KASLR绕过及提权利用(CVE-2023-35001)
前言本文将介绍如何绕过KASLR以及如何提权利用。
KASLR绕过
可以利用byteorder操作加上netlink组订阅可以泄露rule中的handle字段。该方法应该是可以用来泄露kernel基地址的,但是作者还提出另一种方法进行泄露。应该是为了提权利用做铺垫。
由于发现已经泄露的模块的基地址,因此可以利用模块地址伪造表达式。
作者找到了range表达式,用于伪造其余表达式。总大小为0x23。而且表达式是八字节对齐的,因此该布局体会占用0x28字节。
struct nft_range_expr {
struct nft_data data_from;
struct nft_data data_to;
u8 sreg;
u8 len;
enum nft_range_opsop:8;
};详细的布局如下
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404101509180.png
可以看到data_from与data_to都是从用户态中转达已往的数据,因此我们可以在这些区域内伪造表达式,这有点像在CTF中,我们泄露了堆块基址后,随意伪造堆块。
由于我们有0x28字节的空间,但是实际可以或许操作的空间是data_from与data_to两段,即0x20的空间大小。因此我们需要挑选小于0x20的规则表达式进行伪造,而且可以或许实行泄露功能的。
这里作者选用了byteorder表达式,可以看到该表达式在对齐后只占用八字节。
struct nft_byteorder {
u8 sreg;
u8 dreg;
enum nft_byteorder_opsop:8;
u8 len;
u8 size;
};构造后,可以发现还有八字节的data_to没有用,但是并不能直接丢弃不适用,因为在调用完byteorder操作后还需要继承实行其他规则表达式。
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404101509182.png
但是其他表达式都是需要大于0x8的,毕竟一个操作指针就占用八字节了,此时作者选用了meta表达式。可以看到meta表达式也只用到了三个字节,刚好对应range表达式的sreg、len以及op。
struct nft_meta {
enum nft_meta_keyskey:8;
u8 len;
union {
u8 dreg;
u8 sreg;
};
};meta表达式的操作如下,在meta表达式中meta->key实行详细的操作,如,但是若该值是非法值则会实行,可以看到该meta表达式仅会抛出异常,但是不会终止运行,这就阐明即使meta->key是非法值也不会影响后续规则表达式的正常实行。
File: linux-5.19\net\netfilter\nft_meta.c
418: void nft_meta_set_eval(const struct nft_expr *expr,
419: struct nft_regs *regs,
420: const struct nft_pktinfo *pkt)
421: {
422: const struct nft_meta *meta = nft_expr_priv(expr);
423: struct sk_buff *skb = pkt->skb;
424: u32 *sreg = ®s->data;
425: u32 value = *sreg;
426: u8 value8;
427:
428: switch (meta->key) { ---->
429: case NFT_META_MARK:
430: skb->mark = value;
431: break;
432: case NFT_META_PRIORITY:
433: skb->priority = value;
434: break;
435: case NFT_META_PKTTYPE:
436: value8 = nft_reg_load8(sreg);
437:
438: if (skb->pkt_type != value8 &&
439: skb_pkt_type_ok(value8) &&
440: skb_pkt_type_ok(skb->pkt_type))
441: skb->pkt_type = value8;
442: break;
443: case NFT_META_NFTRACE:
444: value8 = nft_reg_load8(sreg);
445:
446: skb->nf_trace = !!value8;
447: break;
448: #ifdef CONFIG_NETWORK_SECMARK
449: case NFT_META_SECMARK:
450: skb->secmark = value;
451: break;
452: #endif
453: default:
454: WARN_ON(1); ---->
455: }
456: }因此第二个伪造的表达式也找到了,就是meta表达式。由于我们直接伪造了规则表达式,因此不会进行寄存器参数的校验,只要选择内核地址选择泄露即可。
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404101509183.png
这里简朴说一下伪造的规则头,此时的len需要设置为0x20以及islast需要设置为0。
末了泄露的效果如下,即使内核已经抛出了异常,但是不会影响后续表达式的正常实行。
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404101509184.png
【----资助网安学习,以下所有学习资料免费领!加vx:dctintin,备注 “博客园” 获取!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析陈诉
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战本领手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
提权利用
既然可以随意伪造表达式,因此我们可以伪造payload表达式。
struct nft_payload {
enum nft_payload_basesbase:8;
u8 offset;
u8 len;
u8 dreg;
};https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404101509185.png
在regs下方存在着nft_do_chain函数返回地址,因此可以直接通过payload表达式将提权payload注入进来。
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404101509186.png
由于我们可以伪造payload表达式,因此注入的payload长度不受限,因此采用
[*]commit_creds(prepare_kernel_cred(0)),构造root凭证
[*]接着利用find_task_by_vpid、init_nsproxy以及switch_task_namespaces切换定名空间。
[*]末了利用蹦床swapgs_restore_regs_and_retrun_to_usermode返回到用户空间完成提权利用。
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404101509187.png
完整exp:https://github.com/h0pe-ay/Vulnerability-Reproduction/tree/master/CVE-2023-35001(nftables)
更多网安技能的在线实操训练,请点击这里>>
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]