本篇是强网杯线上赛WriteUp第二篇,将对其中的Pwn题进行解题思路的分析,欢迎大家继续关注。
另外,长亭科技现有多个岗位正在招聘,安全服务中心(没错,就是会出去参加各种CTF大赛的团队)、产品研发中心、技术架构与解决方案中心等众多热门岗位,欢迎投递简历,加入我们哦~
EzCloud
题目注册了一些路由,能未登录访问的除了/login,/logout外只有/notepad,而漏洞就发生在/notepad里唯一一处使用malloc的地方。程序中初始化字符串(地址为0x9292,这里命名为create_string)的函数存在两个为初始化,一是若传入的value为空时,函数不做任何工作直接退出,二是create_string中的malloc申请内存后没有初始化。
使用create_string中的第二个未初始化可以leak出heap地址,虽然低位会被覆写至少一位,但根据linux内存按页对齐的性质仍然可以得到完整的heap地址。使用create_string的第一个未初始化配合/notepad中的未初始化,可以得到一个没有初始化的string结构体,通过堆布局控制该结构体,然后使用edit note的功能可以实现任意地址写,配合之前leak出的heap地址,写session的第一个_DWORD(即authed字段)即可以调用/flag获得flag。
EzQtest
dma触发write io导致的数组越界问题,进行利用前需要对pci进行初始化。利用直接改mmio ops就可以getshell
notebook
分析
题目给了一个内核模块,实现了一个菜单题。虚拟机的 init 脚本里放了一份内核模块的加载地址在 /tmp/moduleaddr,可惜并没有什么用。
程序逻辑比较简单,并且没有 strip,不再赘述。
这个程序存在比较多的 bug ,比如:
-
noteedit 和 noteadd 都修改了 note 数据,但却只 acquire 了一个读写锁的读侧。并且还非常刻意的在一些地方塞了 copy_from_user。
-
mynote_read 和 mynote_write 都读了 note 数据,却没有 acquire 锁。
这导致(仅描述我认为最好用的一个利用路径):
-
noteedit 里,先修改了 note 的 size,把 note 数据给 krealloc 了,然后在把 realloc 出的新指针设置到 note 上之前运行了 copy_from_user,我们可以让它从一个 userfaultfd 代管的地方 copy,从而把这个线程卡死在这里,再也不会执行后面的代码。让 note 上还保留着一个已经 free 掉的数据指针。
-
noteadd 里,先修改了 note 的 size,在进行 alloc 和赋值到 note 结构体上之前先运行了 copy_from_user,同上可以让它卡在这里,相当于这里可以任意修改 note 的 size,但有一个限制是不能超过 0x60。
-
虽然 mynote_read 和 mynote_write 里有 check_object_size 避免我们通过把 size 改大的方法简单的溢出,但利用 noteedit,可以制造一个 UAF。此时会挂在这个 check_object_size 的检查上。
-
但是再利用 noteadd 把对象的 size 改成小于 realloc 前的 size 的值就可以通过 check 啦!
-
由于 noteedit 和 noteadd 都只拿了读锁,只要小心的避免触发写锁(只有 notedel 里有),它们是可以并发的。
利用
由于 noteedit 里可以把管理的 note 给 krealloc 成任意长度,我们相当于有一个对任意长度的数据的任意多次读写完全控制的 UAF,但只能控制前 0x60 字节(足够)。我们制造 kalloc-1024 这个 slab 里的 UAF,再用 openpty() 创建 tty 对象把它们占回来,利用 mynote_read 读取 tty struct,即可 leak 处指向内核 text 段的指针,解决 kASLR。接下来,修改 tty 对象上 + 0x18 字节处的函数指针表,即可控制 rip。
利用代码编写的时候使用了 gift 功能可以告诉我们 note 数据指针的特性,利用 note 在堆上写了一个 tty_operations 表,但完全可以不用,tty struct 里有可以推断出自己的地址的指针(在 +0x50 处),可以直接把对应的函数指针塞在 tty struct 上的某位置。
控制 rip 之后,下一步就是绕过 SMEP 和 SMAP 了,这里介绍一种在完全控制了 tty 对象的情况下非常好用的 trick,完全不用 ROP,非常简单,且非常稳定(我们的 exploit 在利用成功和可以正常退出程序,甚至关机都不会触发 kernel panic)。
内核中有这样的一个函数:
其编译后大概长这样:
该函数位于 workqueue 机制的实现中,只要是开启了多核支持的内核 (CONFIG_SMP)都会包含这个函数的代码。不难注意到,这个函数非常好用,只要能控制第一个参数指向的内存,即可实现带一个任意参数调用任意函数,并把返回值存回第一个参数指向的内存的功能,且该 “gadget” 能干净的返回,执行的过程中完全不用管 SMAP、SMEP 的事情。由于内核中大量的 read / write / ioctl 之类的实现的第一个参数也都恰好是对应的对象本身,可谓是非常的适合这种场景了。考虑到我们提权需要做的事情只是 commit_creds(prepare_kernel_cred(0)),完全可以用两次上述的函数调用原语实现。(如果还需要禁用 SELinux 之类的,再找一个任意地址写 0 的 gadget 即可,很容易找)
最终利用代码如下,编译命令为 gcc -osploit -pthread -static -Os sploit.c -lutil:
[1] sched_setaffinity(0, 1, &cpu_mask) 绑核是为了增加占坑的稳定性,非必要。
dhd
一个 PHP 1day 题目, 预期解应该是使用这个漏洞https://bugs.php.net/bug.php?id=79818,但是这里我们使用了另外一个 1day, 通过绕过限制函数拿到了 flag。
注: 我们其实已经可以通过 SplFileObject 函数读flag了。
easywarm
逆向分析
题目实现的功能大概有:
-
当程序带 666 参数启动时,进入所谓的 admin mode,实现了一个一次任意地址写最多 144 字节的任意不含换行符的内容,然后调用 exit() 的功能。
-
当程序带 000 参数启动时,会保存 envp 和 argv 的指针到 .bss 上,并开始一个菜单形式的迷宫游戏。
-
当程序收到 SIGFPE 信号的时候,会使用保存的 envp 和 argv 换为 666 参数 execve 自身,即重新运行程序并进入 admin mode 的逻辑。
-
迷宫游戏可以指定大小和复杂度,大小最大 32,复杂度为 1 到 5。
-
游戏目的为控制
来源:freebuf.com 2021-06-24 11:16:04 by: 北京长亭科技有限公司
请登录后发表评论
注册