提权姿势modprobe_path修改文件权限

已于 2022-05-02 20:24:15 修改
阅读量597 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: linux pwn-kernel 文章标签: linux
于 2022-05-02 20:20:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/csdn546229768/article/details/124546007

最近看内核exp时候一些题目的另一种解法可以通过modprobe_path方式读取flag,好像挺好玩的

定义

在内核运行一个未知类型的文件时,modprobe_path就会指向这个未知文件,当内核运行一个错误格式的文件后,内核会自动调用这个modprobe_path指向的文件,因为内核执行的权限是root权限,当我们将modprobe_path指向一个我们用于查看具有root权限的flag文件,那么就能得到flag

//源码定义如下:kernel/kmod.c
char modprobe_path[KMOD_PATH_LEN] = "/sbin/modprobe";

实际调用如下:

//linux4.4.7 /kernel/kmod.c
static int call_modprobe(char *module_name, int wait)
{
	struct subprocess_info *info;
	static char *envp[] = {
		"HOME=/",
		"TERM=linux",
		"PATH=/sbin:/usr/sbin:/bin:/usr/bin",
		NULL
	};

	char **argv = kmalloc(sizeof(char *[5]), GFP_KERNEL);
	if (!argv)
		goto out;

	module_name = kstrdup(module_name, GFP_KERNEL);
	if (!module_name)
		goto free_argv;

	argv[0] = modprobe_path;
	argv[1] = "-q";
	argv[2] = "--";
	argv[3] = module_name;	/* check free_modprobe_argv() */
	argv[4] = NULL;

	info = call_usermodehelper_setup(modprobe_path, argv, envp, GFP_KERNEL,
					 NULL, free_modprobe_argv, NULL);
	if (!info)
		goto free_module_name;

	return call_usermodehelper_exec(info, wait | UMH_KILLABLE); 
  //启动用户模式应用程序  info结构体里面包含了子进程信息和modprobe_path

free_module_name:
	kfree(module_name);
free_argv:
	kfree(argv);
out:
	return -ENOMEM;
}

使用

/ $ cat /proc/kallsyms | grep modprobe_path #不一定会有
ffffffff81e476e0 D modprobe_path

符号里面没有 modprobe_path 地址的时候可以通过一些函数的引用来找

比如__request_module

  • 通过shell命令(开启保护后需要root身份):grep __request_module /proc/kallsyms查看汇编即可得到字符串地址

    / $ grep __request_module /proc/kallsyms #user
0000000000000000 T __request_module
0000000000000000 t __request_module.cold.4
/ # grep __request_module /proc/kallsyms  #root
ffffffff810833e0 T __request_module #addr
ffffffff8108378b t __request_module.cold.4

  • 通过gef插件:(不用root身份就可以查看)

    gef➤  xinfo __request_module
────────────────────────────────── xinfo: 0xffffffff810833e0──────────────────────────────────
Page: 0x00000000000000  →  0xffffffffffffffff (size=0xffffffffffffffff)
Permissions: rwx
Pathname: /home/hnhuangjingyu/kernel/SUCTF2019_sudrv/vmlinux
Offset (from page): 0xffffffff810833e0  //得到的地址
Inode: 0
Segment: .text (0xffffffff81000000-0xffffffff81c01781)
Offset (from segment): 0x833e0
Symbol: __request_module

    这里直接使用gef进行观察

    gef➤  x/30i __request_module
   0xffffffff810833e0 <__request_module>:	push   rbp
   0xffffffff810833e1 <__request_module+1>:	mov    rbp,rsp
   0xffffffff810833e4 <__request_module+4>:	push   r15
   0xffffffff810833e6 <__request_module+6>:	push   r14
//。。。。忽略。。。。。。。
   0xffffffff81083425 <__request_module+69>:	jne    0xffffffff810835a6 <__request_module+454>
   0xffffffff8108342b <__request_module+75>:	xor    r15d,r15d
   0xffffffff8108342e <__request_module+78>:	cmp    BYTE PTR [rip+0x11beeeb],0x0        # 0xffffffff82242320  //在这里!!!
   0xffffffff81083435 <__request_module+85>:	jne    0xffffffff8108345e 
   
 -------------------- -------------------- -------------------- --------------------
gef➤  strings 0xffffffff82242320
0xffffffff82242320:	"/sbin/modprobe"
0xffffffff8224232f:	""
0xffffffff82242330:	""

    那么就得到了modprobe_path = 0xffffffff82242320

mod_tree

mod_tree这个内核指针里面包含了模块指针的内存地址。通过它可以获取到ko文件的地址

/sbin # cat /proc/kallsyms | grep mod_tree
ffffffff811043e0 t __mod_tree_remove
ffffffff81105b00 t __mod_tree_insert
ffffffff81e09200 d mod_tree

使用实例:

题目2019 suctf sudrv -> https://blog.youkuaiyun.com/csdn546229768/article/details/124367307

基于modprobe_path的内核方法
weixin_46483787的博客
04-18 996
什么是modprobe? 这玩意就是用于在Linux内核中添加一个可加载的内核模块,或者从内核中移除一个可加载的内核模块,它是我们在Linux内核中安装或卸载新模块时都要执行的一个程序。该程序的路径是一个内核全局变量,默认为/sbin/modprobe,我们可以通过运行以下命令来查看该路径: cat /proc/sys/kernel/modprobe 这个路径是可写的,普通用户也是可以更改它的 而当内核运行一个错误格式的文件(或未知文件类型的文件)的时候,也会调用这个 modprobe_path所指向
linux kernal pwn STARCTF 2019 hackme(一) 劫持modprobe_path
yongbaoii的博客
04-20 598
从用户态传入了0x20的数据,其数据放在了pool里面 在IDA里面看的话就是 就是他传入的四个QWORD 。 我们可以看得出来30001的时候就是通过v17来找到相关地址,然后kfree,再清零 所以其实就看得出来v17是index。 功能30002 v8是slab的地址 v20是从哪开始写 v9[1]里面就是size 所以就是往里面写 功能30003 上面是写进去 所以这个自然就是读出来 功能30000 读入一段 根据这一段申请slab 漏洞有两个 首先我们显而易见的在读写slab的时候对of.
kioptrix1(mod_ssl版本漏洞
m0_66299232的博客
10-25 920
1.这里也可以从github中下载相关项目!按照步骤走即可。2.查找mod_ssl相关漏洞,进行编译,即可成功。攻击机系统:kali linux 2021.1。2.下载完 进入Openluck目录,进行编译。5.运行,成功,轻松拿下!探测目标靶机开放端口和服务情况。虚拟机网络链接模式:桥接模式。4.找到对应版本,填写参数。
13linux ------1.使用groupadd命令新增组, 2.使用groupmod命令修改组 3.groupdel删除组。 2.切换用户身份、
hello world
03-21 491
学习用户权限管理,之前先了解组的概念: 组就是一个逻辑概念。逻辑上将多个用户捆绑成一个组,当我们操作组的时候就相当于在操作组下的所有用户。 组的信息存放在那里? /etc/group /etc/gshadow 查看用户属于哪个组 groups username ** 一.组的使用,组的创建、删除、修改 groupadd groupdel groupmod ** 组的分类: 基本组:创建...
linux 内核总结(demo+exp分析) -- 任意读写(四)
北观止的博客
12-23 360
hijack_modprobe_path篇 原理同hijack_prctl, 当用户执行错误格式的elf文件时内核调用call_usermodehelper(char *modprobe_path ...) 修改modprobe后,即可实现root权限任意命令执行 攻击流程 (内核任意读写漏洞)内核修改全局变量 modprobe_path为目标指令 写入错误格式elf文件,并手动执行,触发 原文地址 一. 利用步骤 1. 定位modprobe_path(开启kaslr
任意地址读写驱动(cred、VDSO、modprobe_path、core_pattern、修改内核指针
YJM_____的博客
02-17 999
驱动实战 题目网址:https://github.com/bsauce/kernel_exploit_series 业务流程 ioctl 先分析下驱动程序 static long do_ioctl(struct file *filp, unsigned int cmd, unsigned long args) { int ret; unsigned long *p_arg = (unsigned long *)args; ret = 0; switch(cmd) { ... case
Linux内核漏洞利用技术:覆写modprobe_path .pdf
09-05
Linux内核漏洞利用技术:覆写modprobe_path 安全架构 安全架构 业务风控 系统安全 APT
ioctl_beep.zip_linux beep_linux beep modprobe
09-24
4. **安装和测试**:编译完成后,将生成的驱动文件(通常是`.ko`扩展名的模块)复制到开发板上,然后通过`insmod`或`modprobe`命令安装。接着,可以编写简单的程序测试`beep`功能,通过`ioctl`调用来触发蜂鸣器。 5...
命令执行nc的用法
04-20
是指在获取了系统的一个非管理员账号后,使用特定的技术手段权限,获得系统管理员或root权限的过程。本文的示例针对的是Linux内核版本2.6.18-194.el5,但所涉及的技术与概念在其他版本中也可能适用。 知识...
动态链接与可安装模块
qq_41104683的博客
07-10 675
动态链接与可安装模块
modprobe命令 内核模块智能加载工具
01-09
modprobe命令用于智能地向内核中加载模块或者从内核中移除模块。 modprobe命令可载入指定的个别模块,或是载入一组相依的模块。若在载入过程中发生错误,在modprobe会卸载整组的模块。内核模块加载成功或失败信息可以使用dmesg指令来查看。 语法格式: modprobe [参数] [模块名] 常用参数: -a 加载命令行给出的全部的模块 -c 显示所有模块的设置信息 -d 使用排错模式 -l 显示可用的模块 -r 从内核中移除模块 -t 指定模块类型 -s 记录错误信息到系统日志中 — -show-depends 显示模块依赖关系 -v 执行
modprobe_path】RWCTF2022-Digging-into-kernel-2
qq_61670993的博客
10-09 173
modprobe_path 的简单利用
Linux 命令——modprobe
czw
11-12 704
用于智能地向内核中加载模块或者从内核中移除模块。modprobe可载入指定的个别模块,或是载入一组相依的模块。modprobe会根据所产生的相依关系,决定要载入哪些模块。若在载入过程中发生错误,在modprobe会卸载整组的模块。modprobe命令的主要作用有以下几个方面:加载内核模块:modprobe命令可以根据模块名自动查找并加载相应的内核模块。当系统需要某个功能或驱动程序时,可以使用modprobe命令加载相应的内核模块,使其成为内核的一部分,从而实现该功能或驱动程序的使用。
modprobe命令用于智能地向内核中加载模块或者从内核中移除模块
uunubt的专栏
10-24 878
其实modprobe -l读取的模块列表就位于/lib/modules/`uname -r`目录中;模块名是不能带有后缀的,我们通过modprobe -l所看到的模块,都是带有.ko或.o后缀。-r或--remove:模块闲置不用时,即自动卸载模块;-c或--show-conf:显示所有模块的设置信息;-v或--verbose:执行时显示详细的信息;-V或--version:显示版本信息;-l或--list:显示可用的模块;-a或--all:载入全部的模块;-t或--type:指定模块类型;
insmod: ERROR: could not insert module xxx.ko: Operation not permitted
热门推荐
SweeNeil
03-06 5万+
今天编程插入模块的时候遇到了这个问题,具体报错信息如下: insmod: ERROR: could not insert module analyze_inode.ko: Operation not permitted 看到 Operation not permitted首先想到的就是权限问题,但是我已经在超级权限下执行了这个命令,情况如下图所示: 可是在root用户或者sudo权限下...
Linux Kernel Exploit 内核漏洞学习(4)-RW Any Memory
钞sir的博客
09-02 1万+
简介 RW Any Memory的全称是Read and write any memory, 就是内存任意读写;通常这种类型的漏洞是由于越界读写或者错误引用了指针操作造成可以修改控制某个区域里面的指针,导致我们可以改变程序的常规读写区域甚至程序执行流程… 这里我是利用2019 STARCTF里面的hackeme来演示和学习这种漏洞的利用,其中环境和题目我放在github上面了.需要的话可以自行下载...
获取linux内核基址,Linux内核漏洞利用技术:覆写modprobe_path
weixin_42498347的博客
04-30 342
0x00 前言如果大家阅读过我此前发表的Linux内核漏洞利用的相关文章,可能会知道我们最近一直在学习这块内容。在过去的几周里,我的团队参加了DiceCTF和UnionCTF比赛,其中都包括了Linux内核PWN题目。凭借我有限的知识,在比赛过程中没有解出这类题目。但是通过阅读其他优秀CTF团队和成员的文章,我发现他们很多人都在使用一种相似的技术,这样一来在使用Payload时就完全不需要经历调用...
modprobe
xin_mingtian的博客
08-09 1150
Linux有许多功能是通过模块的方式,在需要时才载入kernel。如此可使kernel较为精简,进而高效率,以及保有较大的弹性。这类可载入的模块,通常是设备驱动程序。在此介绍一下linux中关于模块的命令。 Linux操作系统的核心具有模块化的特性,因此在编译核心时,无需把全部的功能都放入核心。你可以将这些功能编译成一个个单独的模块,待需要时再分别载入。 modprobe
modprobe命令详解
程序猿Ricky的日常干货
04-26 1万+
modprobe工具可以智能的添加和删除一个模块,之所以说它智能,是因为它能够通过配置的一些预定义的规则解析出模块之间的依赖关系,并且自动加载依赖的模块。 modprobe会从 /lib/modules/uname -r目录中查找要加载的模块以及对应的依赖规则,除了这个目录以外,modprobe还有一个配置目录/etc/modprobe.d,这个配置目录中是用户可以自定义的一些modprobe行...
modprobe ipmi_devintf
最新发布
06-11
### 使用 `modprobe` 加载 `ipmi_devintf` 模块的方法 在 Linux 系统中,加载 `ipmi_devintf` 模块通常需要确保系统支持 IPMI(Intelligent Platform Management Interface),并且相关模块已经正确安装。以下是关于如何使用 `modprobe` 加载 `ipmi_devintf` 模块以及可能遇到的问题和解决方案。 #### 1. 确保模块可用 在使用 `modprobe ipmi_devintf` 命令之前,需要确认该模块是否存在于系统的模块目录中。可以通过以下命令检查模块是否存在: ```bash ls /lib/modules/$(uname -r)/kernel/drivers/char/ipmi/ ``` 如果未找到 `ipmi_devintf.ko` 文件,则说明系统中缺少该模块,可能需要重新编译内核或安装相关的驱动程序[^1]。 #### 2. 加载 `ipmi_devintf` 模块 在确认模块存在后,可以使用以下命令加载模块: ```bash sudo modprobe ipmi_devintf ``` 此命令会自动处理模块的依赖关系,并加载所需的其他模块,例如 `ipmi_msghandler` 和 `ipmi_si`[^2]。 #### 3. 检查模块是否成功加载 加载模块后,可以通过以下命令验证模块是否已成功加载: ```bash lsmod | grep ipmi_devintf ``` 如果输出包含 `ipmi_devintf`,则表示模块已成功加载。 #### 4. 解决模块找不到的问题 如果执行 `modprobe ipmi_devintf` 时示“FATAL: Module ipmi_devintf not found”,可以按照以下步骤排查问题: - **确认模块路径**:确保模块文件位于 `/lib/modules/$(uname -r)/kernel/drivers/char/ipmi/` 目录下。 - **更新模块依赖文件**:运行以下命令以更新 `modules.dep` 文件,确保 `modprobe` 能够正确解析模块依赖关系: ```bash sudo depmod -a ``` - **检查内核版本**:确保当前运行的内核版本与模块编译时的内核版本一致。如果不一致,可能需要重新编译模块或升级内核[^3]。 #### 5. 验证设备节点 加载 `ipmi_devintf` 模块后,应检查是否生成了相应的设备节点。可以通过以下命令确认: ```bash ls /dev/ipmi* ``` 如果没有生成设备节点,可能是由于硬件不支持 IPMI 或者模块加载失败。此时可以尝试手动加载所有相关模块: ```bash sudo modprobe ipmi_msghandler sudo modprobe ipmi_devintf sudo modprobe ipmi_si ``` #### 6. 使用 `ipmitool` 测试功能 加载模块后,可以使用 `ipmitool` 工具测试 IPMI 功能是否正常工作。例如: ```bash sudo ipmitool sensor list ``` 如果工具能够正常返回传感器信息,则说明模块加载成功且功能正常。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值