Linux中create_elf_tables函數(shù)如何使用

Linux中create_elf_tables函數(shù)如何使用，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

概述

在近期的一次安全分析過程中，我們在64位Linux系統(tǒng)內(nèi)核里的create_elf_tables()函數(shù)中發(fā)現(xiàn)了一個整型溢出漏洞，本地攻擊者將可以通過一份SUID-root代碼來利用這個漏洞，并獲取到目標設(shè)備的完整root權(quán)限。

目前，受該漏洞影響的Linux發(fā)行版有Red Hat Linux企業(yè)版、CentOS和Debian 8。

漏洞分析

150#define STACK_ROUND(sp, items) \ 151         (((unsigned long) (sp - items)) &~15UL) ... 165 create_elf_tables(struct linux_binprm*bprm, struct elfhdr *exec, ... 169        int argc = bprm->argc; 170        int envc = bprm->envc; 171        elf_addr_t __user *sp; ... 178        int items; ... 190        p = arch_align_stack(p); ... 287        items = (argc + 1) + (envc + 1) + 1; 288        bprm->p = STACK_ROUND(sp, items); ... 295        sp = (elf_addr_t __user *)bprm->p;

“argc”表示傳遞給execve()系統(tǒng)調(diào)用的命令行參數(shù)個數(shù)，個數(shù)受fs/exec.c中MAX_ARG_STRINGS的限制；“envc”表示傳遞給execve()的環(huán)境變量個數(shù)，個數(shù)同樣受到MAX_ARG_STRINGS的限制；但是由于MAX_ARG_STRINGS為0x7FFFFFFF，所以我們可以讓整數(shù)“items”發(fā)生溢出并讓程序失效。

此時，我們就可以以增加用戶態(tài)的棧指針，然后將用戶態(tài)棧指針指向我們的參數(shù)和環(huán)境變量字符串，最終在用戶模式執(zhí)行SUID-root代碼時重寫這些字符串。

漏洞利用

在使用execve()運行SUID-root代碼時，我們的“items”值為0x80000000，參數(shù)指針的大小約為0x80000000 * sizeof(char *) = 16GB，參數(shù)字符串為16GB，環(huán)境字符串也為16GB，因此我們的漏洞利用環(huán)境“只”需要2 * 16GB = 32GB內(nèi)存，而并非3 * 16GB = 48GB或者更多，因為我們使用了一些小技巧來減少內(nèi)存指紋。

下面這個圖表代表了SUID-root代碼開始執(zhí)行后，我們的用戶態(tài)棧結(jié)構(gòu)：

-“A”（“alpha”）為create_elf_tables()分配的?？臻g大?。ùa190-287行），大約為512字節(jié)。

-“sprand”是create_elf_tables()分配的隨機?？臻g大小（代碼190行），大小范圍在0-8192字節(jié)之間。

-“protect”參數(shù)字符串是一個非常重要的命令行參數(shù)&選項，這個參數(shù)必須不能受到內(nèi)存崩潰的影響。

-“padding”參數(shù)字符串大約需要占用16GB?？臻g。

-“protect”環(huán)境字符串是一個重要的環(huán)境變量，必須必須不能受到內(nèi)存崩潰的影響。

-“scratch”環(huán)境字符串為1MB。

-“onebyte”環(huán)境字符串為256KB，其部分數(shù)據(jù)會被fname[]緩沖區(qū)覆蓋。

-“B”（“beta”）為ld.so分配的?？臻g數(shù)量。

此時，ld.so會使用handle_ld_preload()中fname[]緩沖區(qū)的數(shù)據(jù)重寫“onebyte”環(huán)境變量中的部分數(shù)據(jù)，并讓process_envvars()中的UNSECURE_ECVVARS等過濾器失效。

我們的POC代碼能夠利用create_elf_tables()中的這個整型溢出漏洞，演示樣例如下：

# gcc-O0 -o poc-suidbin poc-suidbin.c#chown root poc-suidbin#chmod 4555 poc-suidbin $ gcc-o poc-exploit poc-exploit.c$time ./poc-exploit...ERROR:ld.so: object 'LD_LIBRARY_PATH=.0LD_LIBRARY_PATH=.0LD_LIBRARY_PATH=.' fromLD_PRELOAD cannot be preloaded:ignored.ERROR:ld.so: object 'LD_LIBRARY_PATH=.0LD_LIBRARY_PATH=.' from LD_PRELOAD cannot bepreloaded: ignored.ERROR:ld.so: object 'LD_LIBRARY_PATH=.' from LD_PRELOAD cannot be preloaded: ignored.argc2147090419stack0x7ffbe115008f < 0x7ffbe1150188 < 0x7fffe0e50128 < 0x7ff7e11503ea <0x7ffbe102cdeagetenv0x7ffbe114d83b .0x7ffbe114d82bLD_LIBRARY_PATH=.0x7ffbe114df60LD_LIBRARY_PATH=.0x7ffbe114df72LD_LIBRARY_PATH=....0x7ffbe114e69eLD_LIBRARY_PATH=.0x7ffbe114e6b0LD_LIBRARY_PATH=.0x7ffbe114e6c2LD_LIBRARY_PATH=. real    5m38.666suser    0m0.049ssys     1m57.828s

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進一步的了解或閱讀更多相關(guān)文章，請關(guān)注億速云行業(yè)資訊頻道，感謝您對億速云的支持。