:
 */
	unsigned long orig_rax;
/* Return frame for iretq */
	unsigned long rip;
	unsigned long cs;
	unsigned long eflags;
	unsigned long rsp;
	unsigned long ss;
/* top of stack page */
};

内核栈只有一个页面的大小,而pt_regs固定在内核栈底部,当可以劫持到rip的时候,需要通过rop来控制rsp可以使用到pt_regs来构造ROP。

注意:

  • 在内核版本 5.13 之前 pt_regs 结构体栈顶的偏移值基本是固定的(因为内核栈只有一个 page),通常可以借助 add rsp, val ; ret 的 gadget 劫持一处函数指针就能实现进一步 ROP 利用。

  • 但是,在 5.13 及之后do_syscall_64 函数入口处,新增了一行
    add_random_kstack_offset();来源于 2021 年 的一个 commit,效果是在栈底的 pt_regs
    之上放了一个不超过 0x3FF 的偏移,使得利用的稳定性大幅下降。

模板:

__asm__(
    "mov r15,   0xbeefdead;"
    "mov r14,   0x11111111;"
    "mov r13,   0x22222222;"
    "mov r12,   0x33333333;"
    "mov rbp,   0x44444444;"
    "mov rbx,   0x55555555;"
    "mov r11,   0x66666666;"
    "mov r10,   0x77777777;"
    "mov r9,    0x88888888;"
    "mov r8,    0x99999999;"
    "xor rax,   rax;"
    "mov rcx,   0xaaaaaaaa;"
    "mov rdx,   8;"
    "mov rsi,   rsp;"
    "mov rdi,   seq_fd;"        // 这里假定通过 seq_operations->stat 来触发
    "syscall"
);

系统调用

最低0.47元/天 解锁文章
PWN入门(三)——ret2text /ret2syscall /ret2shellcode
Jack_Grealish的博客
11-10 2129
根据目录看文章结构,优快云中没有Typora那么多级标题,所以有点乱。
[调试逆向] Linux内核PWN-ret2dir(附赠基础slub算法!)
ysxx188888的博客
03-13 517
利用的主要是这么个思想以及物理内存的情况,本题也是回忆起了很多内核PWN的基础知识点,算是慢慢抓起来了。
PWN —— ret2libc1
qq_41696518的博客
07-03 536
ret2libc1
pwn学习之ret2libc
weixin_43800829的博客
02-16 1484
title: pwn学习之ret2libc date: 2020-01-29 18:07:07 tags: pwn学习 在家无聊了的第二天,继续学习pwn的知识 ​ 今天看了看wiki-ret2libc的内容,觉得受益匪浅。 原理 ​ ret2libc说白了就是让我们之前的ret不往shellcode或者vul上跳 而是跳到了某个函数的plt或者got的位置 从而实现控制程序的函数去执行li...
PWN简单学习ret2shellcod,ret2syscall
m0_51974791的博客
07-19 372
testret2shellcodeROP---ret2syscall ret2shellcode 在程序中往往不会直接留给回门程序 这时候可以篡改栈帧上的返回地址为攻击者手动传入的 shellcode 所在缓冲区地址,初期往往将 shellcode 直接写入栈缓冲区。 目前由于 the NX bits 保护措施的开启,栈缓冲区不可执行,故当下的常用手段变为向 bss 缓冲区写入 shellcode 或向堆缓冲区写入 shellcode 并使用 mprotect 赋予其可执行权限。 首先看一下基本信息,是一个
【linux内核漏洞利用】ret2dir利用方法
最新发布
m0_59236602的博客
07-02 703
目的:利用return-to-direct-mapped memory(ret2dir)攻击技术绕过SMEP,SMAP,PXN,KERNEXEC,UDEREF,KGuard保护。简单来说,通过利用一个核心区域,直接映射系统的一部分或全部物理内存(用户空间内存映射到physmap,内核可直接访问physmap),允许攻击者在内核地址空间内访问用户数据。 防护:排他性页框架所有权机制(exclusive page frame ownership scheme),能以很低的性能损耗缓解ret2dir攻击。 作
kernel pwn】(壹)初探
weixin_43960998的博客
03-18 755
1.环境搭建 只需要安装一个qemu就好了: sudo apt-get install qemu 2.准备工作 一般kernel题目会给一些文件,分别是boot.sh,bzImage,rootfs.cpio,分别是启动脚本,内核映像,根文件系统映像。题中所给的 rootfs.cpio 一般先是一个压缩包,需要重命名后解压出真正的文件目录,这里参考 cnitlrt师傅的文章给出一些常用脚本: 首先是解包脚本: #!/bin/bash mv $1 $1.gz unar $1.gz mv $1 core mv
ret2dir漏洞复现
bunner_的博客
03-19 526
参考的博客: linux kernel pwnret2dir 学习 ioctl系统调用过程(深入Linux(ARM)内核源码) ret2dir漏洞复现 原理 ret2dir是利用内核空间和用户空间的隐性地址共享来实现对一些SMEP和SMAP保护机制进行绕过 SMAP保护机制保证了内核只可以对内核空间里的数据进行访问,而physmap恰好处在内核空间中,却可以映射用户空间映射的物理地址 SMEP保护机制保证了内核态下无法执行用户空间的代码 liinux x86_64内存布局 低128TB为用户空间
【学习札记NO.00004】Linux Kernel Pwn学习笔记 I:一切开始之前
arttnba3的博客
02-25 845
【学习札记NO.00004】Linux Kernel Pwn学习笔记 I:一切开始之前[GITHUB BLOG ADDR](https://arttnba3.cn/2021/02/21/NOTE-0X02-LINUX-KERNEL-PWN-PART-I/)0x00.Linux Kernel Basic Knowledge一、内核内核架构:微内核 & 宏内核(单内核)宏内核(Monolithic Kernel,又叫单内核)微内核(Micro Kernel)二、分级保护域Intel Ring Model
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)
热门推荐
Bossfrank的博客
12-08 1万+
本文详解了pwn题目中ret2libc的解题思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位和64位的两个具体题目具体的介绍了解pwn题的完整过程。
字符串溢出(pwn溢出)--ret2shellcode
莫慌的博客
09-26 2349
pwn 入门
缓冲区溢出-CTF-PWN
04-28
<img src="https://img-bss.youkuaiyun.com/202004281305056475.jpg" alt="" />
PWN --- ret2shellcode
qq_41696518的博客
06-28 1077
PWN ret2shellcode
pwn基本ROP——ret2libc
turtlesd的博客
04-26 3315
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
PWN Ret2text
weixin_42306891的博客
03-21 1895
题目:文件夹内; 工具:IDA,gdb,pwntools; 解题思路:关键在偏移量 ; 解题: 1,IDA大法secure函数 调用了system函数,我们要做的是以此拿到shell即可; Main还使用了gets,存在栈溢出风险,以此为突破; 现在分两种解法; 1,gets函数的地址: 下端点,进行一波操作; 信息如下: S相对...
PWN题型之Ret2Libc
swedsn
03-18 6488
文章目录前言0x1 :使用前提条件0x2 :为什么要这么使用0x3 :使用方法0x4 :实例二、使用步骤总结 前言 菜鸡总结,如有不对,请指点 0x1 :使用前提条件 查看保护:开启了NX保护,但是没有开启PLE保护,可以开启canary保护。但是这样就是两种题型结合了。 打开IDA查看源代码:存在溢出条件,但是没有system函数(/bin/sh)和 flag字样。 ` 0x2 :为什么要这么使用 由于缺少system函数,所以需要构造shellcode。但是开启了NX保护(可执行的不可修改,可修改不可执
PWN初体验之ret2text
weixin_43137410的博客
08-04 859
"Hello,World!"的浪漫可能只有直男才懂!
pwn基本ROP——ret2syscall
turtlesd的博客
04-25 3029
ret2syscall环境原理系统调用利用方式漏洞分析使用`checksec`指令查看程序保护措施使用IDE32位进行调试payload 环境 ret2syscall 原理 系统调用 系统调用(英语:system call),指运行在用户空间的程序向操作系统内核请求需要更高权限运行的服务。 操作系统的进程空间可分为用户空间和内核空间,它们需要不同的执行权限。其中系统调用运行在内核空间。 应用程序调用系统调用的过程是: 1、把系统调用的编号存入 EAX; 1、把函数参数存入其它通用寄存器; 3、触发 0x80
pwn ret2syscall
young‘s blog
02-11 1063
学了学pwndbg的使用,文章在这里:gdb+pwndbg食用指南 这篇博客注定是一篇水文,因为昨天做了做XCTF攻防世界上的题目,基础题都做不来,那题应该是ret2text的内容,还是太菜,没有深刻理解原理,导致做不出,对于ret2syscall现在理解的不深刻,在这里记录一下是怎么做的吧,原理懂了再补上。 查看一下文件的基本信息 32位静态链接的程序,开启了NX保护。 由于是静态链接的,所以我...
pwn ret2system
03-03
### ret2system 漏洞利用技术详解 #### 背景介绍 ret2system是一种基于返回导向编程(ROP)的技术,通常用于绕过不可执行堆栈保护机制。这种攻击方式依赖于调用`system()`函数来执行命令或启动shell[^1]。 #### ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

saulgoodman-q

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值