简单GDB
之前学习了 ptrace 系统调用,看了别人写的各种 demo 和简单调试器
我想自己尝试写一个简单的 GDB
目前实现的功能如下:
- 单步执行(步入)
- 显示寄存器
- 显示内存
- 打断点
- 显示断点
代码如下:
1 |
|
祥云杯CTF2022
protocol
1 | protocol: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, BuildID[sha1]=805aff424a7691b51b56996dad2d4c386ab3b31e, for GNU/Linux 3.2.0, stripped |
- 64位,statically,开了 NX
逆向出来没有符号,不过搜索到一个关键的字符串:
1 | sub_43ADCC(v7, 3LL, "/usr/local/include/google/protobuf/metadata_lite.h", 0x4ALL); |
- 搜索到一个叫做 protobuf 的程序
然后在 IDA 中搜索其版本信息
1 | v5 = sub_43A79E(v4, " of the Protocol Buffer runtime library, but the installed version is "); |
1 | v4 = a2 / 1000000; |
- 计算得:version 3.21.8 - Release Protocol Buffers v21.8(github.com)
环境搭建
先编译 protobuf:
1 | cd protobuf-3.21.8/ |
- 配置环境变量:
1 | sudo vim /etc/profile |
1 | sudo vim ~/.profile |
1 | sudo vim /etc/ld.so.conf |
- 安装好之后就会有如下输出:
1 | ➜ protocol protoc --version |
在 /protobuf-3.21.8/examples/ 中有 Cpp 的测试案例(记得在 Makefile 加上 “-g -static”)
1 | make cpp -j8 |
使用 Bindiff 修复一下符号:(虽然修不了 STL 但至少可以标识一下)
我们还需要下载 python protobuf,然后用如下命令进行安装:(写 exp 脚本时会用到)
1 | sudo python3 setup.py build |
1 | ➜ python python3 |
漏洞分析
1 | char buf[256]; // [rsp+140h] [rbp-140h] MAPDST BYREF |
j_strcpy_ifunc造成栈溢出
入侵思路
想要与 protobuf 程序进行交互,必须先找到 protobuf 的格式,以下 Github 项目可以完成这个工作:
- marin-m/pbtk (github.com)
- 使用过程如下:
1 | ➜ protocol ./pbtk/extractors/from_binary.py protocol |
- 在生成的
ctf.proto文件中就可以找到答案:
1 | ➜ protocol cat ctf.proto |
然后参考 protobuf-3.21.8/examples 中的 python 使用案例,把 ctf.proto 文件处理为 python 可以识别的形式:
1 | ➜ protocol protoc --python_out=. ctf.proto |
- 在当前目录中多了一个
ctf_pb2.py,这就是我们需要的目标库
入侵的思路比较简单,就是利用栈溢出写入一个 ROP(这是 statically 文件,只能打 syscall)
只有一个问题比较烦人:j_strcpy_ifunc 会被 “\x00” 截断
解决的办法也比较暴力,分批次从下往上写 ROP 链,每次写入时前面的字符都填入“b”(需要利用 j_strcpy_ifunc 末尾补“\x00”的特性来写入“\x00”)
完整 exp:
1 | import ctf_pb2 |
bitheap
1 | GNU C Library (Ubuntu GLIBC 2.27-3ubuntu1.6) stable release version 2.27 |
1 | bitheap: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=e08d4e4d4446d75cea81e7c8527abcfe54cc8768, stripped |
- 64位,dynamically,Full RELRO,Canary,NX,PIE
漏洞分析
1 | if ( num <= 0xF && chunk_list[num] ) |
- 修改模块中有 off-by-one
- 具体的写入部分:
1 | len = __read_chk(0LL, buf, size, 0x1008LL); |
- 按位写入,可以溢出最后一字节
入侵思路
比赛时我的思路很简单:
- 放满 tcache 使 free chunk 进入 unsortedbin,再利用本题目“申请模块”不写入的特性(不覆盖)进行泄露
- 使用标准的 unlink 攻击模板,造成 overlapping
- 劫持 tcache->next 指针,把 chunk 申请到 free_hook 上
- 劫持 free_hook 为 one_gadget
后来发现 one_gadget 打不通远程,于是把它换成 system,但还是打不通(但可以执行 puts,当时以为服务器上的文件开了沙盒)
之后打算用 ORW:
- 和之前一样的思路进行泄露和劫持 free_hook
- 把 free_hook 劫持为 setcontext+53
- 申请一个足够大的 chunk 用于存放 ORW 链
- 把 free_hook+0xa0 劫持为 ORW 链起始地址(因为我打算直接释放申请出来的 free_hook)
- 把 free_hook+0xa8 劫持为 ret_addr
结果还是打不通远程,当时就以为是题目文件名不是“flag”,但回显信息说明 write 函数根本就没有执行(libc_base 是正确的,程序地址应该也没有问题),这就很郁闷
我当时的 exp 如下:
1 | from signal import pause |
我的队友把 exp 给我改了一下,改后的 exp 如下:
1 | #! /usr/bin/env python3 |
经过调试,有一个很明显的不同就是最后 free 的对象:
- 修改前,释放了申请到 free_hook 的 chunk
- 修改后,释放了一个普通的 chunk(这样的话 ORW 链的起始地址和 ret_addr 就不用写在 free_hook 中,而是写在 heap 里)
1 | *RDI 0x7f4b34e148e8 (__free_hook) —▸ 0x7f4b34a79085 (setcontext+53) ◂— mov rsp, qword ptr [rdi + 0xa0] |
1 | *RDI 0x55bf7fe49e30 ◂— 0x67616c662f2e /* './flag' */ |
其实我习惯于释放 free_hook ,感觉这个应该问题不大(因为本地已经出 flag 了),另一种可能就是我的“描述信息”不完整:
1 | arch = 64 |
- 以前没太注意,之后要写上了
sandboxheap
1 | GNU C Library (Ubuntu GLIBC 2.27-3ubuntu1.6) stable release version 2.27 |
1 | sandbox: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=c27ca36e8af1c678abff1e5ec09e7d2979285761, stripped |
- 64位,dynamically,Full RELRO,NX,PIE
入侵思路
这题前面的过程都和 bitheap 一样,只是开了 ptrace 沙盒:
1 | if ( LODWORD(regs.orig_rax) <= 0x2710 && list[SLODWORD(regs.orig_rax)] ) |
- 当 if 语句条件满足时,ptrace 的 PTRACE_SETREGS 命令就会把 RAX 设置为“-1”
- 因此执行 syscall 时,RAX 不能为
list[SLODWORD(regs.orig_rax)]中所指示的值:
1 | __int64 __fastcall set(char a1) |
sys_execve-59不可能位于白名单中sys_read-0sys_write-1sys_open-2可以同时处于白名单中(需要两个 if 同时成立)sys_mprotect-10也在白名单中
1 | case 0x2710LL: |
- 分析 ptrace 程序得知,在执行 syscall 前,令
rax=0x2710 rdi=0x3就可以绕过沙盒
于是我们需要对原来的 exp 进行修改,利用 sys_mprotect 使堆获取执行权限,然后再堆上执行 shellcode 来调整 rax rdi,然后执行 ORW 的过程
shellcode 如下:
1 | section .text |
1 | ➜ sandboxheap nasm -f elf64 sh.s -o sh.o |
剩下的工作就有些繁琐,需要以题目规定的格式写入 shellcode
在执行 ORW 之前会先执行以下这段 syscall:
1 | ► 0x56322a58cf40 syscall <SYS_<unk_10000>> |
- 这个系统调用可以帮助我们获取 ORW 的白名单
完整 exp 如下:
1 | #! /usr/bin/env python3 |
unexploitable
1 | GNU C Library (Ubuntu GLIBC 2.27-3ubuntu1.6) stable release version 2.27 |
1 | unexploitable: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=5d66afeabecb7b7190cfbdbc4bb6b5846c896e2a, stripped |
- 64位,dynamically,Full RELRO,NX,PIE
入侵思路
1 | ssize_t pwn() |
只有一个栈溢出,没法泄露,没有后门
先进行调试,断点到 pwn 返回之前:
1 | 00:0000│ rsp 0x7ffc641e9d38 —▸ 0x564dcdc0070a ◂— add byte ptr [rax - 0x7b], cl |
- 我们唯一的机会就是爆破
__libc_start_main为one_gadget - 但
__libc_start_main前面还有两个地址,我们不能覆盖
有一个方法可以不破坏栈,并且修改 __libc_start_main:
- 利用
pwn中的溢出覆盖pwn的返回地址为pwn,这样就相当于pop掉了一个地址 - 重复上述操作,直到可以覆盖
__libc_start_main - 覆盖最后
4*4 bit,最后3*4 bit位恒定,每次都有 1/16 的概率可以命中 - 覆盖
__libc_start_main的3*4 bit,每次都有 1/4096 的概率可以命中
八字硬点还是可以拿到 flag 的
完整 exp:
1 | from signal import pause |
数据结构:散列表&XArray
散列表
散列表(Hash Table,也叫哈希表),是根据关键码值(Key,Value)直接进行访问的数据结构
- 通过把关键码值映射到表中一个位置来访问记录,以加快查找的速度
- 这个映射函数叫做哈希函数(散列函数),存放记录的数组叫做散列表
散列表的基本思想就是“链表的数组”:
运用流程如下:
- 利用 Hash 算法来来把一个不同长度的特征值转化成杂乱的128位的编码
- 将目标编码转变为数组下标
- 在散列表中索引对应的链表,然后插链
相比于正常的链表,散列表在插链之前先对链表的各个节点进行了“分组”(依赖哈希函数的无规律分组),在之后的查找/脱链过程中,程序只需要遍历对应的链表,而不是从头开始把所有的节点都遍历一遍
将目标编码转变为数组下标的方法就是散列法,常见的散列法如下:
- 除法散列法:
- 对目标编码进行取模
index = value % 16
- 平方散列法:
- 乘法的运算要比除法来得省时,所以把除法换成乘法和一个位移操作
index = (value * value) >> 28(value的类型为int,乘法的结果不会超过32位)
- 斐波那契(Fibonacci)散列法:
- 找出一个理想的乘数,而不是拿
value本身当作乘数 index = (value * 2654435769) >> 28
- 找出一个理想的乘数,而不是拿
散列表的优缺点如下:
- 优点:
- 不论散列表中有多少数据,查找/插入/删除只需要接近常量的时间即 0(1) 的时间级(实际上只需要几条机器指令)
- 散列表的编程实现也相对容易
- 缺点:
- 散列表是基于数组的,数组创建后难于扩展,某些哈希表被基本填满时,性能下降得非常严重
- 程序员必须要清楚表中将要存储多少数据,或者准备好定期地把数据转移到更大的哈希表中,这是个费时的过程
XArray
XArray 是一种抽象的数据类型,其行为类似于一个非常大的指针数组,它满足了与散列或常规可调整大小的数组相同的许多需求
- 与散列表 (Hash Table) 相比:它允许您以高效缓存的方式明智地转到下一个或上一个条目
- 与可调整大小的阵列 (Array Data Structure,多维数组) 相比:无需为了扩展阵列而复制数据或更改 MMU 映射
- 与双向链接列表相比:它具有更高的内存效率,可并行性和缓存友好性
- 它利用 RCU 来执行查找而无需锁定
XArray 其实是根据基数树 Radix Tree 修改而来的:保持基数树的数据结构不变,将结构更改为数组
先对比一下 XArray 和 Radix Tree 的创建函数:
- XArray:
1 | static void *xas_create(struct xa_state *xas) |
- Radix Tree:
1 | static int __radix_tree_create(struct radix_tree_root *root, |
两个函数之间,不管是函数名称还是执行流程,都有一些比较类似的地方,在条件符合时,两者可以互相替代
一些高版本的 kernel 开始使用 XArray 来替代原来的基数树:
- linux-2.6.34 的
address_space->i_pages使用基数树
1 | struct address_space { |
- linux-4.20.1 的
address_space->i_pages使用 XArray
1 | struct address_space { |
网络相关知识:协议栈
TCP/IP 协议栈简述
TCP/IP 协议栈是一系列网络协议的总和,是构成网络通信的核心骨架,采用4层结构,分别是:
- 应用层:
- 向用户态程序提供网络接口
- 例如:域名系统DNS协议、HTTP超文本传送协议、Telnet远程登录协议、SNMP简单网络管理协议
- 传输层:
- 位于通信部分的最高层,用户功能的最底层,用于为运行在不同主机上的进程之间提供逻辑通信
- 例如:传输控制协议TCP - Transmission Control Protocol,用户数据报协议UDP - User Datagram Protocol
- 网络层:
- 进一步管理网络中的数据通信,将数据从源端经过若干中间节点传送到目的端
- 例如:ARP协议,IP协议,ICMP协议,IGMP协议
- 链路层:
- 提供透明可靠的数据传送基本服务
- 例如:以太网协议
梳理一下每层模型的职责:
- 链路层:对“0”和“1”进行分组,定义数据帧,确认主机的物理地址,传输数据
- 网络层:定义IP地址,确认主机所在的网络位置,并通过IP进行MAC寻址,对外网数据包进行路由转发
- 传输层:定义端口,确认主机上应用程序的身份,并将数据包交给对应的应用程序
- 应用层:定义数据格式,并按照对应的格式解读数据
网络协议的注册/注销
协议在内核中用 packet_type 来表示,其拥有不同的容器:
- 每个协议在系统初始化或者相应模块加载的时候添加到内核中的一个大小为16的哈希表
ptype_base中,其中哈希表中的每个元素都是一个双向链表:
1 | struct list_head ptype_base[PTYPE_HASH_SIZE] __read_mostly; /* 保存所有支持的3层协议(网际协议)处理函数的地方 */ |
- 另一种协议容器是
ptype_all,它直接就是一个双向链表:
1 | struct list_head ptype_all; /* 保存所有协议处理回调的地方(设备无关) */ |
- 还有一种协议容器是
struct net_device中的一个条目,也是一个双向链表:
1 | struct net_device { |
添加协议的 API 如下:
1 | void dev_add_pack(struct packet_type *pt) |
其中需要传入的 packet_type 结构体用于描述一个协议:
1 | struct packet_type { |
type:协议代码,表明了协议类型dev:设备,指明了在哪个设备上使能该协议(dev将 NULL 视为通配符,表示任意设备)func:对应协议的 Handler(处理程序,例如:在网卡收到数据后,netif_receive_skb将会根据skb->protocol来调用相应的 func 来处理 skb)af_packet_priv:为 PF_PACKET 类型的 socket 使用,指向该packet_type的创建者相关的 sock 数据结构list:协议链表头
因此,协议的注册由两步完成:
- 对
packet_type进行初始化 - 调用
dev_add_pack把目标协议加入到ptype_base
相应的,协议的注销需要调用如下 API:
1 | void dev_remove_pack(struct packet_type *pt) |
数据包的处理流程
对于 ptype_base 和 ptype_all 两个类型的协议 Container(容器),协议 Handler 的调用方法是相似的:
- 遍历其中的双向链表,直到找到了符合条件的
packet_type - 可以使用
deliver_skb间接调用packet_type->func - 或者直接调用
packet_type->func
ptype_base 和 ptype_all 的不同之处在于:
ptype_all本身就是一个双向链表,可以直接遍历ptype_base则是一个包含了双向链表的哈希表, 在遍历之前需要根据skb->protocol来计算找到待遍历的双向链表
当网卡收到数据包后,它会将数据包从网卡硬件缓存转移到服务器内存中(具体为 sk_buffer),然后触发一个中断来通知内核进行处理
内核会执行如下函数来处理 sk_buffer 中的数据包:
1 | int netif_receive_skb(struct sk_buff *skb) |
1 | static int netif_receive_skb_internal(struct sk_buff *skb) |
netif_receive_skb_internal只是对数据包进行了 RPS(增加服务器的负载均衡,优化吞吐率)的处理,然后调用__netif_receive_skb
1 | static int __netif_receive_skb(struct sk_buff *skb) |
- 进行简单检查后就调用了
__netif_receive_skb_one_core:
1 | static int __netif_receive_skb_one_core(struct sk_buff *skb, bool pfmemalloc) |
- 然后调用核心函数
__netif_receive_skb_core,返回对应的packet_type并调用packet_type->func - 核心函数
__netif_receive_skb_core的源码如下:
1 | static int __netif_receive_skb_core(struct sk_buff *skb, bool pfmemalloc, |
__netif_receive_skb_core 函数主要有几个处理:
- vlan 报文的处理,主要是循环把 vlan 头剥掉(Virtual Local Area Network 虚拟局域网)
- 交给 rx_handler 处理(例如:OVS,linux bridge 等)
ptype_all处理(例如:抓包程序,raw socket 等)ptype_base处理,并交给协议栈(例如:ip、arp,rarp 等)
其中我们只需要关注与有关 ptype_base 的部分,这里才是对网络协议的处理:
- 程序会通过
skb->protocol找到ptype_base中对应的双向链表 - 遍历这个双向链表,直到
packet_type->type == sk_buff->protocol - 然后调用
packet_type->func完成对数据包的处理
Linux ptrace-原理和运用
Linux 系统调用 - ptrace
ptrace 是 Linux 中的一个系统调用,可以让父进程控制子进程运行,并可以检查和改变子进程的核心 image 的功能
其基本原理是:
- 当使用了 ptrace 跟踪后,所有发送给被跟踪的子进程的信号(除了SIGKILL),都会被转发给父进程
- 子进程会被阻塞,这时子进程的状态就会被系统标注为 TASK_TRACED
- 父进程收到信号后,就可以对停止下来的子进程进行检查和修改,然后让子进程继续运行
ptrace 在用户态的定义如下:
1 | long int |
- 对于不同的 ptrace 命令有着不同的参数,简化版本如下:
1 |
|
- enum __ptrace_request request:指示了 ptrace 要执行的命令
- pid_t pid:指示 ptrace 要跟踪的进程ID
- void *addr:指示要监控的内存地址
- void *data:存放读取出的或者要写入的数据
ptrace 在内核中的接口如下:
1 | SYSCALL_DEFINE4(ptrace, long, request, long, pid, unsigned long, addr, |
- 其中对 PTRACE_TRACEME 和 PTRACE_ATTACH 做了特殊处理
常见 ptrace 命令如下:
1 | /* Type of the REQUEST argument to `ptrace.' */ |
ptrace 的使用 - 调试
Linux 调试工具 GDB 的底层就是使用了 ptrace,主要是 PTRACE_ATTACH 功能
在使用 ptrace 之前需要在两个进程间建立追踪关系:(追踪者 tracer 和被追踪者 tracee)
- ptrace 编程的主要部分是 tracer,它可以通过附着的方式与 tracee 建立追踪关系
- 建立之后,可以控制 tracee 在特定的时候暂停并向 tracer 发送相应信号,而 tracer 则通过循环等待 waitpid 来处理 tracee 发来的信号
其中会用到4个 ptrace 命令:
- PTRACE_TRACEME:tracee 表明自己想要被追踪,这会自动与父进程建立追踪关系(这也是唯一能被 tracee 使用的 request,其他的 request 都由 tracer 指定)
- PTRACE_PEEKUSER:返回进程用户区域中,偏移为ADDR处,一字大小的数据,使用
ORIG_RAX计算RAX的偏移,从而获取将要执行的系统调用号 - PTRACE_GETREGS:获取寄存器内容,用结构体
user_regs_struct进行保存 - PTRACE_SYSCALL:在子进程进入和退出系统调用时都将其暂停
使用 ptrace 的编程案例如下:
1 |
|
被测试的文件:
1 | int main(){ |
结果:
1 | ➜ exp ./test |
- 可以看见 tracee 从调用
execve-59构建进程上下文到调用write-1的全过程
ptrace 的使用 - 反调试
ptrace 反调试的核心就在于主动执行 PTRACE_TRACEME:
- 如果当前进程已经被追踪了,就不能被其他父进程追踪
- 因此可以提前执行 PTRACE_TRACEME 命令来避免被 GDB 调试
测试案例如下:
1 |
|
正常执行结果:
1 | ➜ exp ./test |
调试结果:
1 | c |
绕过的方式很简单,只要把相关的地方给 nop 掉就好:
可以直接查看符号表来确定是否存在 prtace:
1 | ➜ exp objdump -t test | grep ptrace |
ptrace 的使用 - 代码注入
ptrace 可以对进程的追踪,并进行流程控制:
- 用户寄存器值读取和写入操作
- 内存进行读取和修改
需要用到的 ptrace 命令如下:
- PTRACE_POKETEXT,PTRACE_POKEDATA:往内存地址中写入一个字节,内存地址由 addr 给出
- PTRACE_PEEKTEXT,PTRACE_PEEKDATA:从内存地址中读取一个字节,内存地址由 addr 给出
- PTRACE_ATTACH:跟踪指定 pid 进程
- PTRACE_GETREGS:读取所有寄存器的值
- PTRACE_CONT:继续执行被跟踪的子进程,signal 为“0”则忽略引起调试进程中止的信号,若不为“0”则继续处理信号 signal
- PTRACE_SETREGS:设置寄存器
- PTRACE_DETACH:结束跟踪
下面程序用于在 tracee 中注入一段 shellcode:
1 |
|
其中的 shellcode 就是 execve(/bin/sh),汇编如下:
1 | section .text |
- 进行编译:
1 | ➜ exp nasm -f elf64 sh.s -o sh.o |
- 显示二进制代码:
1 | ➜ exp objdump --disassemble ./sh |
测试文件如下:
1 |
|
Tty_struct Attack+Modprobe_path Attack+Cred Attack
hackme
1 | ! /bin/sh |
- smep,smap,kaslr
漏洞分析
1 | if ( cmd == 0x30002 ) // HACK_WRITE |
1 | else if ( cmd == 0x30003 ) // HACK_READ |
userdata.offset是符号数,并且没有限制其必须为正数- 令
userdata.offset为负数就可以在kheap_ptr[userdata.offset]中向上溢出
入侵思路 - Tty_struct Attack
tty_struct attack 可以用于泄露 kernel_base,如果想用它来提权,则需要泄露 heap_addr
本题目的溢出可以轻松泄露空闲块的 next 指针,然后泄露出 heap_addr
1 | kcreate(2,buf,0x100); |
- 释放 “内存块2” 后,通过 “内存块3” 向上泄露内存快2的 next 指针
- 这源自于 slab 的一个机制:
1 | pwndbg> x/20xg 0xffffa1f380179400 |
- 空闲块都会有一个 next 指针,用于指向下一个内存块
- Slab 将内核中经常使用的对象放到高速缓存中,并且由系统保持为初始的可利用状态,因此上图中的
0x4000x6000x700都是 free 状态
由于系统开启了 smap,内核需要使用 copy_from_user 才能访问用户态数据,于是我们利用 kcreate 把 fake_tty_operations 指针和 rop 指针保存到内核的堆里:
1 | kcreate(2,(char *)rop,0x100); |
对于 tty_struct attack,还需要一个关键的 gadget,其目的是为了栈迁移(把 RAX 中的数据转移到 RSP 中):
- 最直接的 gadget 就是
mov rax, rsp - 如果没有就以其他寄存器为中介
- 如果还是没有就只能用
push rax + pop rsp
剩下的操作就比较套路化了,可以当做是 tty_struct attack 的模板,注意控制一下 CR4 寄存器就好
完整 exp:
1 |
|
- ha1vk 大佬的 exp 中有个 gadget 我找不到,于是我找了另一个来替代它(我先把所有包含
pop rsp的 gadget 重定位到一个文件中,然后再这个文件中搜索push rax)
入侵思路 - Modprobe_path Attack
modprobe_path 是用于在 Linux 内核中添加可加载的内核模块,当我们在 Linux 内核中安装或卸载新模块时,就会执行 modprobe_path 指向的程序
因此我们需要劫持 modprobe_path,劫持的方法就是利用 Slab 空闲块的 next 指针
1 | /home/pwn |
- 这里可以计算出
modprobe_path的偏移
如果通过劫持 next 指针实现 WAA,就需要注意一个细节:
- 通过 fake next 指针申请的内存块是不合法的,并且会破坏 Slab 原本的次序
- 这会导致在后续的
system中出现错误(因为system也会利用 Slab 来分配内存) - 因此,我们在执行
system前需要先kfree一些内存块,使system优先申请这些合法的内存块,从而避免报错
完整 exp:
1 |
|
入侵思路 - Cred Attack
cred attack 的思路特别简单,扫描到 cred 然后将其修改
扫描的过程中,通常有两种定位方法:
- 在
task_struct中,通过*real_cred和*cred下方的字符串间接定位到*cred,然后利用该指针获取cred的地址
1 | const struct cred __rcu *real_cred; |
- 在
cred中,通过以下8个字段都等于 UID 来直接定位cred(UID 通常为 1000)
1 | kuid_t uid; /* real UID of the task */ |
定位到 cred 以后,就可以把 [uid] - [fsgid] 这8个字段全部置空,然后把置空后的数据返回给内核
在这个过程中,唯一的问题就是需要的空间太大,在用户态必须用 mmap 进行分配,而 copy_from_user 在检测到 mmap 分配空间后就会报错
其实 Double Fetch 中的 userfaultfd 机制早就解决了这个问题,因为我们不需要使用它进行条件竞争,于是我们在 handler 里进行 sleep 就好
完整 exp:
1 |
|
Linux RCU机制
RCU 简述
RCU(Read-Copy Update),是 Linux 中比较重要的一种同步机制,特点如下:
- 复制后更新:但更新数据的时候,需要先复制一份副本,在副本上完成修改,再一次性地替换旧数据”(替换数据时需要其他同步机制的保护)
- 延迟回收内存:在数据被删除后(节点脱链)销毁前(释放空间),需要等待其他读线程停止使用该数据
复制后更新是 Linux 内核实现的一种针对“读多写少”的共享数据的同步机制:
- 不同于其他的同步机制,它允许多个读者同时访问共享数据,而且读者的性能不会受影响
- 读者与写者之间也不需要同步机制,但需要“复制后再写”
- 但如果存在多个写者时,写者与写者之间需要利用其他同步机制保证同步
延迟回收内存是为了防止已经被销毁的数据被其他线程使用:
- 一个位于临界区的指针被释放之后,另一个线程如果使用该指针就会产生安全问题
RCU 作用
RCU 的一个典型的应用场景是链表,主要解决以下问题:
- 在读取过程中,另外一个线程删除了一个节点:
- 删除线程可以把这个节点从链表中移除,但它不能直接销毁这个节点,必须等到所有的读取线程读取完成以后,才进行销毁操作
- RCU 中把这个过程称为宽限期(Grace period)
- 在读取过程中,另外一个线程插入了一个新节点
- 需要保证读到的这个节点是完整的(得到的要么全是旧的数据,要么全是新的数据,反正不会是半新半旧的数据)
- 这里涉及到了发布-订阅机制(Publish-Subscribe Mechanism)
- 保证读取链表的完整性
- 新增或者删除一个节点,不至于导致其他正在遍历该链表的线程从中间断开
- 但是 RCU 并不保证一定能读到新增的节点或者不读到要被删除的节点
RCU API
添加链表项:
1 |
|
- 除了
rcu_assign_pointer函数,其他地方和普通的__list_add没什么不同,该函数的底层应该是一个内存屏障(防止 CPU 优化执行顺序),以避免在新指针 new 准备好之前,就被引用了
删除链表项:
1 | static inline void list_del_rcu(struct list_head *entry) |
- 和
list_del相比,list_del_rcu只对entry->prev进行了处理(目前不知道原因)
更新链表:
1 | static inline void list_replace_rcu(struct list_head *old, |
- 同样也是只对
old->prev进行了处理
访问链表:
1 | rcu_read_lock(); /* 声明了一个读端的临界区(read-side critical sections) */ |
rcu_read_lock和rcu_read_unlock用来标识 RCU read side 临界区(其作用就是帮助检测宽限期是否结束)
RCU 机制
宽限期:(Grace period)
- 宽限期的意义是,在一个删除动作发生后,它必须等待所有在宽限期开始前已经开始的 Reader 线程结束,才可以进行销毁操作(例如:Reader1,Reader2)
- 删除之后,Reader 就会读取新数据,从而拿不到旧数据中的指针,因此就不用考虑安全问题
- 用于判定宽限期开始的函数如下:
1 | void synchronize_rcu(void) |
- 检测宽限期是否结束的操作很复杂,需要利用
rcu_read_lock和rcu_read_unlock所标记的区域进行判断 - 宽限期是 RCU 实现中最复杂的部分,要求在提高读数据性能的同时,删除数据的性能也不能太差
发布-订阅机制:(Publish-Subscribe Mechanism)
1 | static inline void __list_add_rcu(struct list_head *new, |
- 发布-订阅机制其实就是
rcu_assign_pointer函数的使用,用于解决优化导致的 CPU 执行顺序问题 - 对应宏函数如下:
1 |
- 其实我看不太懂这个函数,但它的功能和内存屏障很像,因此它的底层也极有可能是一个内存屏障
复制更新机制:(Copy Update)
1 | p = /* 将要被替换的对象 */ |
- 复制更新机制的实现基于宽限期(等待之前拿到旧节点的 Reader 执行结束,然后释放旧节点,之后拿到新节点的 Reader 不受影响)
synchronize_rcu可以防止在list_replace_rcu之后,kfree之前,有读线程使用了正在进行更新的链表节点- 更新以后的旧节点脱链,拿到旧节点的 Reader 在宽限期中执行完毕,之后的
kfree就不会引发安全问题了 - PS:申请空间和复制数据的操作需要手动完成,没有专门的 API
RCU 案例
Reader 正在遍历查找链表节点:
1 | int search(long key, int *result) { |
Writer 正在遍历删除链表节点:
1 | int delete(long key) { |
假设一个线程执行 Reader,另一个线程执行 Writer:
- 如果使用读写锁,那么 Reader 和 Writer 就不能同时进行,影响效率
- 如果使用顺序锁,那么在 Reader 和 Writer 同时操作指针时容易出现问题
- 这里使用了 RCU 锁,Writer 会在
synchronize_rcu上等待持有旧指针的 Reader 执行完毕,只是牺牲了 Writer 的效率就避免了安全问题
参考:
Linux 伪文件系统
Procfs
procfs 被称为 “进程文件系统” 或 “伪文件系统”,它是一个控制中心,可以通过更改其中某些文件改变内核运行状态,它也是内核提空给我们的查询中心,用户可以通过它查看系统硬件及当前运行的进程信息
- procfs 放置的数据都是在内存当中(例如:系统内核、进程、外部设备的状态及网络状态等),因为这个目录下的数据都是在内存当中,所以本身不占任何硬盘空间
procfs 为 Linux 中的许多命令提供了信息,例如:lsmod 的命令和 cat /proc/modules
1 | ➜ ~ lsmod |
1 | ➜ ~ cat /proc/modules |
procfs 通过 VFS 把内核的抽象文件作为常规文件映射到一个目录树中:
1 | ➜ ~ ls /proc |
Sysfs
sysfs 包括系统所有的硬件信息以及内核模块等信息(为设备驱动服务)
Linux-2.6-kernel 中增加了一个引人注目的新特性:统一设备模型 device model
- 统一设备模型的最初动机是为了实现智能的电源管理,linux 内核为了实现智能电源管理,需要建立表示系统中所有设备拓扑关系的树结构
- 这样在关闭电源时,可以从树的节点开始关闭
统一设备模型的核心部分就是设备驱动模型 kobject,它就是 device model 拓扑树中的各个节点
而 sysfs 为我们提供 kobject 对象层次结构的视图,帮助用户可以以一个简单文件系统的方式来观察各种设备的拓扑结构:
1 | ➜ / ls sys |
- 在 sysfs 中的每个目录项都是一个 kobject
- 相比于 procfs,使用 sysfs 导出内核数据的方式更为统一,因此 sysfs 替代了 procfs 中有关设备驱动的部分(新设计的内核机制应该尽量使用 sysfs 机制)
Devfs
devfs 被称为设备文件系统
devfs 将所有系统中的设备以动态文件系统命名空间呈现,devfs 也可以通过内核设备驱动直接管理这些命名空间和接口,以此来提供智能的设备管理(包括设备入口注册/注销)
- sysfs 是以面向对象的方式提供了 device model 的可视化结构
- devfs 是为了给设备提供进行 IO 操作的接口
因此,当我们需要操控某个设备的时候,需要使用对应的 API 来进行注册/注销:
- 注册符号设备:
1 | int register_chrdev_region(dev_t first, unsigned int count, char *name); |
- 注册块设备:
1 | int register_blkdev(unsigned int, const char *); |
- 然后就会在
/dev目录中生成一个对应的文件
Double Fetch+modprobe_path attack
knote 复现
1 | !/bin/sh |
- kaslr,smep,smap
1 | !/bin/sh |
- kptr_restrict,dmesg_restrict
1 | / $ cat /proc/version |
- version 5.3.6(很难 ROP 到用户态)
模块分析
1 | int __cdecl note_init() |
- 在 Linux 系统中,存在一类字符设备,他们共享一个主设备号(10),但此设备号不同,我们称这类设备为混杂设备
misc_device是特殊的字符设备,注册驱动程序时采用misc_register函数注册
漏洞分析
1 | void __cdecl edit() |
- 没有加锁,
myarg.buf为全局变量,有条件竞争漏洞 - 释放模块有 UAF
Double Fetch
Double Fetch 从漏洞原理上属于条件竞争漏洞,是一种内核态与用户态之间的数据访问竞争
- 通常情况下,用户空间向内核传递数据时,内核先通过通过
copy_from_user等拷贝函数将用户数据拷贝至内核空间进行校验及相关处理 - 但在输入数据较为复杂时,内核可能只引用其指针,而将数据暂时保存在用户空间进行后续处理
- 此时,该数据存在被其他恶意线程篡改风险,造成内核验证通过数据与实际使用数据不一致,导致内核代码执行异常
- 一个用户态线程准备数据并通过系统调用进入内核,该数据在内核中有两次被取用:
- 内核第一次取用数据进行安全检查(如缓冲区大小、指针可用性等)
- 内核第二次取用数据进行实际处理
- 而在两次取用数据之间,另一个用户态线程可创造条件竞争,对已通过检查的用户态数据进行篡改,在真实使用时造成访问越界或缓冲区溢出,最终导致内核崩溃或权限提升
Double Fetch 需要使用 userfaultfd 机制:
- userfaultfd 并不是一种攻击的名字,它是 Linux 提供的一种让用户自己处理缺页异常的机制
- 初衷是为了提升开发灵活性,后来在 kernel pwn 中常被用于提高条件竞争的成功率
现在来看一个详细的例子:
1 | if (ptr) { |
- 如果,
user_buf是一块 mmap 映射的未初始化区域,此时就会触发缺页错误copy_from_user将暂停执行 - 在暂停的这段时间内,我们开另一个线程,将 ptr 释放掉,再把其他结构申请到这里(比如:
tty_struct) - 然后当缺页处理结束后,
copy_from_user恢复执行,然而 ptr 此时指向的是tty_struct结构,那么就能对tty_struct结构进行修改了(当然也可以是其他的结构体)
模板如下:
1 | void userfault(void *fault_page,void *handler) |
处理函数 handler 的模板如下:
1 | void* handler(void *arg) |
Modprobe_path Attack
modprobe_path 是用于在 Linux 内核中添加可加载的内核模块,当我们在 Linux 内核中安装或卸载新模块时,就会执行 modprobe_path 指向的程序
他的路径是一个内核全局变量,默认为 /sbin/modprobe,源码如下:
1 | /* modprobe_path is set via /proc/sys */ |
- 也可以通过如下命令来查看该值:
1 | ➜ ~ cat /proc/sys/kernel/modprobe |
- 其就是 Linux
modprobe命令(在sbin目录中,说明该程序拥有 Root 权限) - 此外,
modprobe_path在内核中且具有可写权限(普通权限即可修改该值)
而当内核运行一个错误格式的文件(或未知文件类型的文件)的时候,内核调用 call_modprobe 函数执行 modprobe_path 指向的文件:
- 由于
call_modprobe函数拥有 Root 权限 - 我们只需要劫持
modprobe_path,指向我们提权的脚本,然后system一个非法文件,就能触发提权脚本的执行 - 其调用链如下: (内核版本 linux-4.20.1)
1 | do_execve() -> do_execveat_common() -> __do_execve_file() -> exec_binprm() -> search_binary_handler() -> request_module() -> call_modprobe() -> call_usermodehelper_exec() |
使用案例如下:
1 | system("echo '#!/bin/sh' > /tmp/shell.sh"); |
- 假设我们已经把
modprobe_path修改为了/tmp/shell.sh(提权脚本) - 当程序发现
/tmp/fake不可执行时,就会通过call_modprobe来调用modprobe_path所指向的命令 - 然后执行
/tmp/shell.sh完成提权
Slab Heap
Linux 内核使用的是 slab/slub 分配器,以内存池的形式分配内存(大小相同的堆靠在一起,8K的内存池专门管理8K的堆空间,16字节的内存池专门管理16字节的堆空间),使用如下命令可以查看 slab 内存池:
1 | ➜ ~ sudo cat /proc/slabinfo |
slab 为了提高效率实现了一个机制:
- 在
kfree后,原用户数据区的前8字节会有指向下一个空闲块的指针 next - 如果用户
malloc的大小在空闲的堆块里有满足要求的,则直接取出
有一个比较容易利用的就是,伪造空闲块的 next 指针,则可以很容易分配到我们想要读写的地方(不像 ptmalloc2 还需要伪造堆结构,这里只需要更改 next 指针即可)
入侵思路
利用 Double Fetch 可以在内核全局变量中写入一个 tty_struct
但是 5.0 版本以上的内核很难 ROP 到用户态(通过修改 tty_struct->tty_operations 为 gadget,ROP 到用户态的办法失效了)
此时需要另一个入侵技巧 modprobe_path attack,通过伪造空闲堆的 next 指针,实现任意地址处分配,把 modprobe_path 分配到可控区域,然后进行修改
最后就是 modprobe_path attack 的攻击流程了
完整 exp:
1 |
|
- 这个 exp 很大程度上借鉴了 ha1vk 大佬的博客
- 之后我发现,只要
memcpy复制了一个内核地址到page,那么把该page的内容打印出来就是0xffffffc0(实际上是正确的数据),不知道这是不是内核的保护机制
小结:
学到了 Double Fetch 和 modprobe_path attack:
Double Fetch:如果copy_user系列函数使用的是全局变量并且没有加锁,就可以使用这个方法modprobe_path attack:对于 5.0 版本以上的内核很难使用 ROP 来绕过 smep,这种攻击算一种替代名,还可以利用mov cr4,xxx使得 CR4 寄存器的第21/22位为“0”,即可关闭 smap/smep
现在对这个利用还不熟,只能用用模板,感觉 userfaultfd 机制有点难理解(还不清楚为什么模板要这么写),之后抽时间了解一下
Linux Page Cache&Swap Cache
Struct address_space
1 | struct page { |
- 在结构体
page中有一个特殊的成员mapping,指向地址空间描述的结构指针 - 结构体
file和结构体inode中都有一个结构体address_space指针(file->f_mapping是由inode->i_mapping初始化而来)
1 | struct address_space { |
- 结构
address_space->i_pages的作用就是用于存储文件的 Page Cache - 一个
address_space与一个偏移量能够确定一个page cache或swap cache中的一个页面
Page Cache
所以为了避免每次读写文件时,都需要对硬盘进行读写操作,Linux 内核使用页缓存(Page Cache)机制来对文件中的数据进行缓存
- Page Cache 是与文件映射对应的
- 用户对文件的读写会先操作 Page Cache,如果找不到对应的 Page Cache 就会申请一个
- 修改的页缓存 Page Cache 被称为脏页,内核会定时把这些脏页刷新到文件中
如果进程需要 page 而 free page 严重短缺的时候,进程可以唤醒这些内核线程来回收缓存的页面,一方面缓存,一方面回收达到一种平衡,同时改善了系统的性能
Swap
在 Linux 下,当物理内存不足时,拿出部分硬盘空间当 Swap 分区(也被称为“虚拟内存”,从硬盘中划分出的一个分区),从而解决内存容量不足的情况
- Swap 意思是交换, 当物理内存不够用的时候,内核就会释放缓存区(buffers/cache)里一些长时间不用的程序,然后将这些程序临时放到 Swap 中
- Swap Out:当某进程向OS请求内存发现不足时,OS会把内存中暂时不用的数据交换出去,放在 SWAP 分区中
- Swap In:当某进程又需要这些数据且OS发现还有空闲物理内存时,又会把 Swap 分区中的数据交换回物理内存中
Swap Cache
Swap Cache 就是 Swap 的缓存,它的作用不是说要加快磁盘的I/O效率
- Swap Cache 是与匿名页对应的
- 匿名页是没有关联任何文件的
page,比如用户进程通过malloc申请的内存页(函数mmap也可以申请匿名页)
Swap Cache 主要是为了防止页面在 Swap In 和 Swap Out 时进程的同步问题
- 如果页面的数据还没有完全写入磁盘时,这个
page frame是在 swap cache - 等数据完全写入磁盘后,而且没有进程对
page frame进行访问,那么 swap cache 才会释放page frame,将其交给 buddy system - 匿名页即将被 Swap Out 时会先被放进 Swap Cache,但通常只存在很短暂的时间,因为紧接着在该
page完全放入磁盘之后它就会从 Swap Cache 中删除(毕竟 Swap Out 的目的就是为了腾出空闲内存)