剖析一个由sendfile引发的linux内核BUG

godbach

该BUG的另外一个exploit的代码连接为：
http://www.securityfocus.com/dat ... rbar_emporium-3.tgz
这个测试代码更为详细，而且区分了多种情况。
通过其脚本wunderbar_emporium.sh来进行各种条件的判断和程序的编译：

下面就是脚本中对于可以直接mmap 0地址的条件进行的处理，具体有疑问的地方见下面的红色部分

MINADDR=`cat /proc/sys/vm/mmap_min_addr 2> /dev/null`
# Case 1： 如果没有变量mmap_min_addr，或者其值为0，则表示可以直接mmap 0地址。
# 这是仅使用expoit程序即可。
if [ "$MINADDR" = "" -o "$MINADDR" = "0" ]; then
        echo "MINADDR not exist or equals to 0."
    cc -fno-stack-protector $OPT_FLAG -o exploit exploit.c 2> /dev/null
    if [ "$?" = "1" ]; then
       cc $OPT_FLAG -o exploit exploit.c
    fi
        #这里将视频文件tzameti.avi追加到exploit程序中，因为该程序中要读取该文件。
        #但尚不清楚exploit.c中调用函数extract_and_play_video()的实际意义.当前条件下
        #屏蔽掉对extract_and_play_video的调用，仍然可以获取到root权限。
    cat tzameti.avi >> ./exploit
    ./exploit

瀚海书香

分析的不错，顶一个

Godbach

还是那个脚本的内容，第二种情形：

elif [ ! -f '/usr/sbin/getenforce' ]; then
    cc -fno-stack-protector -fPIC $OPT_FLAG -shared -o exploit.so exploit.c
    cc $OPT_FLAG -o pwnkernel pwnkernel.c
  ./pwnkernel

这里是在mmap_min_addr不为0的情况下，要设置personality为PER_SVR4，并通过pluseaudio程序，来触发漏洞。如果系统上没有这个程序，好像就没法expoit了。

W.Z.T

原帖由 Godbach 于 2010-1-15 16:38 发表
还是那个脚本的内容，第二种情形：


这里是在mmap_min_addr不为0的情况下，要设置personality为PER_SVR4，并通过pluseaudio程序，来触发漏洞。如果系统上没有这个程序，好像就没法expoit了。

pluseaudio是用来bypass selinux的，2.6.27以后的selinux接口中有如下代码， pluseaudio程序正好有CAP_SYS_RAWIO权能。


291static int cap_file_mmap(struct file *file, unsigned long reqprot,
292                         unsigned long prot, unsigned long flags,
293                         unsigned long addr, unsigned long addr_only)
294{
295        if ((addr < mmap_min_addr) && !capable(CAP_SYS_RAWIO))
296                return -EACCES;
297        return 0;
298}

Godbach

295        if ((addr < mmap_min_addr) && !capable(CAP_SYS_RAWIO))

W.Z.T兄的意思，通过使pulseaudio使跳过第二个判断为价，因此使程序函数正常返回？

W.Z.T

原帖由 Godbach 于 2010-1-15 17:14 发表

W.Z.T兄的意思，通过使pulseaudio使跳过第二个判断为价，因此使程序函数正常返回？

是的

Godbach

但是同样还是需要映射0地址吧。

但是如果我在没有开启SElinux，就没有必要使用pulseaudio吧

W.Z.T

原帖由 Godbach 于 2010-1-15 17:17 发表
但是同样还是需要映射0地址吧。

但是如果我在没有开启SElinux，就没有必要使用pulseaudio吧

是的， 而且是2.6.27以后的内核才需要pulseaudio这个文件来bypass selinux。

Godbach

原帖由 W.Z.T 于 2010-1-15 17:19 发表


是的， 而且是2.6.27以后的内核才需要pulseaudio这个文件来bypass selinux。

现在我测试的环境是，SElinux disabled。但是mmap_min_addr是大于0的。

这中情况下，如果设置PER_SVR4，W.Z.T兄觉得可以成功的映射0地址吗？

W.Z.T

原帖由 Godbach 于 2010-1-15 17:26 发表


现在我测试的环境是，SElinux disabled。但是mmap_min_addr是大于0的。

这中情况下，如果设置PER_SVR4，W.Z.T兄觉得可以成功的映射0地址吗？

兄弟都有测试环境了， 为什么不试试？ 还是在故意考验我呢， 呵呵。 我的理解是在2.6.18系统上你能设置PER_SVR4， 就能映射0地址。