[原创]Linux Kernel CVE-2013-1763 Local Privilege Escalation Vulnerability 利用分析-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]Linux Kernel CVE-2013-1763 Local Privilege Escalation Vulnerability 利用分析

发表于: 2013-7-28 22:43 5945

[原创]Linux Kernel CVE-2013-1763 Local Privilege Escalation Vulnerability 利用分析

冰雪风谷

2013-7-28 22:43

5945

近日闲的蛋疼, 刚开始把自己的Ubuntu执行命令sudo apt-get remove libc6, 然后又重新编内核,重新装各种东西,最终终于看到图形界面.
然后忽然网上出现了apache struts2的漏洞,又在思考tomcat的帐号在linux平台上如何get root.
于是准备搭环境自己黑自己一把.

上网搜了一下,最新的提权的漏洞是CVE-2013-1763, 影响的版本具多, 有现成的poc, 值得一试.

(1)漏洞描述

系统在处理sock_diag_handlers数组的时候, 未对传入的值进行验证, 从而导致越界,进而导致可执行代码的漏洞.
未授权用户可以通过执行代码, 得到root权限.

(2)漏洞产生的原因
首先看sock_diag_handlers的定义

1	`static struct sock_diag_handler *sock_diag_handlers[AF_MAX];` `//可以看出,这个指针数组最大为AF_MAX AF_MAX = 41.`

static int __sock_diag_rcv_msg(struct sk_buff *skb, struct nlmsghdr *nlh)
{
        int err;
        struct sock_diag_req *req = NLMSG_DATA(nlh);
        struct sock_diag_handler *hndl;
 
        if (nlmsg_len(nlh) < sizeof(*req))
                return -EINVAL;
 
        hndl = sock_diag_lock_handler(req->sdiag_family);//这里传入sdiag_family的值,然后返回sock_diag_handlers中存放的hanlder.我们看一下sock_diag_lock_handler函数
        if (hndl == NULL)
                err = -ENOENT;
        else
                err = hndl->dump(skb, nlh);
        sock_diag_unlock_handler(hndl);
 
        return err;
}
----
static inline struct sock_diag_handler *sock_diag_lock_handler(int family)
{
        if (sock_diag_handlers[family] == NULL)
                request_module("net-pf-%d-proto-%d-type-%d", PF_NETLINK,
                                NETLINK_SOCK_DIAG, family);
 
        mutex_lock(&sock_diag_table_mutex);
        return sock_diag_handlers[family]; //这个函数没有对传入的family的值的范围,进行验证,从而造成数组越界.
}

if (hndl == NULL)
    err = -ENOENT;
else
    err = hndl->dump(skb, nlh);

struct sock_diag_handler {
        __u8 family;//
        int (*dump)(struct sk_buff *skb, struct nlmsghdr *nlh);
};

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・14

免费・5

支持

赞赏记录

参与人

雪币

留言

时间

心游尘世外

为你点赞~

2024-5-31 05:48

QinBeast

为你点赞~

2024-5-31 05:40

飘零丶

为你点赞~

2024-4-3 00:44

shinratensei

为你点赞~

2024-2-19 01:24

PLEBFE

为你点赞~

2023-3-7 00:30

最新回复 (14)
vessial(xee) 雪币： 4536 活跃值： (902) 能力值： ( LV16，RANK：480 ) 在线值：发帖 28 回帖 126 粉丝 33 关注私信	vessial(xee) 11 2 楼顶！！！！ 2013-7-28 22:52 0
viphack 雪币： 219 活跃值： (878) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 44 关注私信	viphack 4 3 楼出租~~ 2013-7-29 01:07 0
zixian 雪币： 6 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	zixian 4 楼有意思哦 2013-7-29 08:43 0
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 470 粉丝 0 关注私信	kxzjchen 5 楼定顶顶爱爱爱 2013-7-29 14:01 0
markro 雪币： 41 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	markro 6 楼顶。学习，这个要仔细地读一下。 2013-7-29 15:47 0
neite 雪币： 1626 活跃值： (153) 能力值： ( LV4，RANK：40 ) 在线值：发帖 17 回帖 105 粉丝 0 关注私信	neite 7 楼 Good thanks for share 2013-7-29 18:02 0
riusksk 雪币： 433 活跃值： (1890) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 272 关注私信	riusksk 41 8 楼都搞Linux内核漏洞了，学习了 2013-7-29 22:24 0
CoyLiu 雪币： 27 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	CoyLiu 9 楼 Mark。 2013-7-29 23:55 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 10 楼 MARK。 2013-7-30 13:22 0
fosom 雪币： 1839 活跃值： (295) 能力值： ( LV9，RANK：370 ) 在线值：发帖 30 回帖 422 粉丝 29 关注私信	fosom 8 11 楼顶！！！！ 2013-7-30 16:46 0
CYBER涛雪币： 324 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 131 粉丝 0 关注私信	CYBER涛 1 12 楼发现数组溢出不容易，能够用这个溢出执行到需要的代码段就是艺术啊~ 2013-7-31 10:26 0
virusest 雪币： 692 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 94 粉丝 0 关注私信	virusest 2 13 楼刚才看了下，分析的很好，就是有一个问题，就是数组越界后，挖掘者是怎么想到nl_table这个地址的，也就是说，为什么非要跳到这里来，按理来说，只要让sock_diag_handlers[family]越界，然后我map随便一个越界后的地址，写上跳转代码，非得要nl_table这块地址么？理论上来说，找到了sock_diag_handlers的地址，只要传一个family>41的值，会返回一个地址，假设不为NULL,这个地址向上+4字节，是一个函数(dump)的地址，系统会call这个函数，举个例子，我找到了sock_diag_handlers的地址，然后在sock_diag_handlers+442（假设family=42）的地方做修改修改，应该也是可以的吧？ 2013-8-2 17:18 0
lynudt 雪币： 6 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	lynudt 14 楼为什么完全一样的内核，我用这个exploit就不行，运行了进程会死掉 2015-4-10 10:29 0
向往星空雪币： 88 活跃值： (335) 能力值： ( LV4，RANK：55 ) 在线值：发帖 16 回帖 127 粉丝 0 关注私信	向往星空 1 15 楼楼主，问你个问题，我使用的是centos,kernel 2.6.9 ,我看好多exp都是使用prepare_kernel_cred来提权，但是我运行都是提示没有这个符号？是不是由于内核版本的原因？cat kallsyms \| grep prepare_kernel_cred检查了一下返回为空 2016-8-4 22:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

冰雪风谷

发帖

回帖

270

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
vessial(xee) 雪币： 4536 活跃值： (902) 能力值： ( LV16，RANK：480 ) 在线值：发帖 28 回帖 126 粉丝 33 关注私信	vessial(xee) 11 2 楼顶！！！！ 2013-7-28 22:52 0
viphack 雪币： 219 活跃值： (878) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 44 关注私信	viphack 4 3 楼出租~~ 2013-7-29 01:07 0
zixian 雪币： 6 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	zixian 4 楼有意思哦 2013-7-29 08:43 0
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 470 粉丝 0 关注私信	kxzjchen 5 楼定顶顶爱爱爱 2013-7-29 14:01 0
markro 雪币： 41 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	markro 6 楼顶。学习，这个要仔细地读一下。 2013-7-29 15:47 0
neite 雪币： 1626 活跃值： (153) 能力值： ( LV4，RANK：40 ) 在线值：发帖 17 回帖 105 粉丝 0 关注私信	neite 7 楼 Good thanks for share 2013-7-29 18:02 0
riusksk 雪币： 433 活跃值： (1890) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 272 关注私信	riusksk 41 8 楼都搞Linux内核漏洞了，学习了 2013-7-29 22:24 0
CoyLiu 雪币： 27 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	CoyLiu 9 楼 Mark。 2013-7-29 23:55 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 10 楼 MARK。 2013-7-30 13:22 0
fosom 雪币： 1839 活跃值： (295) 能力值： ( LV9，RANK：370 ) 在线值：发帖 30 回帖 422 粉丝 29 关注私信	fosom 8 11 楼顶！！！！ 2013-7-30 16:46 0
CYBER涛雪币： 324 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 131 粉丝 0 关注私信	CYBER涛 1 12 楼发现数组溢出不容易，能够用这个溢出执行到需要的代码段就是艺术啊~ 2013-7-31 10:26 0
virusest 雪币： 692 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 94 粉丝 0 关注私信	virusest 2 13 楼刚才看了下，分析的很好，就是有一个问题，就是数组越界后，挖掘者是怎么想到nl_table这个地址的，也就是说，为什么非要跳到这里来，按理来说，只要让sock_diag_handlers[family]越界，然后我map随便一个越界后的地址，写上跳转代码，非得要nl_table这块地址么？理论上来说，找到了sock_diag_handlers的地址，只要传一个family>41的值，会返回一个地址，假设不为NULL,这个地址向上+4字节，是一个函数(dump)的地址，系统会call这个函数，举个例子，我找到了sock_diag_handlers的地址，然后在sock_diag_handlers+442（假设family=42）的地方做修改修改，应该也是可以的吧？ 2013-8-2 17:18 0
lynudt 雪币： 6 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	lynudt 14 楼为什么完全一样的内核，我用这个exploit就不行，运行了进程会死掉 2015-4-10 10:29 0
向往星空雪币： 88 活跃值： (335) 能力值： ( LV4，RANK：55 ) 在线值：发帖 16 回帖 127 粉丝 0 关注私信	向往星空 1 15 楼楼主，问你个问题，我使用的是centos,kernel 2.6.9 ,我看好多exp都是使用prepare_kernel_cred来提权，但是我运行都是提示没有这个符号？是不是由于内核版本的原因？cat kallsyms \| grep prepare_kernel_cred检查了一下返回为空 2016-8-4 22:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]Linux Kernel CVE-2013-1763 Local Privilege Escalation Vulnerability 利用分析

账号登录 验证码登录

账号登录

验证码登录