使用kprobe监控linux内核提权(cred方法)

信安成长日记

已于 2024-09-11 13:42:22 修改

阅读量660

点赞数

CC 4.0 BY-SA版权

分类专栏：安全研发文章标签： linux 运维服务器

于 2022-10-26 22:46:38 首次发布

本文链接：https://blog.youkuaiyun.com/SHELLCODE_8BIT/article/details/127542556

安全研发专栏收录该内容

443 篇文章 ¥9.90 ¥99.00

订阅专栏

超级会员免费看

CVE-2021-22555(COMMIT_CRED方法)

利用成功

利用失败

ftrace使用kprobe相关命令

echo 'p:myprobe commit_creds uid=+4(%di):u32 gid=+8(%di):u32 suid=+12(%di):u32 sgid=+16(%di):u32 euid=+20(%di):u32 egid=+24(%di):u32 fsuid=+28(%di):u32 fsgid=+32(%di):u32' > /sys/kernel/debug/tracing/kprobe_events 


# 检查格式
cat /sys/kernel/debug/tracing/events/kprobes/myprobe/format

#启⽤
echo 1 > /sys/kernel/debug/tracing/events/kprobes/myprobe/enable

#查看结果
cat /sys/kernel/debug/tracing/trace

#禁⽤规则
echo 0 > /sys/kernel/debug/tracing/events/kprobes/myprobe/enable

#删除规则
echo '-:myprobe commit_creds' >> /sys/kernel/debug/tracing/kprobe_events