本文从漏洞分析、ARM64架构漏洞利用方式来讨论如何构造提权PoC达到读取root权限的文件。此题是一个ARM64架构的Linux 5.17.2 版本内核提权题目，目的是读取root用户的flag文件。

题目默认开启了KASLR地址随机化和PXN防护，指定CPU核心数量为一，线程为一。

使用cpio命令分离出驱动模块后放到IDA查看，只实现了read和write函数的功能，功能相当简单。read函数把内核栈内容拷贝到全局变量demo_buf，然后再把demo_buf的内容拷贝到用户态缓冲区，长度不超过0x1000。其他不重要的信息可以不用看：

write函数把用户态缓冲区内容拷贝到demo_buf，然后将demo_buf内容拷贝到内核栈中，同样长度不超过0x1000：

知道模块的基本功能之后，现在来考虑利用方式。

第一步的泄露很简单，直接使用read函数功能就可以达到目的，代码如下：

这里编译的时候需要使用交叉编译为ARM64的程序。交叉编译环境的安装方式很简单：

编译exp:

重新打包后运行exp，根据泄露的结果得知第3个值是内核代码地址，第13个值是canary

用ARM64的基础加载地址 0xffff800008000000 算出内核基址、commit_creds和prepare_kernel_cred的地址：

接下来要考虑如何构造ROP链，如何返回用户态。

这里先了解一下ARM64汇编指令和x86_64指令的区别：

根据以上结论，我们需要控制ARM64的执行流，就需要控制X30寄存器，并给参数寄存器X0赋值。而现在内核栈是我们可控的，那么理论上就可以控制PC指针。

首先调用prepare_kernel_cred(0)，参数为0，需要将X0赋值为0，ROPgadget工具不是很好用，直接手动找，在内核文件中找到如下gadget：

这一部分控制了很多寄存器，可以极大的方便我们后续操作。通过调试偏移写出payload如下：

调试的时候发现一个问题，因为ARM64的RET指令并不会使用栈中的数据作为返回地址，而是使用X30寄存器的值，在prepare_kernel_cred函数结束后，由于X30寄存器还是之前的值，又再次执行了prepare_kernel_cred，这显然不是想要的结果。这里先看看ARM程序是怎么开辟栈帧的：

这是在内核中随便找的函数，不用考虑这个函数做了什么，重点关注第一条指令和最后两条指令，第一条指令将X29和X30寄存器放入到栈中，最后两条指令平衡栈。如果去掉第一条指令，那么在平衡栈的时候就会将我们构造的内容给X29和X30。这里也看到ARM不像x86那样可以通过加减地址来获得不同的指令，ARM指令必须以四字节对齐为一个指令。所以在执行prepare_kernel_cred时应该地址加上四字节，执行commit_creds函数也是同理。调试修改上面的payload为如下：

执行完commit_creds(prepare_kernel_cred(0))后，当前exp进程的cred结构体已经是root，但内核栈已经被我们破坏掉了，继续执行会导致内核崩溃重启，此时需要手动返回用户态起shell。

需要知道的是ARM64使用SVC指令进入内核态，使用ERET指令返回用户态，同x86一样，ARM在进入内核态之前会保存用户态所有寄存器状态，在返回时恢复。其中比较重要的寄存器有SP_EL0、ELR_EL1、SPSR_EL1，它们保存内容分别如下：

我们手动恢复这几个寄存器，然后在调用ERET时就可以返回用户态执行函数了。而要找到恢复这些寄存器的gadget可以直接在调试器中单步跟随，找到内核何时返回用户态，然后直接使用这些gadget就行。内容如下：

观察这两段gadget，这些寄存器我们都可以控制，这就比较简单了，直接拿过来用就可以了，并且在执行完这段gadget后，会自动执行ERET指令，其实这段函数就是内核返回用户态的代码。指定上面三个关键寄存器的值，用户态栈地址可以随意指定一个，内核只做地址校验，并不会触发panic，ELR_EL1构造为用户态代码地址，最后修改payload如下：

完整PoC如下，最后执行system("/bin/sh")时，在clone系统调用时会失败，原因可能是因为某个ARM寄存器未还原，触发了缺页机制，会分配一个新的页，最后PC指针指向这个非法地址，无法获取shell，所以改成了ORW的方式读取flag：

完成读取root权限的文件flag：

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)