发表于 | 分类于

之前写过一篇文章主要描述了一下ptmalloc的流程,今天翻了一下文件夹,把很久以前研究ptmalloc绕过时写的c语言demo也一起发出来,供初学者学习, 这份c语言demo 总结了至今为止,pwn中出现的大部分heap利用思路,内容涵盖glibc2.23, glibc2.27, glibc2.29

阅读全文 »

发表于 | 分类于

本文详细讲解linux内核的加载过程,参考linux-insiders,并结合linux-5.6.6代码对原文的部分老旧内容做修改

引导

  1. 按下电源开关后, CPU设置寄存器为预定值,程序在实模式下运行,程序首先执行0xfffffff0(映射至ROM)处内容,此处为复位向量,直接跳转至BIOS。

  2. BIOS初始化,检查硬件,寻找可引导设备,跳转至引导扇区代码(boot.img)

    • 寻找可引导设备方式: 定位MBR分区, 引导扇区存储在第一个扇区(512字节)的头446字节处。引导扇区以0x55和0xaa(magic bytes)结束。

    • MBR分区代码只占用一个扇区, 空间较小,只执行了一些初始化工作, 然后跳转至GRUB2的core image(以diskboot.img为起始)继续执行。

阅读全文 »

发表于 | 分类于

linux 内核提权总结(demo+exp分析) – ROP(二)

ret2usr CR4篇

  • smep: smep是内核的一种保护措施, 使得内核不可执行用户态代码

    • 内核通过CR4寄存器的第20位来控制smep, 第20位为0时,smep被关闭

  • 攻击流程

    1. 提前在用户态代码中构造进程提权代码(get_root)
    2. ROP技术修改CR4第20位数据为0(关闭smep), 通常使用 mov cr4, 0x6f0
    3. 修改 rip 直接指向用户态提权代码,实现进程提权
阅读全文 »

发表于 | 分类于

linux 内核提权总结(demo+exp分析) – ROP(一)

基础ROP篇(linux 5.0.21)

内核提权与用户态攻击的区别

  • 攻击流程

    • 用户态攻击: 执行 system(“/bin/sh”) 获得shell
    • 内核提权:
      1. 内核执行 commit_creds(prepare_kernel_cred(0)) 使进程获得root权限
      2. 用户态进程执行system(“/bin/sh”) 获得root权限 shell

  • 理解难点

    • 内核rop链构造
    • 用户态进程与内核之间的切换
阅读全文 »

发表于 | 分类于

linux 内核提权总结(demo+exp分析) – 任意读写(四)

hijack_modprobe_path篇

  • 原理同hijack_prctl, 当用户执行错误格式的elf文件时内核调用call_usermodehelper(char *modprobe_path …)

  • 修改modprobe后,即可实现root权限任意命令执行

  • 攻击流程

    • (内核任意读写漏洞)内核修改全局变量 modprobe_path为目标指令
    • 写入错误格式elf文件,并手动执行,触发
阅读全文 »

发表于 | 分类于

linux 内核提权总结(demo+exp分析) – 任意读写(三)

hijack_prctl篇

  • prctl函数: 用户态函数,可用于定制进程参数,非常适合和内核进行交互

    1. 用户态执行prctl函数后触发prctl系统调用
    2. 内核接收参数后执行security_task_prctl
    3. security_task_prctl执行hook.task_prctl

  • poweroff_work_func函数: 内核函数,执行 run_cmd(poweroff_cmd),即root权限执行poweroff_cmd

  • 攻击流程:

    1. 劫持hook.task_prctl为目标函数地址(poweroff_work_func)
    2. 修改poweroff_cmd为目标指令
    3. 用户执行prctl函数,触发
阅读全文 »

发表于 | 分类于

linux 内核提权总结(demo+exp分析) – 任意读写(二)

hijack_vdso篇

  • vdso: 内核实现的一个动态库,存在于内核,然后映射到用户态空间,可由用户态直接调用

    • 内核中的vdso如果被修改,那么用户态空间的vdso也会同步被修改

  • 攻击流程

    1. (内核任意代码执行漏洞)内核调用set_memory_rw 函数修改内核vdso页面属性,使得用户态可以直接修改vdso,劫持vdso为shellcode,触发条件同1
    2. (内核任意读写漏洞)内核修改内核vdso数据,写入shellcode,使得用户态vdso中函数被劫持,当高权限进程调用vdso中特定函数时,触发shellcode,本篇只讲解攻击流程2
阅读全文 »

发表于 | 分类于

linux 内核提权总结(demo+exp分析) – 任意读写(一)

cred篇

  • 每个线程在内核中都对应一个线程结构块thread_info

  • thread_info中存在task_struct类型结构体

  • struct task_struct中存在cred结构体用来保存线程权限

  • 攻击流程

    • 定位某进程的cred结构体
    • 将cred结构提结构体的uid~fsgid全部覆写为0(前28字节)
阅读全文 »

发表于 | 分类于

glibc2.23 ptmalloc 原理概述

linux用户态下的堆溢出利用即是对ptmalloc2安全机制的绕过,只有深入的了解ptmalloc,才能进行精准的堆溢出攻击

阅读全文 »