全站搜索
金牛3_猛龙过江_猛龙过江注册官网_首页
金牛3_猛龙过江_猛龙过江注册官网_首页
猛龙过江【本领分享】正在 2021 年再看 ciscn_2017 - babydriver(上)
作者:管理员    发布于:2021-12-05 11:02    文字:【】【】【

  周旋学习过 kernel pwn 的诸君而言,席卷笔者正在内的第一齐初学题基础上都是 CISCN2017 - babydriver 这一说题,同样地,不论是正在 CTF wiki 亦或是其全班人的 kernel pwn 初学教程当中,这一齐题从来都是初学的第一同题(笔者的教程除外)

  当然,在笔者看来,这叙题往日的解法已然过期,笔者个体以为在当下入门 kernel pwn 最好仍旧掌握全班人在用户态下学习的途径——从栈溢出起头再到“堆”

  但不行否认的是,时至今日,这一同题还是齐备着格外的的进修价值,保持是一块不错的 kernel pwn 初学题,于是笔者即日就来带全体看看——到了2021年,这一齐 2017年的“基本的 kernel pwn 入门题”的解法事实有了些什么改动,又能给他们带来什么样的指点,笔者将借助这篇文章敷陈少少 kernel pwn 的独霸思途

  笔者将实验给出正在区分的内核版本下这沿途题的解法,因而需要从头编译本题的内核模块,但是笔者正在网上未能找到本题的源码,好在问题逻辑并不复杂,笔者拣选我方复刻一份

  猛龙过江

  此中加载了一个叫做babydriver.ko的驱动,从命向例这个就是有着怠忽的驱动

  正在全班人左右open睁开开发文献时该驱动会分派一个chunk,该chunk的指针贮存于全部变量babydev_struct中

  在封锁兴办文件时会释放该chunk,然则并未将指针置NULL,存在UAF疏忽

  倘若谁的程序展开两次建造babydev,因为其chunk积蓄正在全局变量中,那么谁将会得到指向统一个chunk的两个指针

  而在关合设备后该chunk虽然被开释,然而指针未置0,他们们便能够掌管另一个文件描画符掌握该chunk,即Use After Free忽略

  而进程ioctl你们们便能够调节这个chunk的大幼,,那么只有全部人们将该chunk的大小设为一个cred布局体的大幼后封锁该设置,之后fork出新进程,那么内核中该平静chunk就会被分配给新的经过算作其cred组织体,而全班人此时再有另一个文献描述符能够支配该内核模块中的该chunk,只有厘正该cred机关体的 euid 为root便可以完成提权

  外地考试的话就放进磁盘浸新打包后qemu起格局,运行即可得到root shell

  侦察到在内核中有着如下的 gadget 可以很利便地改变 cr4 寄存器的值:

  正在 /dev 下有一个伪结尾筑造 ptmx ,在谁张开这个建立时内核中会创修一个 tty_struct 构造体,与其我范例设备彷佛,tty驱动兴办中同样存正在着一个寄放着函数指针的组织体 tty_operations

  那么全部人不难思到的是大家可能经历 UAF 威迫 /dev/ptmx 这个兴办的 tty_struct 机关体与其里面的 tty_operations 函数外,那么在所有人对这个配置举办响应支配(如write、ioctl)时便会践诺他们罗列好的恶意函数指针

  因为没有开启SMAP保护,故所有人可能正在用户态进程的栈上罗列ROP链与fake tty_operations构造体

  内核中没有一致one_gadget一类的工具,所以为了落成ROP全部人还必要举行一次栈迁移

  独揽gdb举行调试,稽核内核在调用所有人们的恶意函数指针时各存放器的值,他们们正在这里选择要挟tty_operaionts组织体到用户态的栈上,并选取纵情一条内核gadget当作fake tty函数指针以方便下断点:

  那么操纵这条gadget大家便可能很好地竣工栈迁徙的经过,实践全部人们们所构造的ROP链

  而tty_operations结构体初步到其write指针间的空间较小,因而全班人还必要实行二次栈迁徙,这里随意选一条改rax的gadget即可

  看成一块入门级其它问题,这一齐题并没有开启 KASLR,同时内核记号表 /proc/kallsyms 可读,内核的理想在谁面前几乎是一览无余,但倘使开启了 KASLR 且内核记号表不成读呢?这个时刻全部人又该当若何实行控制?

  在特殊的一一面 kernel pwn 问题以至是确凿天地的 cve 的 poc 中,对 tty 筑造实行把握素来都是最热点的门径之一,tty 兴办看待全班人内核进击者而言是一个相当万能的东西箱——她不光能帮助我们们控制内核扩充流,还可以助助大家走漏内核中的合系所在

  胜利揭示内核基址之后,剩下的形式与前面就没有分辩了,终末的 exp 如下:

相关推荐
  • 猛龙过江注册国泰港龙筹办共享航路代码
  • 猛龙过江【本领分享】正在 2021 年再看 ciscn_2017 - babydriver(上)
  • 猛龙过江注册实体店商家营销实施模式共享股东分红形式诱导共享商店源码
  • 猛龙过江展锐唐古拉V516经过IMT-2020(5G)胀吹组uRLLC关键本领试验
  • 猛龙过江LGD一职员因试图暴露大尺寸OLED中心本事被捕
  • 猛龙过江注册2021年深圳物联网本领操纵能力较量班师进行深圳市物联网财富协会再立新功!
  • 猛龙过江注册共享商铺模式先容与软件修筑共享股东体系源码演示
  • 猛龙过江注册抖音电商协同源码本钱公布《新品牌生长趋向白皮书
  • 猛龙过江注册威胜音信获153家机构调研:公司勤奋于以物联网技巧重塑电、水、气、热能源的高效办理及需要消防、园区、社区、城市的数智化解决预备(
  • 猛龙过江杭州铭师堂教训用互联网+本事 尽力激动四平日常高中万种化进展
  • 脚注信息
    版权所有 Copyright(C)2020 猛龙过江
    网站地图|xml地图|友情链接: 百度一下