一道不常见的 aarch64 kernel pwn，这题很简单就简单栈溢出，msr 返回用户态 orw 即可

但就是返回用户态的机制不太好了解，然后流程控制也跟常规的 x86 那种有很大区别

device_read 函数

device_write 函数

存在栈溢出漏洞

审一下代码就可以知道，红色框框中的东西一定会进，read 用来 leak，write 用来 rop

其实不怎么审代码，下好断点调试也可以知道进入哪里

vmlinux 从镜像中拉出来地址全是乱的。。。

gadgets 可以通过调试去找，直接在 gdb 里面找，还好这题 rop 不复杂，不然痛苦死了

但这个方法也不好，后面发现这个 aarch64 的 Image 文件可以直接 ida，但是只有偏移地址，但没关系

这题没开 kaslr，直接查内核基址再加上偏移就可以了

然后说说 aarch64 的一些简单的汇编指令和知识

寻址格式，# 代表立即数

寄存器

在 aarch64 汇编中寄存器是 64 位的，使用 X[n] 表示，低32 位以 W[n] 表示

在 64 位架构中有 31 个 64 位的通用寄存器

使用如下指令在 pwndbg 中查看

x0~x7：一般是函数的参数，大于8个的会通过堆栈传参

x0 还用作返回值

X9-X15：调用者保存的临时寄存器

X19-X29：被调用者保存的寄存器

关于 aarch64 架构下的开辟栈帧

x86 下一般是 push、pop 指令

而 aarch 64 下就是 LDP、STP 指令

例如：

关于返回用户态

使用 gdb 单步调试可以找到如下 gadgets，也就是利用 msr 指令进行寄存器的恢复

msr 指令会分别将 x21、x22、x23 的值还原给上面三个重要寄存器

所以伪造这三个值即可返回用户态

先改一下 init 文件

注释掉 cd /home/pwn，是为了运行 exp 更方便，不然还得 cd 一下才能运行 exp

这两条指令

这使得普通用户无法查看 dmesg 和 kallsyms 中的值（kallsyms 中显示会全部为 0）

主要影响的是查看与 moudle 相关的调试信息，也就是在 /sys/moudle/core/section 查看地址会受到限制

还有就是会造成无法直接通过 /proc/kallsyms 来进行 leak kernel 基址

所以直接设置了 root 权限，方便本地调试，root 可以直接查看地址

改动如下

启动脚本

我把下面这条注释了，不然调试一段时间会自动退出

编译的话，先要装个工具链

https://releases.linaro.org/components/toolchain/binaries/latest-7/aarch64-linux-gnu/

这个网站下载压缩包即可

交叉编译 aarch64

或者是直接装交叉编译环境

利用思路：

根据 aarch64 的特点，我们需要控制 x30(返回地址)，x0(第一个参数)，然后 ret 即可，ret 不会改变 sp，这跟 x86 也是不一样的

我用到的三个 gadgets

因为 x0 寄存器用作第一个参数，所以找了个有 MOV W0, #0 的 gadgets，w0 只是 X0的 低三十二位，因为高三十二位本来就是 0

然后 commit_creds 和 prepare_kernel_cred 的地址都加了四，为了跳过 stp 指令对 x30 寄存器的修改，也就是下面这条

这样才方便我们伪造 x30 方便后续 rop 的利用

构造 rop 的时候，要注意 sp 的变化，建议是多写一些 0xaaaaaaaaaaaaaaaa 这样的数据进去，方便调试，调试完再做替换即可，还有就是可以直接写 0xaaaaaaaa...0xbbbbbb...，这样的东西，写多一些，然后看错误回显，看看执行了哪个地址，比如错误回显提示 call：0xaaaaaaaaaaaaaaaa，那就可以将 0xaaaaaaaaaaaaaaaa 替换为我们要执行的地址，这样很快很方便

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)