D3CTF2022 - d3kheap 内核堆漏洞利用详解<\/h1>

0x00 题目概述<\/h2>
这是一道来自D3CTF2022的内核Pwn题目，考察内核堆漏洞利用技术。题目提供了一个内核模块，其中存在一个引用计数错误导致的UAF（Use-After-Free）漏洞。<\/p>

0x01 漏洞分析<\/h2>

模块功能分析<\/h3>

内核模块提供了以下ioctl功能：<\/p>

0x1234：分配buf<\/li>

0xdead：释放buf<\/li> <\/ul>

关键问题：<\/p>

分配时仅检查buf是否为NULL，不检查ref_count<\/li>
释放时仅减少ref_count，不将buf置NULL<\/li>

ref_count被错误初始化为1<\/li> <\/ol>

漏洞本质<\/h3>

这是一个典型的引用计数错误导致的UAF漏洞：<\/p>

可以多次释放同一个buf<\/li>
由于slub_free有double free检查，不能直接double free<\/li>

需要转化为UAF进行利用<\/li> <\/ul>

0x02 漏洞利用步骤<\/h2>

Pre. 构造UAF<\/h3>

利用链：<\/p>

分配一个1024大小的object<\/li>
释放该object<\/li>
将其分配到别的结构体(victim)上<\/li>

再次释放该object<\/li> <\/ol>

此时victim结构体同时存在于：<\/p>

正在使用的状态<\/li>

slub的free list中<\/li> <\/ul>

Step.I 堆喷msg_msg<\/h3>

选择msg_msg结构体作为victim：<\/p>

struct<\/span> msg_msg {
<\/span><\/span>    struct<\/span> list_head m_list;
<\/span><\/span>    long<\/span> m_type;
<\/span><\/span>    size_t m_ts; \/* message text size *\/<\/span>
<\/span><\/span>    struct<\/span> msg_msgseg *<\/span>next;
<\/span><\/span>    void<\/span> *<\/span>security;
<\/span><\/span>    \/* the actual message follows immediately *\/<\/span>
<\/span><\/span>};
<\/span><\/span><\/code><\/pre>堆喷策略：<\/p>

创建多个消息队列<\/li>
每个队列发送两条消息：

主消息：大小96<\/li>
辅助消息：大小0x400<\/li>
<\/ul>
<\/li>
<\/ol>
内存布局：<\/p>

辅助消息有高概率获取到之前释放的object<\/li>
使用MSG_COPY标志位可以读取消息而不释放<\/li>
<\/ul>
Step.II 构造UAF并定位victim队列<\/h3>

释放辅助消息，完成UAF构造<\/li>
使用sk_buff堆喷劫持结构体：

sk_buff代表内核网络协议栈中的"包"<\/li>
使用socketpair创建socket对<\/li>
通过read\/write完成收发包<\/li>
<\/ul>
<\/li>
<\/ol>
定位方法：<\/p>

向UAF object写入特定数据<\/li>
使用MSG_COPY读取，通过失败判断命中UAF的队列<\/li>
<\/ul>
Step.III 伪造msg_msg泄露地址<\/h3>


伪造msg_msg结构体，设置大m_ts实现越界读<\/p>
<\/li>

泄露相邻辅助消息的header，获取堆地址<\/p>
<\/li>

通过消息队列结构泄露：<\/p>

辅助消息的prev指向主消息<\/li>
辅助消息的next指向msg_queue结构<\/li>
<\/ul>
<\/li>

伪造msg_msg->next，指向主消息头部前<\/p>
<\/li>

读取主消息头部，泄露辅助消息地址<\/p>
<\/li>

计算得到UAF对象地址：辅助消息地址 - 0x400<\/p>
<\/li>
<\/ol>
Step.IV 堆喷pipe_buffer泄露内核基址<\/h3>
选择pipe_buffer结构体：<\/p>
struct<\/span> pipe_buffer {
<\/span><\/span>    struct<\/span> page *<\/span>page;
<\/span><\/span>    unsigned<\/span> int<\/span> offset, len;
<\/span><\/span>    const<\/span> struct<\/span> pipe_buf_operations *<\/span>ops;
<\/span><\/span>    unsigned<\/span> int<\/span> flags;
<\/span><\/span>    unsigned<\/span> long<\/span> private;
<\/span><\/span>};
<\/span><\/span><\/code><\/pre>利用步骤：<\/p>

修复辅助消息header<\/li>
接收辅助消息，object重回slub<\/li>
堆喷pipe_buffer<\/li>
接收sk_buff数据包，读取pipe_buffer数据<\/li>
从pipe_buf_operations泄露anon_pipe_buf_ops地址<\/li>
计算内核基址<\/li>
<\/ol>
Step.V 伪造pipe_buffer劫持RIP<\/h3>

关闭管道两端触发pipe_buffer->ops->release<\/li>
使用sk_buff在UAF object上伪造：

函数表<\/li>
ROP chain<\/li>
<\/ul>
<\/li>
选择合适gadget完成栈迁移<\/li>
劫持RIP提权<\/li>
<\/ol>
ROP chain构造：<\/p>

调用prepare_kernel_cred(0)<\/li>
调用commit_creds<\/li>
返回用户态<\/li>
执行getRootShell<\/li>
<\/ol>
0x03 关键利用技术<\/h2>

msg_msg堆喷<\/strong>：利用消息队列实现可控大小的堆分配<\/li>
sk_buff堆喷<\/strong>：通过socket通信实现内核堆分配<\/li>
pipe_buffer利用<\/strong>：泄露内核地址和劫持控制流<\/li>
UAF转化<\/strong>：将double free转化为更稳定的UAF<\/li>
地址泄露<\/strong>：通过结构体布局实现任意地址读<\/li>
ROP构造<\/strong>：在内核态完成权限提升<\/li>
<\/ol>
0x04 防御措施<\/h2>

修复引用计数错误<\/li>
释放后及时置NULL指针<\/li>
使用SLAB\/SLUB的安全机制<\/li>
开启KASLR等防护措施<\/li>
限制用户空间与内核的交互<\/li>
<\/ol>
0x05 总结<\/h2>
这道题目展示了内核堆漏洞利用的完整链条：<\/p>

从引用计数错误出发<\/li>
构造稳定的UAF<\/li>
通过堆喷控制内存布局<\/li>
利用内核结构体泄露地址<\/li>
最终劫持控制流提权<\/li>
<\/ol>
利用过程中结合了多种内核结构体(msg_msg, sk_buff, pipe_buffer)的特性，是一道综合性很强的内核Pwn题目。<\/p>

D3CTF2022 - d3kheap 内核堆漏洞利用详解<\/h1>

0x00 题目概述<\/h2> 这是一道来自D3CTF2022的内核Pwn题目，考察内核堆漏洞利用技术。题目提供了一个内核模块，其中存在一个引用计数错误导致的UAF（Use-After-Free）漏洞。<\/p>

0x01 漏洞分析<\/h2>

0x02 漏洞利用步骤<\/h2>

0x00 题目概述<\/h2>
这是一道来自D3CTF2022的内核Pwn题目，考察内核堆漏洞利用技术。题目提供了一个内核模块，其中存在一个引用计数错误导致的UAF（Use-After-Free）漏洞。<\/p>