D3CTF-d3kshrm 漏洞分析与利用教学<\/h1>

题目概述<\/h2>
d3kshrm 是 D3CTF 中的一道内核题目，涉及 Linux 内核模块中的内存管理漏洞。题目主要考察对内核内存管理机制的理解，特别是 mmap、mremap 等系统调用的实现细节，以及如何利用这些机制中的漏洞实现权限提升。<\/p>

关键数据结构<\/h2>

ChunkManager 结构<\/h3>

逆向分析得到的关键数据结构：<\/p>

struct<\/span> ChunkManager {
<\/span><\/span>    spinlock_t lock;          \/\/ 位于偏移 0x90
<\/span><\/span><\/span><\/span>    atomic_t refcount;        \/\/ 引用计数
<\/span><\/span><\/span><\/span>    struct<\/span> page **<\/span>pages;      \/\/ 位于偏移 0x88，指向 page 指针数组
<\/span><\/span><\/span><\/span>    unsigned<\/span> int<\/span> page_num;    \/\/ page 数量
<\/span><\/span><\/span><\/span>    \/\/ 其他成员...
<\/span><\/span><\/span><\/span>};
<\/span><\/span><\/code><\/pre>
总大小为 0xA0（实际分配 0xC0 大小）<\/li>
pages<\/code> 成员从自定义的 kmem_cache 中分配 0x1000 大小的堆块<\/li>
可以基于传入参数申请 1-0x200 个 page<\/li>
<\/ul>
功能分析<\/h2>
1. add 功能<\/h3>

为 ChunkManager 结构体申请 0xC0 大小的堆块<\/li>
为 pages<\/code> 成员从自定义 kmem_cache 中获取 0x1000 的堆块<\/li>
基于传入参数申请 n 个 page (1-0x200)<\/li>
将 ChunkManager 存入 d3kshrm_arr<\/code> 数组<\/li>
<\/ul>
2. bind\/unbind 功能<\/h3>

bind: 将指定 d3kshrm_arr[idx]<\/code> 绑定到当前 file->private_data

增加引用计数<\/li>
<\/ul>
<\/li>
unbind: 与 bind 相反，减少引用计数并删除 file->private_data<\/li>
<\/ul>
3. delete 功能<\/h3>

当 ChunkManager 不被引用时，可以释放相关资源<\/li>
整个过程有 owner 检查和引用计数操作，并上锁<\/li>
<\/ul>
漏洞分析<\/h2>
1. mmap 相关漏洞<\/h3>
mmap 会检查映射的区间大小是否小于等于 page_num<\/code>，但在 vm_fault<\/code> 处理函数中存在边界检查问题：<\/p>
static<\/span> vm_fault_t d3kshrm_fault<\/span>(struct<\/span> vm_fault *<\/span>vmf) {
<\/span><\/span>    unsigned<\/span> long<\/span> pgoff =<\/span> vmf-><\/span>pgoff;  \/\/ 访问的 page 偏移
<\/span><\/span><\/span><\/span>    struct<\/span> ChunkManager *<\/span>cm =<\/span> vmf-><\/span>vma-><\/span>vm_private_data;
<\/span><\/span>    
<\/span><\/span>    if<\/span> (pgoff >=<\/span> cm-><\/span>page_num)  \/\/ 错误检查，应为 pgoff > cm->page_num
<\/span><\/span><\/span><\/span>        return<\/span> VM_FAULT_SIGBUS;
<\/span><\/span>    
<\/span><\/span>    \/\/ 分配 page...
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>漏洞点<\/strong>：当 pgoff == cm->page_num<\/code> 时也会进行分配，导致越界访问 pages<\/code> 数组。<\/p>
2. vm_close 非预期漏洞<\/h3>
vm_close<\/code> 函数会在每次调用时对 ChunkManager 进行减引用：<\/p>
static<\/span> void<\/span> d3kshrm_close<\/span>(struct<\/span> vm_area_struct *<\/span>vma) {
<\/span><\/span>    struct<\/span> ChunkManager *<\/span>cm =<\/span> vma-><\/span>vm_private_data;
<\/span><\/span>    atomic_dec(&<\/span>cm-><\/span>refcount);  \/\/ 无条件减引用
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>利用方法<\/strong>：<\/p>

申请 0x2000 的内存<\/li>
执行两次 munmap: munmap(addr, 0x1000)<\/code> 和 munmap(addr+0x1000, 0x1000)<\/code><\/li>
这会触发两次 vm_close<\/code>，导致引用计数多减 1<\/li>
然后可以通过 delete 释放 ChunkManager，而 mmap 还保留着指针，造成 UAF<\/li>
<\/ol>
利用方法<\/h2>
非预期解法<\/h3>
限制<\/strong>：在开启 KASLR 的情况下难以利用，需要其他方法泄露 page 指针。<\/p>
利用步骤<\/strong>：<\/p>

add 一个只有 3 个 page 的 ChunkManager<\/li>
mmap 申请 0x3000 大小的内存<\/li>
munmap 释放前 0x2000 内存（触发两次 vm_close）<\/li>
delete 掉 ChunkManager<\/li>
使用 USMA (User Space Mapping Attack) 占位<\/li>
mmap 映射 rx 缓冲区，构造 page 指针表<\/li>
触发 vm_fault 分配任意 page<\/li>
<\/ol>
关键点<\/strong>：<\/p>

利用 USMA 喷射 0x12*0x1000 的 rx 缓冲区<\/li>
这会得到一个 0xC0 大小的指针结构体，其中：

0x88 偏移处指向可控缓冲区 page<\/li>
0x90 偏移处为 0（满足 spinlock 要求）<\/li>
<\/ul>
<\/li>
<\/ul>
预期解法<\/h3>
利用 mremap 触发越界<\/strong>：<\/p>

mmap(addr, MAX_PGSIZE...)<\/code> 申请最大内存区域<\/li>
mremap(addr, MAX_PGSIZE, MAX_PGSIZE+0x1000)<\/code> 申请更大区域

由于未注册 vm_mremap<\/code>，系统默认允许<\/li>
<\/ul>
<\/li>
访问 addr+MAX_PGSIZE<\/code> 触发 vm_fault<\/code> 进行越界访问<\/li>
<\/ol>
堆风水构造<\/strong>：<\/p>

使用 USMA Spray 喷射大量 page 并间隔释放<\/li>
申请 kmem_cache 中所有 slub，迫使从伙伴系统重新获取 page<\/li>
释放剩余间隔 page<\/li>
分配大量 0x1000 大小的 pipe_buffer<\/li>
<\/ol>
难点<\/strong>：<\/p>

slub 重新分配有最小 order 要求（至少 0xa*0x1000 的释放区域）<\/li>
成功率约 10%<\/li>
<\/ul>
最终利用<\/strong>：<\/p>

构造 ChunkManager->pages[0x1000]<\/code> 指向目标 page<\/li>
使用 splice 绑定 poweroff 的 page 到 pipebuffer<\/li>
实现只读文件写，完成提权<\/li>
<\/ol>
防御建议<\/h2>


修复 vm_fault<\/code> 中的边界检查：<\/p>
if<\/span> (pgoff >=<\/span> cm-><\/span>page_num)  \/\/ 应为 pgoff >= cm->page_num
<\/span><\/span><\/span><\/code><\/pre><\/li>

在 vm_close<\/code> 中增加引用计数检查：<\/p>
if<\/span> (atomic_read(&<\/span>cm-><\/span>refcount) ><\/span> 0<\/span>)
<\/span><\/span>    atomic_dec(&<\/span>cm-><\/span>refcount);
<\/span><\/span><\/code><\/pre><\/li>

注册 vm_mremap<\/code> 操作以防止非法扩展映射区域<\/p>
<\/li>

加强 kmem_cache 隔离，防止 Cross Cache Attack<\/p>
<\/li>
<\/ol>
总结<\/h2>
这道题目展示了 Linux 内核中 mmap\/mremap 机制的复杂性以及潜在的安全问题。关键点包括：<\/p>

mmap 延迟绑定机制与缺页处理的交互<\/li>
引用计数管理不当导致的 UAF<\/li>
mremap 在没有适当检查时的危险行为<\/li>
内核堆风水与 Cross Cache Attack 技术<\/li>
<\/ol>
通过这道题目，我们可以深入理解 Linux 内核内存管理子系统的安全边界和攻击面。<\/p>

D3CTF-d3kshrm 漏洞分析与利用教学<\/h1>

题目概述<\/h2> d3kshrm 是 D3CTF 中的一道内核题目，涉及 Linux 内核模块中的内存管理漏洞。题目主要考察对内核内存管理机制的理解，特别是 mmap、mremap 等系统调用的实现细节，以及如何利用这些机制中的漏洞实现权限提升。<\/p>

关键数据结构<\/h2>

功能分析<\/h2>

漏洞分析<\/h2>

利用方法<\/h2>

题目概述<\/h2>
d3kshrm 是 D3CTF 中的一道内核题目，涉及 Linux 内核模块中的内存管理漏洞。题目主要考察对内核内存管理机制的理解，特别是 mmap、mremap 等系统调用的实现细节，以及如何利用这些机制中的漏洞实现权限提升。<\/p>