【转】 cve-2013-2094 perf_event_open 漏洞分析

cve-2013-2094是于2013年4月前后发现的linux kernel本地漏洞,该漏洞影响3.8.9之前开启了PERF_EVENT的linux系统。利用该漏洞,通过perf_event_open系统调用,本地用户可以获得系统的最高权限。

发生漏洞的是linux kernel中的perf event子系统,perf event是linux系统中提供性能分析接口的子系统,于2.6.31之后引入linux,之前被称为 Performance Counters for Linux (PCL)。通过syscall函数,用户可以调用perf event子系统提供的功能。由于perf event中的漏洞,用户可以通过精心构造的调用在任何内存地址写入数据,从而获得系统的最高权限。

引起cve-2013-2094漏洞的是位于kernel/events/core.c文件中的perf_swevent_init函数。当使用syscall打开perf_event的file descriptor时,该函数被调用。

在受影响的版本中,core.c关键部分内容如下:

static int perf_swevent_init(struct perf_event *event)
{
    int event_id = event->attr.config;  //dangerous!

    /*
     * ....omit some code...
     */

    if (event_id >= PERF_COUNT_SW_MAX)
        return -ENOENT;

    /*
     * .........omit........
     */

}

由于将event_id定义为了有符号型整数,而后面又只检查了event_id的上界,所以当值为负时,即可越过检查,继续执行后面的代码

if (!event->parent) {
    int err;

    err = swevent_hlist_get(event);
    if (err)
        return err;

    atomic_inc(&perf_swevent_enabled[event_id]);
    event->destroy = sw_perf_event_destroy;
}

其中,static_key_slow_inc函数将某地址内容做inc。

当使用负数值的event_id调用时,perf_swevent_enabled[event_id]将指向内核空间,如,在Cent OS 64bit系统中,当event_id = -1调用时,perf_swevent_enabled[event_id]的地址为:

0xfffffffffffffffe * 4 + 0xffffffff81f360c0 == 0xFFFFFFFF81F360B8

该地址指向内核空间。

而当file descriptor关闭时,由于event_id定义为u64型,所以关闭时做dec时,地址指向的是用户空间。

所以当我们用负数值调用perf_event_open时,将可以在perf_swevent_enabled地址后面任意地址写入数据。

x64下的利用思路

x64架构下,该漏洞比较容易利用,需要的信息更少,exploit执行更快。方法简单来说是修改IDT中 int 4 的中断向量。x64的linux中,Offset hight bits和Offset middle bits是分别保存的,而将 int 4 的高位 0xffffffff 加1之后,中断向量将指向用户空间。而将shellcode放置在用户空间的这段内存上,即可获得系统最高权限。

具体来说,

  1. 使用-1和-2调用,得到数组的偏移值。

    使用-1和-2调用,在file descriptor被关闭后,将使 0x38000000 附近的内存中某两个值减1,通过搜索可以确定perf_swevent_enabled的编译值,并保存起来方便利用。

  2. 将shellcode放入适当的用户空间内存中

    使用 sidt 指令可以获得IDT的地址,然后使用 mmap 将 shellcode 放入适当的地址。使 IDT 中的中断向量高位+1之后落在shellcode上。

  3. 修改shellcode

    将 shellcode 中的 MARKER 修改为实际的 uid 和 gid 的保存地址。这样当shellcode运行时,即可找到 task_struct 和 thread_info 的地址,从而直接修改 real_cred 值,使当前进程获得 root 权限。

  4. 修改 IDT

    从 1 中得到的信息,和IDT 地址做计算,用计算好的负数值调用 perf_event_open ,可以使 int 4 的中断向量的高位 +1,从而指向shellcode。

  5. int 0x4

    触发shellcode

  6. 在shellcode中提权,并弹shell

    修改 real_cred 获得root权限,并修复被修改的 IDT 和其他部分内存,

    最后execl("/bin/bash", "-sh", NULL);

    得到root权限的shell

移植到android系统

Android采用了linux内核,且更新较linux在PC上的发行版慢。即使linux内核在2013年4月13日修复了该漏洞,原生Android系统和大量基于Android系统的第三方ROM仍然存在该漏洞。

在ARM linux下,该漏洞仍然存在,仍然可以通过负数的event_id将任意内存地址+1。

但由于手机使用的ARM架构和x64架构下,linux内核代码有所不同,该漏洞的利用方式也有所不同。

但是在ARM linux下,IDT的结构如下

struct _idt_entry {
  unsigned short base_lo;
  unsigned short sel;
  unsigned char unused;
  unsigned char flags;
  unsigned short base_hi;
} __attribute__((packed));

注意到base_hi是short型,而perf_swevent_enabled是int型的数组,所以无法将地址修改base_hi到用户空间地址。

所以在ARM下我们没有修改IDT,而是在linux内核中寻找合适的函数指针。反复调用perf_event_open,将函数指针的值加到用户能控制的地址,然后调用函数。ptmx_fops结构中的fsync函数指针被初始化为0,且不需要特殊的权限即可调用。

利用的基本思路是:

/* file_operations 结构fsync函数的偏移为56 */
int target = pmtx_ops + 56;
int payload = -((perf_table - target)/4)

struct perf_event_attr event_attr;
event_attr.config = payload;
...

/* 反复调用将fsync的值修改为合适的值 */
syscall(__NR_perf_event_open, &event_attr, 0, -1, -1, 0);
...

/* 调用 */
int ptmx = open("/dev/ptmx", O_RDWR);
fsync(ptmx);

但是,linux系统中单个进程能够打开的file descriptor数量是有限制的,所以需要fork出足够多的进程,反复修改。

受影响的ROM

目前,测试了三款国内比较流行的手机,共4个ROM,该漏洞的情况如下:

|| Nexus 4 官方Rom 4.2.1|| 成功 || || Nexus 4 Cyanogenmod 10.1.2|| 内核已修补 || || Lenove 860i 官方ROM || 内核不支持perf_event || || Huawei U9508 官方ROM || 内核不支持perf_event ||

时间: 2024-10-11 13:12:33

【转】 cve-2013-2094 perf_event_open 漏洞分析的相关文章

Java反序列化漏洞分析

相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 http://www.tuicool.com/articles/ZvMbIne http://www.freebuf.com/vuls/86566.html http://sec.chinabyte.com/435/13618435.shtml http://www.myhack58.com/Articl

PCMan FTP Server缓冲区溢出漏洞分析与利用

简要介绍 这个软件是台湾国立阳明大学医学系的一个学生在大四的时候写的,这个漏洞是有CVE的(CVE-2013-4730),软件应该还挺普及的,这是一个缓冲区溢出漏洞 具体exp可以点这里 实验用poc(其实这里直接对USER命令溢出都是可以的,即不用知道账号密码即可远程代码执行,USER命令的buf距离返回地址是2000) import socket as s from sys import argv # if(len(argv) != 4): print "USAGE: %s host <

【网络安全】Snort漏洞分析规则提取验证全流程讲述

本文以CVE 2014-6034为例进行漏洞分析与验证,包括环境搭建抓包,特征提取验证各个环节. 1.下载软件: ManageEngine OpManager 9 地址:http://manageengine-opmanager.soft32.com/ Kali Linux https://www.kali.org/downloads/ 我下载在是Kali Linux 64 bit ISO 1.0.9a ISO 2.环境搭建 ManageEngine OpManager 9 直接点击安装即可,安

QQ空间官方账号被黑产利用漏洞分析

原文地址:https://mozhe.cn/news/detail/333 2011年,Facebook推出了默认人脸识别功能实现自动识别圈人功能,2013年,Instagram推出名称为"你的照片"的圈人功能.基本都是用户利用这个功能在照片中圈出好友,并通过标签直接找到该好友的所有照片.圈人可以让照片成为找人的最佳途径. 在2013年,QQ空间也推出了圈人功能,在他人对空间说说中,找到要圈人的照片,圈出照片中的好友,从中选择自己相对应的好友就可以.这个其实是个不错的功能,借助他人可以

PHPCMS \phpcms\modules\member\index.php 用户登陆SQL注入漏洞分析

catalog 1. 漏洞描述 2. 漏洞触发条件 3. 漏洞影响范围 4. 漏洞代码分析 5. 防御方法 6. 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: POC http://localhost/phpcms_v9/index.php?m=member&c=index&a=login dosubmit=1&username=phpcms&password=123456%26username%3d%2527%2bunion%2bselect%2b%25272%2

CVE-2017-7269—IIS 6.0 WebDAV远程代码执行漏洞分析

漏洞描述: 3月27日,在Windows 2003 R2上使用IIS 6.0 爆出了0Day漏洞(CVE-2017-7269),漏洞利用PoC开始流传,但糟糕的是这产品已经停止更新了.网上流传的poc下载链接如下. github地址:https://github.com/edwardz246003/IIS_exploit 结合上面的POC,我们对漏洞的成因及利用过程进行了详细的分析.在分析过程中,对poc的exploit利用技巧感到惊叹,多次使用同一个漏洞函数触发,而同一个漏洞同一段漏洞利用代码

CVE-2014-1767 漏洞分析(2015.1)

CVE-2014-1767 漏洞分析 1. 简介 该漏洞是由于Windows的afd.sys驱动在对系统内存的管理操作中,存在着悬垂指针的问题.在特定情况下攻击者可以通过该悬垂指针造成内存的double free漏洞. 实现对漏洞的有效利用,攻击者利用成功可导致权限提升.afd.sys是内核用来管理socket的模块. 影响的系统包括(32bit & 64 bit):  Windows Server 2003 Windows Vista Windows Server 2008 Windows 7

CVE-2016-0143 漏洞分析(2016.4)

CVE-2016-0143漏洞分析 0x00 背景 4月20日,Nils Sommer在exploitdb上爆出了一枚新的Windows内核漏洞PoC.该漏洞影响所有版本的Windows操作系统,攻击者利用成功后可获得权限提升,微软在4月补丁日修复了该漏洞. 0x01 漏洞分析 Nils Sommer并没有说明该漏洞为何种类型的漏洞,咋看崩溃场景会认为是NULL Pointer dereference或者UAF漏洞,粗略分析后,觉得是整数溢出漏洞,但是最后还是将其定义为特殊的NULL Point

一个简单的远程溢出漏洞分析

人生第一个漏洞分析,好激动. 因为从来没有接触过漏洞分析方面,以前也只是看过一点书,所以一直想找个东西练练手,结果翻到了看雪Exploit me的题目,本来以为会很难,结果还是很基础的,适合我这样的新手练手. http://bbs.pediy.com/showthread.php?t=56998 进入正题 首先拿到了一个Windows程序,拖到IDA里打算看一下,结果发现程序逻辑出乎意料的简单.就是一个很常规的SOCKET流程带有一些错误处理. 下面详细说明. mov ebp,eax test