kernel ROP

最新推荐文章于 2025-03-05 11:45:00 发布
最新推荐文章于 2025-03-05 11:45:00 发布
阅读量923 收藏 2
点赞数 1
分类专栏: # kernel 文章标签: 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_46441427/article/details/120989928
版权

basic knowledge

之前有一个点,root权限时的gid和uid为0
在这里插入图片描述
内核态提权到root,一般就是执行commit_creds(prepare_kernel_cred(0));这两个函数原理就是分配一个新的cred结构,uid = 0,gid = 0。此时就是root权限
输入cat /proc/kallsyms可以查看他们的地址commit_credsprepare_kernel_cred(0)都是内核函数
在这里插入图片描述
在这里插入图片描述
现在看一下2018年qwb的core,回顾一下之前的
start.sh:启动脚本,标明了启动的方法,保护措施等
core.cpio:打包的一个文件,解包以后里面有文件系统,其中以vmlinux命名的是内核的二进制文件,core.ko是存在漏洞的驱动,也就是题目分析中分析的二进制文件

bzlmage:镜像文件
vmlinux:相当于是libc
然后新建一个core文件夹find . | cpio -o --format=newc > ../rootfs在这里插入图片描述
解压core以后把init中的id改成0,这样我们就可以以root权限来执行.sh脚本了
把上面哪一行poweroff删掉,就可以了
然后需要更改start.sh中的-m 为128M,64M太小了
这个core.ko就是有漏洞的程序,打开看一下

[*] '/home/ubuntu20/Desktop/2018qwbcore/core.ko'
    Arch:     amd64-64-little
    RELRO:    No RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x0)

在ida里面看一下,首先

__int64 init_module()
{
   
  core_proc = proc_create("core", 438LL, 0LL, &core_fops);
  printk(&unk_2DE);
  return 0LL;
}

init module创建了i虚拟文件/proc/core,应用层通过该文件实现与内核的交互。

__int64 exit_core()
{
   
  __int64 result; // rax

  if ( core_proc )
    return remove_proc_entry("core");
  return result;
}

删除了proc/core

__int64 __fastcall core_ioctl(__int64 a1, int a2, __int64 a3)
{
   
  switch ( a2 )
  {
   
    case 1719109787:
      core_read(a3);
      break;
    case 1719109788:
      printk(&unk_2CD);
      off = a3;
      break;
    case 1719109786:
      printk(&unk_2B3);
      core_copy_func(a3);
      break;
  }
  return 0LL;
}

ioctl定义了三条命令:core_read(a3),core_copy_func(a3),还有一条是设置全局变量off

先看一下core_read:

unsigned __int64 __fastcall core_read(__int64 a1)
{
   
  char *v2; // rdi
  __int64 i; // rcx
  unsigned __int64 result; // rax
  char v5[64]; // [rsp+0h] [rbp-50h] BYREF
  unsigned __int64 v6; // [rsp+40h] [rbp-10h]

  v6 = __readgsqword(0x28u);
  printk(&unk_25B);
  printk(&unk_275);
  v2 = v5;
  for ( i = 16LL; i; --i )
  {
   
    *(_DWORD *)v2 = 0;
    v2 += 4;
  }
  strcpy(v5, "Welcome to the QWB CTF challenge.\n");
  result = copy_to_user(a1, &v5[off], 64LL);//key
  if ( !result )
    return __readgsqword(0x28u) ^ v6;
  __asm {
    swapgs }
  return result;
}

看到标key的代码,call read从read函数将栈上偏移off处的数据读取到用户态变量中,由上面可知,off变量可以控制,就是可以将栈上任意偏移处的数据读取到用户态变量中,程序开启了canary保护,只要控制了off,这里可以泄漏canary值。
core_copy_func函数:

__int64 __fastcall core_copy_func(__int64 a1)
{
   
  __int64 result; // rax
  _QWORD v2[10]; // [rsp+0h] [rbp-50h] BYREF

  v2[8] = __readgsqword(0x28u);
  printk(&unk_215);
  if ( a1 > 63 )
  {
   
    printk(&unk_2A1);
    return 0xFFFFFFFFLL;
  }
  else
  {
   
    result = 0LL;
    qmemcpy(v2, &name, (unsigned __int16)a1);
  }
  return result;
}

把name传入V2这里存在整数溢出,传进来的长度是一个有符号数,也就是一个大的数就是-1,但是qmemcpy出来的时候是一个无符号数,传入的负数就是一个很大的数
core_write函数可以对全局变量name进行写操作,从用户空间拷贝到内核空间。
core_write

__int64 __fastcall core_write(__int64 a1, __int64 a2, unsigned __int64 a3)
{
   
  printk(&unk_215);
  if ( a3 <= 0x800 && !copy_from_user(&name, a2, a3) )
    return (unsigned int)a3;
  printk(&unk_230);
  return 4294967282LL;
}

从用户空间拷贝过来,把a2拷贝到name,core_write函数会设置name值,name在bss段,rop可以从这里传入,先保存到bss段中,然后core_copy_func函数将其拷贝到内核栈上。

思路:
core_ioctl+core_read控制off值,泄露canary
core_write在name中构造rop
core_copy_func把rop传回给内核
通过 rop 执行 commit_creds(prepare_kernel_cred(0))
返回用户态,通过 system("/bin/sh") 等起 shell

启动qemu,在qemu中查看/proc/kallsyms中的 commit_creds 函数地址

调试

调式:
启动gdb ./vmlinux进行调试,这样虽然加载了kernel的符号表,但是没有加载驱动的符号表add-symbol-file core.ko textaddr加载

[    0.028753] Spectre V2 : Spectre mitigation: LFENCE not serializing, switchie
udhcpc: started, v1.26.2
udhcpc: sending discover
udhcpc: sending select for 10.0.2.15
udhcpc: lease of 10.0.2.15 obtained, lease time 86400
/ # cat /sys/module/core/sections/.tex
最低0.47元/天 解锁文章
qwb2018_core kernel_rop
令则
02-14 594
qwb 2018 core 文章目录qwb 2018 core环境搭建基础修改init脚本调试漏洞整数截断-栈溢出数据泄漏利用 年轻人的第一个内核题目。 环境搭建 基础 解包: # /bin/sh mv core.cpio core/core.cpio.gz cd core gunzip core.cpio.gz cpio -idm < core.cpio rm core.cpio 重打包: # /bin/sh find . -print0 \ | cpio --null -ov --format
ROP和Ret2libc漏洞
qq_67812668的博客
08-12 1083
ROP全称为Return-oriented Programming(返回导向式编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP攻击同缓冲区溢出攻击,格式化字符串漏洞攻击不同,是一种全新的攻击方式,它利用代码复用技术。
kernel pwn】(贰)kernel ROP
weixin_43960998的博客
03-19 463
继续学习 kernel pwn 相关知识,同时记录一些方法。 本文以 QWB2018-core 为例 1.题前准备 解压等一套流程。先看一下 start.sh (修改后): qemu-system-x86_64 \ -m 128M \ -kernel ./bzImage \ -initrd ./core.cpio \ -append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet kaslr" \ -netdev user,id=t0, -
kernel-ROP 2018 强网杯 - core
qq_41071646的博客
07-13 1629
参考链接 CTF wiki https://ctf-wiki.github.io/ctf-wiki/pwn/linux/kernel/kernel_rop-zh/ 说实话 看见强网杯 这三个字 我笑了 2019年的那些pwn 题 真的多 不当人 当时因为我再看 逆向所以 pwn 就负责人一个人 比较难受 暑假多学一些pwn 能够分担pwn 压力吧 然后今天看了一下 k...
Linux Kernel源码阅读:x86-64系统调用实现原理机制
最新发布
深度Linux
03-05 1397
在 Linux Kernel 中,x86-64 系统调用占据着至关重要的地位。系统调用是用户空间程序与内核进行交互的主要机制。与普通函数调用相比,存在着显著的区别。首先,普通函数调用是直接调用,比如在代码中一个函数调用另一个函数,对应的机器指令是 call 指令,直接跳转到被调函数的第一条机器指令所在的内存地址继续执行。而系统调用是间接调用,使用 syscall 指令时,需将系统调用的序号写入 rax 寄存器,CPU 通过读取 rax 寄存器的值确定调用哪个内核函数。其次,在执行指令时模式切换不同。
linux内核rop姿势详解,linux kernel rop
weixin_36137385的博客
05-02 495
Introduction学习 liunx 内核漏洞利用 rop 技术,练习一下内核 rop 链的构造到执行来完成普通用户权限提升。在一般的 ret2usr 攻击中,内核的控制流会被重定向到用户空间中包含权限提升代码的地址处:void __attribute__((regparm(3))) payload() {commit_creds(prepare_kernel_cred(0);}执行上面的代码...
【FGKASLR绕过】2020 hxpctf - kernel rop
qq_61670993的博客
12-01 1165
FGKASLR绕过
Kernel Pwn 入门 (1)
CoLin的pwn小屋
04-24 4912
Kernel pwn 入门 (1):环境搭建、注意事项、第一个Kernel pwn题:QWB2018-Core
0001-TIPS-2020-hxp-kernel-rop : ret2user
06-19
0001-TIPS-2020-hxp-kernel-rop : ret2user
kernel tty_struct
令则
02-14 643
kernel tty_struct exp 文章目录kernel tty_struct exptty_structptmx定义`tty->ops`利用write 执行流利用Fake_opsfake_stackkernel ropexp tty_struct Linux下一个特殊的驱动文件,是默认集成在linux中的, 代码在driver/tty文件夹。主要文件在 pty.c, ptmx 可以看到其对应的 file_operations结构,定义为ptmx_fops, 然后可以看到对应的__init函数
linux内核提取ret2usr,Linux Kernel Exploit 内核漏洞学习(2)-ROP
weixin_30359265的博客
05-07 289
原标题:Linux Kernel Exploit 内核漏洞学习(2)-ROP 本文为看雪论坛精华文章看雪论坛作者ID:钞sir简介ROP的全称为Return-oriented Programming,主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。这种攻击方法在用户态的条件中运用的比较多,ret2shellcode...
如何在kernel启动后,加载initramfs
Jarvis的博客
04-12 1275
在Linux系统中,Initramfs是一个根文件系统的临时文件系统,它在内核启动时加载到内存中,以便提供足够的基本功能来进行系统初始化和准备真实的根文件系统。最后,在内核启动时,它将加载initramfs并将其解压缩到内存中。上述命令将创建一个基本的initramfs结构,并将busybox复制到bin目录下,并将init符号链接到busybox二进制文件。上述命令使用find命令查找initramfs目录下的所有文件,并使用cpio命令将它们打包为一个CPIO存档文件。
linux3.13.0内核溢出漏洞exp,Linux Kernel Pwn 学习笔记(栈溢出)
weixin_42558758的博客
05-06 608
0x01 背景栈溢出是最基本的一个漏洞,学习 pwn 从栈溢出开始学习是比较简单的入门方式。之前也研究过 linux 内核,但因为种种原因不得不放弃。现在跟着安卓版主学习了几天linux内核漏洞,收获了不少知识,开始自己梳理和分享自己的笔记,特此感谢版主老师的教导0x02 内核基本知识Canary: 是防止栈溢出的保护,一般在 ebp-0x8 的位置,学习 linux pwn 的基本知识,不细讲K...
Kernel pwn 基础教学之 Kernel ROP
蚁景网安学院
01-28 2583
点击"蓝字"关注,获取更多技术内容!前言Kernel ROP本质上还是构造ropchain来控制程序流程完成提权,不过相较于用户态来说还是有了一些变化,这里选取的例题是2018年强网杯的赛...
Linux Kernel Exploit 内核漏洞学习(2)-ROP
热门推荐
钞sir的博客
08-05 1万+
简介 ROP的全称为Return-oriented Programming,主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程;这种攻击方法在用户态的条件中运用的比较多,ret2shellcode,ret2libc,ret2text等ret2系列都利用到了ROP的思想,当然这种攻击手法在内核态同样是有用的,并且手法都基...
linux 内核提权总结(demo+exp分析) -- ROP(一)
北观止的博客
12-23 1680
基础ROP篇(linux 5.0.21) 内核提权与用户态攻击的区别 攻击流程 用户态攻击: 执行 system("/bin/sh") 获得shell 内核提权: 内核执行 commit_creds(prepare_kernel_cred(0)) 使进程获得root权限 用户态进程执行system("/bin/sh") 获得root权限 shell 原文地址 理解难点 内核rop链构造 用户态进程与内核之间的切换 一. 漏洞分析 建议初学者先了解基础的驱动程序
linux内核编程----提权creds
Pintitus的博客
05-08 709
一、序言       阅读驱动代码的时候,看到了关于creds方面的函数,但是不知道是做什么的,经过了解,原来是用于给进程/线程提权的。       在创建线程成功以后,需要给线程访问的权限,比如普通用户,也可以是超级用户root。 二、API函数       详见内核驱动中的,多的不说,主要是如下两个函数的应用。 #includ
操作系统真相还原——第7章 中断
qq_43840665的博客
03-01 1603
操作系统中断原理
IPT硬件支持的内核模块ROP透明防护策略
IPT是一种硬件辅助的调试和监控工具,能够记录程序执行过程中的控制流变化,结合虚拟化技术如KVM (Kernel-based Virtual Machine),可以在不改变内核源码的前提下,实时检测和阻止恶意的ROP攻击。 该保护机制的优势...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值