前言
本文将介绍如何绕过KASLR以及如何提权利用。
KASLR绕过
可以利用byteorder操作加上netlink组订阅可以泄露rule中的handle字段。该方法应该是可以用来泄露kernel基地址的,但是作者还提出另一种方法进行泄露。应该是为了提权利用做铺垫。
由于发现已经泄露的模块的基地址,因此可以利用模块地址伪造表达式。
作者找到了range表达式,用于伪造其余表达式。总大小为0x23。而且表达式是八字节对齐的,因此该布局体会占用0x28字节。- struct nft_range_expr {
- struct nft_data data_from;
- struct nft_data data_to;
- u8 sreg;
- u8 len;
- enum nft_range_ops op:8;
- };
可以看到data_from与data_to都是从用户态中转达已往的数据,因此我们可以在这些区域内伪造表达式,这有点像在CTF中,我们泄露了堆块基址后,随意伪造堆块。
由于我们有0x28字节的空间,但是实际可以或许操作的空间是data_from与data_to两段,即0x20的空间大小。因此我们需要挑选小于0x20的规则表达式进行伪造,而且可以或许实行泄露功能的。
这里作者选用了byteorder表达式,可以看到该表达式在对齐后只占用八字节。- struct nft_byteorder {
- u8 sreg;
- u8 dreg;
- enum nft_byteorder_ops op:8;
- u8 len;
- u8 size;
- };
[img=720,197.80782918149467]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404101509182.png[/img]
但是其他表达式都是需要大于0x8的,毕竟一个操作指针就占用八字节了,此时作者选用了meta表达式。可以看到meta表达式也只用到了三个字节,刚好对应range表达式的sreg、len以及op。- struct nft_meta {
- enum nft_meta_keys key:8;
- u8 len;
- union {
- u8 dreg;
- u8 sreg;
- };
- };
- File: linux-5.19\net\netfilter\nft_meta.c
- 418: void nft_meta_set_eval(const struct nft_expr *expr,
- 419: struct nft_regs *regs,
- 420: const struct nft_pktinfo *pkt)
- 421: {
- 422: const struct nft_meta *meta = nft_expr_priv(expr);
- 423: struct sk_buff *skb = pkt->skb;
- 424: u32 *sreg = ®s->data[meta->sreg];
- 425: u32 value = *sreg;
- 426: u8 value8;
- 427:
- 428: switch (meta->key) { ----> [1]
- 429: case NFT_META_MARK:
- 430: skb->mark = value;
- 431: break;
- 432: case NFT_META_PRIORITY:
- 433: skb->priority = value;
- 434: break;
- 435: case NFT_META_PKTTYPE:
- 436: value8 = nft_reg_load8(sreg);
- 437:
- 438: if (skb->pkt_type != value8 &&
- 439: skb_pkt_type_ok(value8) &&
- 440: skb_pkt_type_ok(skb->pkt_type))
- 441: skb->pkt_type = value8;
- 442: break;
- 443: case NFT_META_NFTRACE:
- 444: value8 = nft_reg_load8(sreg);
- 445:
- 446: skb->nf_trace = !!value8;
- 447: break;
- 448: #ifdef CONFIG_NETWORK_SECMARK
- 449: case NFT_META_SECMARK:
- 450: skb->secmark = value;
- 451: break;
- 452: #endif
- 453: default:
- 454: WARN_ON(1); ---->[2]
- 455: }
- 456: }
[img=720,117.15481171548117]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404101509183.png[/img]
这里简朴说一下伪造的规则头,此时的len需要设置为0x20以及islast需要设置为0。
末了泄露的效果如下,即使内核已经抛出了异常,但是不会影响后续表达式的正常实行。
[img=720,433.9834710743802]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404101509184.png[/img]
【----资助网安学习,以下所有学习资料免费领!加vx:dctintin,备注 “博客园” 获取!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析陈诉
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战本领手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
提权利用
既然可以随意伪造表达式,因此我们可以伪造payload表达式。- struct nft_payload {
- enum nft_payload_bases base:8;
- u8 offset;
- u8 len;
- u8 dreg;
- };
[img=720,187.48466257668713]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404101509185.png[/img]
在regs下方存在着nft_do_chain函数返回地址,因此可以直接通过payload表达式将提权payload注入进来。
[img=720,272.1951219512195]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404101509186.png[/img]
由于我们可以伪造payload表达式,因此注入的payload长度不受限,因此采用
- commit_creds(prepare_kernel_cred(0)),构造root凭证
- 接着利用find_task_by_vpid、init_nsproxy以及switch_task_namespaces切换定名空间。
- 末了利用蹦床swapgs_restore_regs_and_retrun_to_usermode返回到用户空间完成提权利用。
[img=720,259.71090670170827]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404101509187.png[/img]
完整exp:https://github.com/h0pe-ay/Vulnerability-Reproduction/tree/master/CVE-2023-35001(nftables)
更多网安技能的在线实操训练,请点击这里>>
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 | 
