Linux中create_elf_tables函數如何使用
Linux中create_elf_tables函數如何使用��,很多新手對此不是很清楚�,為了幫助大家解決這個難題���,下面小編將為大家詳細講解�,有這方面需求的人可以來學習下�����,希望你能有所收獲����。
概述
在近期的一次安全分析過程中�����,我們在64位Linux系統內核里的create_elf_tables()函數中發現了一個整型溢出漏洞���,本地攻擊者將可以通過一份SUID-root代碼來利用這個漏洞�,并獲取到目標設備的完整root權限���。
目前��,受該漏洞影響的Linux發行版有Red Hat Linux企業版��、CentOS和Debian 8�����。
漏洞分析
150#define STACK_ROUND(sp, items) \ 151 (((unsigned long) (sp - items)) &~15UL) ... 165 create_elf_tables(struct linux_binprm*bprm, struct elfhdr *exec, ... 169 int argc = bprm->argc; 170 int envc = bprm->envc; 171 elf_addr_t __user *sp; ... 178 int items; ... 190 p = arch_align_stack(p); ... 287 items = (argc + 1) + (envc + 1) + 1; 288 bprm->p = STACK_ROUND(sp, items); ... 295 sp = (elf_addr_t __user *)bprm->p;
“argc”表示傳遞給execve()系統調用的命令行參數個數����,個數受fs/exec.c中MAX_ARG_STRINGS的限制���;“envc”表示傳遞給execve()的環境變量個數��,個數同樣受到MAX_ARG_STRINGS的限制�����;但是由于MAX_ARG_STRINGS為0x7FFFFFFF�����,所以我們可以讓整數“items”發生溢出并讓程序失效��。
此時���,我們就可以以增加用戶態的棧指針�����,然后將用戶態棧指針指向我們的參數和環境變量字符串�,最終在用戶模式執行SUID-root代碼時重寫這些字符串�����。
漏洞利用
在使用execve()運行SUID-root代碼時��,我們的“items”值為0x80000000����,參數指針的大小約為0x80000000 * sizeof(char *) = 16GB�����,參數字符串為16GB�����,環境字符串也為16GB���,因此我們的漏洞利用環境“只”需要2 * 16GB = 32GB內存����,而并非3 * 16GB = 48GB或者更多�,因為我們使用了一些小技巧來減少內存指紋���。
下面這個圖表代表了SUID-root代碼開始執行后����,我們的用戶態棧結構:
-“A”(“alpha”)為create_elf_tables()分配的?�?臻g大?��。ùa190-287行)�����,大約為512字節�。
-“sprand”是create_elf_tables()分配的隨機?�?臻g大?。ùa190行)�����,大小范圍在0-8192字節之間��。
-“protect”參數字符串是一個非常重要的命令行參數&選項���,這個參數必須不能受到內存崩潰的影響��。
-“padding”參數字符串大約需要占用16GB?����?臻g�。
-“protect”環境字符串是一個重要的環境變量���,必須必須不能受到內存崩潰的影響��。
-“scratch”環境字符串為1MB��。
-“onebyte”環境字符串為256KB�����,其部分數據會被fname[]緩沖區覆蓋���。
-“B”(“beta”)為ld.so分配的?���?臻g數量���。
此時��,ld.so會使用handle_ld_preload()中fname[]緩沖區的數據重寫“onebyte”環境變量中的部分數據��,并讓process_envvars()中的UNSECURE_ECVVARS等過濾器失效����。
我們的POC代碼能夠利用create_elf_tables()中的這個整型溢出漏洞����,演示樣例如下:
# gcc-O0 -o poc-suidbin poc-suidbin.c#chown root poc-suidbin#chmod 4555 poc-suidbin $ gcc-o poc-exploit poc-exploit.c$time ./poc-exploit...ERROR:ld.so: object 'LD_LIBRARY_PATH=.0LD_LIBRARY_PATH=.0LD_LIBRARY_PATH=.' fromLD_PRELOAD cannot be preloaded:ignored.ERROR:ld.so: object 'LD_LIBRARY_PATH=.0LD_LIBRARY_PATH=.' from LD_PRELOAD cannot bepreloaded: ignored.ERROR:ld.so: object 'LD_LIBRARY_PATH=.' from LD_PRELOAD cannot be preloaded: ignored.argc2147090419stack0x7ffbe115008f < 0x7ffbe1150188 < 0x7fffe0e50128 < 0x7ff7e11503ea <0x7ffbe102cdeagetenv0x7ffbe114d83b .0x7ffbe114d82bLD_LIBRARY_PATH=.0x7ffbe114df60LD_LIBRARY_PATH=.0x7ffbe114df72LD_LIBRARY_PATH=....0x7ffbe114e69eLD_LIBRARY_PATH=.0x7ffbe114e6b0LD_LIBRARY_PATH=.0x7ffbe114e6c2LD_LIBRARY_PATH=. real 5m38.666suser 0m0.049ssys 1m57.828s
看完上述內容是否對您有幫助呢��?如果還想對相關知識有進一步的了解或閱讀更多相關文章����,請關注億速云行業資訊頻道����,感謝您對億速云的支持����。
