深入分析CVE-2016-5195 Dirty Cow
前面一段时间,这个编号为CVE-2016-5195的漏洞刷爆了各个安全相关的博客和网站,这个漏洞可以对任意可读文件进行写操作从而导致提权,通杀了包括Android在内的绝大多数linux版本,,影响不可为不大,试着分析一下。
一:漏洞分析
这个漏洞逻辑并不复杂,分析的最大难点是流程复杂,容易绕晕在代码迷宫里,所以先梳理一下流程,流程如下(初略扫过即可),根据下面分析来查看上面流程):
mem_write
mem_rw
access_remote_vm
__access_remote_vm
//用于获取页
get_user_pages
__get_user_pages
retry:
follow_page_mask(...,flag,...);
//通过内存地址来找到内存页
follow_page_pte(...,flag,...);
//如果获取页表项时要求页表项所指向的内存映射具有写权限,但是页表项所指向的内存并没有写权限。则会返回空
if ((flags & FOLL_WRITE) && !pte_write(pte))
return NULL
////获取页表项的请求不要求内存映射具有写权限的话会返回页表项
return page
if (foll_flags & FOLL_WRITE)//要求页表项要具有写权限,所以FOLL_WRITE为1
fault_flags |= FAULT_FLAG_WRITE;
//获取页表项
if (!page) {
faultin_page(vma,...); //获取失败时会调用这个函数
handle_mm_fault();
__handle_mm_fault()
handle_pte_fault()
if (!fe->pte)
do_fault(fe);
////如果不要求目标内存具有写权限时导致缺页,内核不会执行COW操作产生副本,ers
if (!(fe->flags & FAULT_FLAG_WRITE))
do_read_fault(fe, pgoff);
__do_fault(fe, pgoff, NULL, &fault_page, NULL);
ret |= alloc_set_pte(fe, NULL, fault_page)
//如果执行了COW,设置页表时会将页面标记为脏,但是不会标记为可写。
if (fe->flags & FAULT_FLAG_WRITE)
entry = maybe_mkwrite(pte_mkdirty(entry), vma);
//如果要求目标内存具有写权限时导致缺页,目标内存映射是一个VM_PRIVATE的映射,内核会执行COW操作产生副本
if (!(vma->vm_flags & VM_SHARED))
do_cow_fault(fe, pgoff);
new_page = alloc_page_vma(GFP_HIGHUSER_MOVABLE, vma, fe->address);
ret = __do_fault(fe, pgoff, new_page, &fault_page, &fault_entry);
copy_user_highpage(new_page, fault_page, fe->address, vma);
ret |= alloc_set_pte(fe, memcg, new_page);
if (fe->flags & FAULT_FLAG_WRITE)
if (!pte_write(entry))
do_wp_page(fe, entry)//VM_FAULT_WRITE置1
if ((flags & FAULT_FLAG_WRITE) && reuse_swap_page(page))
maybe_mkwrite(pte_mkdirty(entry), vma);
if (likely(vma->vm_flags & VM_WRITE))
pte_mkwrite(pte);
flags &= ~FAULT_FLAG_WRITE;
ret |= VM_FAULT_WRITE;
if ((ret & VM_FAULT_WRITE) && !(vma->vm_flags & VM_WRITE))
*flags &= ~FOLL_WRITE;
,== goto retry
if (write)
copy_to_user_page
进行逐步分析,并在分析中参考上文代码流程。
漏洞发生在调用write函数时,经过一系列调用(write->mem_write->mem_rw->access_remote_vm->__access_remote_vm),通过在__access_remote_vm的get_user_pages来获得页,copy_to_user_page来讲内容复制进页中。而漏洞就发生在get_user_pages中。下面来分析get_user_pages的具体流程。
get_user_pages中主要部分是一个循环,直到正确找到页,其中有两个函数极为重要,follow_page_mask和faultin_page,其中follow_page来找到页,dofault_page在寻页失败的时候建立映射为下次调用follow_page_mask来做准备。
第一次执行,由于mmap对第一次对映射内存进行操作,所以并不能直接从页表中找到。get_user_page,因为我们要求页表项要具有写权限,所以FOLL_WRITE为1,设置FAULT_FLAG_WRITE然后调用了faultin_page,之后依次调用了handle_mm_fault->__handle_mm_fault->handle_pte_fault->do_fault->do_cow_fault,此时利用COW来生成了页表,建立了映射。
第二次执行,follow_page_mask会通过flag参数的FOLL_WRITE位是否为1判断要是否需要该页具有写权限,以及通过页表项的VM_WRITE位是否为1来判断该页是否可写。由于Mappedmem是以PROT_READ和MAP_PRIVATE的的形式进行映射的。所以VM_WRITE为0,而FOLL_WRITE为1,返回null,进而调用faultin_page函数,此时由于已经找到了页表,不再调用_do_fault,而是调用了do_wp_page,在do_wp_page中,将FAULT_FLAG_WRITE置0,同时,将ret的VM_FAULT_WRITE置1,表示已经执行过COW,在faultin_page之后的判断中,由于ret中VM_FAULT_WRITE置1,则flag的FOLL_WRITE置0,而FOLL_WRITE置0代表着也页表项不需要写权限。
第三次执行,此时调用follow_page_mask时可以正确找到页了。由于进行了COW,所以写操作并不会涉及到原始内存。
但是正如POC,如果madvice发生在get_user_page第二次执行之后,madvice即取消内存的映射关系,那么第三次执行会follow_page_mask函数会失败,进入dofault_page函数,此时的调用流程会和第一次有一定的区别,由于FAULT_FLAG_WRITE置0,所以直接执行do_read_fault。而do_read_fault函数调用了__do_fault,由于标志位的改变,此时直接与文件内存进行映射。
__do_fault部分代码如下:
if ((flags & FAULT_FLAG_WRITE) && !(vma->vm_flags & VM_SHARED)) {
if (unlikely(anon_vma_prepare(vma)))
return VM_FAULT_OOM;
cow_page = alloc_page_vma(GFP_HIGHUSER_MOVABLE, vma, address);
if (!cow_page)
return VM_FAULT_OOM;
if (mem_cgroup_newpage_charge(cow_page, mm, GFP_KERNEL)) {
page_cache_release(cow_page);
return VM_FAULT_OOM;
}
} else
cow_page = NULL;
if (flags & FAULT_FLAG_WRITE) {
if (!(vma->vm_flags & VM_SHARED)) {
page = cow_page;
anon = 1;
copy_user_highpage(page, vmf.page, address, vma);
__SetPageUptodate(page);
} else
...
}
在第四次执行的时候,follow_page_mask直接获得文件内存页从而对其进行读写。
二:补丁分析
这个漏洞是Linux的创始人Linus亲自修复,简略补丁如下:
+static inline bool can_follow_write_pte(pte_t pte, unsigned int flags)
+{
+ return pte_write(pte) ||
+ ((flags & FOLL_FORCE) && (flags & FOLL_COW) && pte_dirty(pte));
+}
+
static struct page *follow_page_pte(struct vm_area_struct *vma,
unsigned long address, pmd_t *pmd, unsigned int flags)
{
@@ -, +, @@ retry:
}
if ((flags & FOLL_NUMA) && pte_protnone(pte))
goto no_page;
- if ((flags & FOLL_WRITE) && !pte_write(pte)) {
+ if ((flags & FOLL_WRITE) && !can_follow_write_pte(pte, flags)) {
pte_unmap_unlock(ptep, ptl);
return NULL;
}
@@ -, +, @@ static int faultin_page(struct task_struct *tsk, struct vm_area_struct *vma,
* reCOWed by userspace write).
*/
if ((ret & VM_FAULT_WRITE) && !(vma->vm_flags & VM_WRITE))
- *flags &= ~FOLL_WRITE;
+ *flags |= FOLL_COW;
return ;
}
Linus在这里新添加了一个FOLL_COW的标志位,来表明已经进行了COW。同时在get_follow_mask判定权限的时候同时利用dirty位来判定FOLL_COW是否有效。
参考文献:
http://bobao.360.cn/learning/detail/3132.html
https://bugzilla.suse.com/show_bug.cgi?id=1004418#c14
深入分析CVE-2016-5195 Dirty Cow的更多相关文章
- Linux内核[CVE-2016-5195] (dirty COW)原理分析
[原创]Linux内核[CVE-2016-5195] (dirty COW)原理分析-二进制漏洞-看雪论坛-安全社区|安全招聘|bbs.pediy.com https://bbs.pediy.com/ ...
- dirty cow exp
公司搞底层的改了一下,说做到了几个不死机 /* * (un)comment correct payload first (x86 or x64)! * * $ gcc cowroot.c -o cow ...
- [提权] 脏牛漏洞 Dirty COW CVE-2016-5195 2.6.22 < 3.9 (x86/x64)
/* * (un)comment correct payload first (x86 or x64)! * * $ gcc cowroot.c -o cowroot -pthread * $ ./c ...
- 提权 EXP
windows: 漏洞列表 #Security Bulletin #KB #Description #Operating System CVE-2017-0213 [Windows COM Eleva ...
- 记一次 lampiao渗透(Drupal+脏牛提权)
vulnhub|渗透测试lampiao 题记 最近在打靶机,发现了一个挺有意思的靶机,这里想跟大家分享一下. 环境准备 vulnhub最近出的一台靶机 靶机(https://www.vulnhub.c ...
- Linux内核通杀提权漏洞CVE-2016-5195 - 内核升级方法
如题,对于脏牛(Dirty COW)漏洞的修复方式已经在上篇文章中有介绍过如何验证,这里对如何升级内核给出修复建议. (注意:为避免不必要的生产风险的发生,请审核自己的实际环境而决定采用什么方法进行升 ...
- linux 内核提权
不经意间找到了大牛总结的一些Linux提权exp 我直接借花献佛分享给大家 #CVE #Description #Kernels CVE-2017-1000367 [Sudo] (Sudo 1.8.6 ...
- abcdocker 的博客
技术参考总结 abcdocker 的博客 09月 3 篇 20日 Centos7 图形化创建KVM 10日 Nginx 代理Google 进行*** 10日 mac 安装装逼神器cmatrix 08月 ...
- 大牛总结的Linux提权Exp合集
https://github.com/SecWiki/linux-kernel-exploits #CVE #Description #Kernels CVE-2017-1000367 [Sudo] ...
随机推荐
- sentry
https://docs.sentry.io/quickstart/?platform=javascript
- Numpy 与 DataFrame对比与应用
(一)对比Numpty 与 DataFrame默认索引取值不同点 Numpy索引取值 #Numpy索引取值 data=np.empty((2,4),dtype=int) print(data) ''' ...
- 大图轮播js
<!DOCTYPE html><html> <head> <meta charset="UTF-8"> ...
- GCC特性之__init修饰解析 - kasalyn的专栏 - 博客频道 - CSDN.NET
, GCC特性之__init修饰解析 - kasalyn的专栏 - 博客频道 - CSDN.NET.MathJax_Hover_Frame {border-radius: .25em; -webkit ...
- 第一次使用iptables
sudo iptables -A OUTPUT -m cgroup ! --cgroup 0x100001 -j DROP 第一次使用iptables就把电脑弄得上不了网了...... 下面这个地址讲 ...
- hdu 1211 RSA (逆元)
RSA Time Limit: 2000/1000 MS (Java/Others) Memory Limit: 65536/32768 K (Java/Others)Total Submiss ...
- 【转】去掉HTML5中number类型input字段的小箭头
第一种方案: 在chrome下: input::-webkit-outer-spin-button,input::-webkit-inner-spin-button{ -webkit-appea ...
- 262144 (game)
262144 (game) 题目描述 Bessie likes downloading games to play on her cell phone, even though she does fi ...
- Educational Codeforces Round 42 (Rated for Div. 2) A
A. Equator time limit per test 2 seconds memory limit per test 256 megabytes input standard input ou ...
- ASP.NET Identity 使用 RoleManager 进行角色管理 (VS2013RC)
注:本文系作者原创,但可随意转载. 最近做一个Web平台系统,系统包含3个角色,“管理员, 企业用户, 评审专家”, 分别有不同的功能.一直以来都是使用微软封装好的Microsoft.AspNet.I ...