内核提权技术深度解析<\/h1>

1. 修改cred结构体提权技术<\/h2>

1.1 基本原理<\/h3>
内核通过进程的`task_struct<\/code>结构体中的cred<\/code>指针来索引cred<\/code>结构体，根据cred<\/code>内容判断进程权限。当cred<\/code>结构体成员中的uid-fsgid<\/code>都为0时，进程具有root权限。<\/p>`

1.2 两种实现方式<\/h3>

直接修改cred结构体内容<\/strong>：找到cred结构体并修改其权限字段<\/li>
修改task_struct中的cred指针<\/strong>：使其指向一个伪造的具有root权限的cred结构体<\/li>
<\/ol>
1.3 定位技术<\/h3>

使用task_struct<\/code>中的comm<\/code>字段定位：

comm<\/code>标记可执行文件名，位于cred<\/code>正下方<\/li>
使用prctl<\/code>设置进程comm<\/code>为特殊字符串提高定位准确性<\/li>
<\/ul>
<\/li>
具体步骤：

定位当前进程task_struct<\/code>结构体地址<\/li>
根据cred<\/code>指针相对于task_struct<\/code>的偏移计算cred<\/code>指针地址<\/li>
获取或修改cred<\/code>地址<\/li>
<\/ul>
<\/li>
<\/ol>
1.4 修改方法<\/h3>


修改为init_cred地址<\/strong>：<\/p>

将cred<\/code>指针指向内核镜像中已有的init_cred<\/code>地址<\/li>
适用于能直接修改cred<\/code>指针且知道init_cred<\/code>地址的情况<\/li>
<\/ul>
<\/li>

伪造cred结构体<\/strong>：<\/p>

创建伪造的cred结构体并修改指针指向它<\/li>
实现复杂，一般不常用<\/li>
<\/ul>
<\/li>
<\/ol>
1.5 UAF利用方法（已过时）<\/h3>


典型利用流程：<\/p>

申请与cred结构体大小相同的堆块<\/li>
释放该堆块<\/li>
fork新进程，恰好使用刚释放的堆块<\/li>
修改cred结构体特定内存实现提权<\/li>
<\/ul>
<\/li>

限制：<\/p>

较新内核(v4.5+)中cred_jar<\/code>设置了SLAB_ACCOUNT<\/code>标记<\/li>
默认开启CONFIG_MEMCG_KMEM<\/code>时不再与kmalloc-192<\/code>合并<\/li>
<\/ul>
<\/li>
<\/ol>
2. commit_creds函数提权技术<\/h2>
2.1 commit_creds(&init_cred)<\/h3>


原理：<\/p>

commit_creds()<\/code>函数将新cred设为当前进程task_struct<\/code>的real_cred<\/code>与cred<\/code>字段<\/li>
init_cred<\/code>是init进程的静态定义cred结构体，具有root权限<\/li>
<\/ul>
<\/li>

使用方法：<\/p>
commit_creds(&<\/span>init_cred);
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
2.2 commit_creds(prepare_kernel_cred(NULL))<\/h3>


原理：<\/p>

prepare_kernel_cred()<\/code>函数拷贝指定进程的cred结构体<\/li>
参数为NULL时拷贝init_cred<\/code>并返回root权限的cred<\/li>
<\/ul>
<\/li>

使用方法：<\/p>
commit_creds(prepare_kernel_cred(NULL));
<\/span><\/span><\/code><\/pre><\/li>

限制：<\/p>

内核v6.2+后prepare_kernel_cred(NULL)<\/code>将返回NULL<\/li>
不再适用于v6.2+内核<\/li>
<\/ul>
<\/li>
<\/ol>
3. 内核ROP技术<\/h2>
3.1 基本原理<\/h3>

与用户态ROP类似，但使用内核中的gadget<\/li>
目标ropchain：

commit_creds(&init_cred)<\/code><\/li>
或commit_creds(prepare_kernel_cred(NULL))<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
3.2 状态保存<\/h3>

需要手动模拟用户态进入内核态的准备工作<\/li>
保存各寄存器值到内核栈上，便于后续返回用户态<\/li>
常用保存函数（使用内联汇编）：
unsigned<\/span> long<\/span> user_cs, user_ss, user_rflags, user_sp;
<\/span><\/span>
<\/span><\/span>void<\/span> save_status<\/span>()
<\/span><\/span>{
<\/span><\/span>    __asm__("mov user_cs, cs;"<\/span>
<\/span><\/span>            "mov user_ss, ss;"<\/span>
<\/span><\/span>            "mov user_sp, rsp;"<\/span>
<\/span><\/span>            "pushf;"<\/span>
<\/span><\/span>            "pop user_rflags;"<\/span>);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
3.3 返回用户态<\/h3>


必要步骤：<\/p>

swapgs<\/code>指令恢复用户态GS寄存器<\/li>
sysretq<\/code>或iretq<\/code>返回到用户空间<\/li>
<\/ul>
<\/li>

区别：<\/p>

sysretq<\/code>和iretq<\/code>操作不相同<\/li>
通常使用iretq<\/code>更可靠<\/li>
<\/ul>
<\/li>
<\/ol>
4. 案例分析：CISCN2017_babydriver<\/h2>
4.1 漏洞分析<\/h3>


驱动初始化：<\/p>

注册字符设备\/dev\/babydev<\/code><\/li>
定义操作函数：babyread<\/code>、babywrite<\/code>、babyioctl<\/code>、babyopen<\/code>、babyrelease<\/code><\/li>
<\/ul>
<\/li>

漏洞点：<\/p>

babyrelease<\/code>释放全局变量指向空间但未清零<\/li>
打开两个\/dev\/babydev<\/code>设备并关闭一个会造成UAF<\/li>
<\/ul>
<\/li>
<\/ol>
4.2 利用思路<\/h3>


利用UAF劫持控制流：<\/p>

执行内核gadget修改SMEP属性<\/li>
使用ret2usr提权<\/li>
<\/ul>
<\/li>

SMEP关闭方法：<\/p>

向CR4寄存器写入0x6f0<\/code><\/li>
将第21位覆盖为0<\/li>
<\/ul>
<\/li>
<\/ol>
4.3 利用技术细节<\/h3>


关键结构体：<\/p>

tty_struct<\/code>和tty_operations<\/code><\/li>
包含多个函数指针，利于构造ROP<\/li>
<\/ul>
<\/li>

结构体创建：<\/p>

open("\/dev\/ptmx", O_RDWR)<\/code>创建tty_struct<\/code>结构体<\/li>
大小为0x2e0<\/code><\/li>
<\/ul>
<\/li>

控制流劫持步骤：<\/p>

伪造tty_operations<\/code>结构体<\/li>
修改tty_struct<\/code>中的ops<\/code>指针指向伪造结构体<\/li>
操作设备时调用伪造的函数指针<\/li>
<\/ul>
<\/li>
<\/ol>
4.4 调试分析<\/h3>


UAF实现：<\/p>

打开两个\/dev\/babydev<\/code>设备<\/li>
关闭一个造成UAF<\/li>
打开\/dev\/ptmx<\/code>使tty_struct<\/code>使用释放的内存<\/li>
<\/ul>
<\/li>

控制流劫持：<\/p>

使用babyread<\/code>\/babywrite<\/code>操作tty_struct<\/code><\/li>
覆盖ops<\/code>指针指向用户态伪造结构体<\/li>
调用write<\/code>触发控制流转移<\/li>
<\/ul>
<\/li>

栈迁移：<\/p>

利用mov rsp, rax<\/code>等gadget将栈迁移到用户空间<\/li>
构造ROP链关闭SMEP并提权<\/li>
<\/ul>
<\/li>
<\/ol>
4.5 提权执行流程<\/h3>


提权函数：<\/p>
void<\/span> privilege_escalate<\/span>() {
<\/span><\/span>    commit_creds(prepare_kernel_cred(NULL));
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>

返回用户态：<\/p>

swapgs<\/code>切换GS寄存器<\/li>
iretq<\/code>恢复用户态寄存器<\/li>
执行system("\/bin\/sh")<\/code>获取root shell<\/li>
<\/ul>
<\/li>
<\/ol>
5. 案例分析：qwb_2018_core<\/h2>
5.1 环境配置<\/h3>


内核保护机制：<\/p>

kptr_restrict<\/code>控制内核符号地址可见性<\/li>
dmesg_restrict<\/code>控制内核日志访问权限<\/li>
<\/ul>
<\/li>

符号地址获取：<\/p>

从\/tmp\/kallsyms<\/code>读取commit_creds<\/code>和prepare_kernel_cred<\/code>地址<\/li>
计算内核加载偏移量<\/li>
<\/ul>
<\/li>
<\/ol>
5.2 漏洞分析<\/h3>


内核模块功能：<\/p>

创建\/proc\/core<\/code>条目<\/li>
定义操作：core_write<\/code>、core_ioctl<\/code>、core_release<\/code><\/li>
<\/ul>
<\/li>

漏洞点：<\/p>

ioctl<\/code>的0x6677889C<\/code>和0x6677889B<\/code>操作可泄漏canary<\/li>
core_write<\/code>配合0x6677889A<\/code>操作造成内核栈溢出<\/li>
<\/ul>
<\/li>
<\/ol>
5.3 利用技术<\/h3>


Canary泄漏：<\/p>

设置大偏移量读取内核栈布局<\/li>
通过core_read<\/code>将canary读到用户空间<\/li>
<\/ul>
<\/li>

栈溢出利用：<\/p>

使用core_write<\/code>构造ROP链写入name<\/code><\/li>
通过core_ioctl<\/code>的0x6677889A<\/code>操作触发溢出<\/li>
使用负数绕过core_copy_func<\/code>中的条件检查<\/li>
<\/ul>
<\/li>

ROP链构造：<\/p>

覆盖返回地址执行提权代码<\/li>
返回用户态启动shell<\/li>
<\/ul>
<\/li>
<\/ol>
6. 关键防护机制与绕过<\/h2>
6.1 SMEP\/SMAP防护<\/h3>


SMEP(Supervisor Mode Execution Protection)：<\/p>

阻止内核态执行用户空间代码<\/li>
通过CR4寄存器的第20位控制<\/li>
<\/ul>
<\/li>

绕过方法：<\/p>

修改CR4寄存器关闭SMEP<\/li>
使用内核ROP技术<\/li>
<\/ul>
<\/li>
<\/ol>
6.2 KASLR防护<\/h3>

内核地址空间布局随机化<\/li>
绕过方法：

通过信息泄漏获取内核基址<\/li>
计算函数和gadget的实际地址<\/li>
<\/ul>
<\/li>
<\/ol>
6.3 Stack Canary防护<\/h3>

内核栈保护机制<\/li>
绕过方法：

信息泄漏获取canary值<\/li>
在溢出时正确覆盖canary<\/li>
<\/ul>
<\/li>
<\/ol>
7. 开发技巧与最佳实践<\/h2>


调试技巧：<\/p>

使用gdb<\/code>配合vmlinux<\/code>调试内核<\/li>
设置断点分析执行流程<\/li>
<\/ul>
<\/li>

利用开发：<\/p>

编写可靠的内核态\/用户态切换代码<\/li>
处理不同内核版本差异<\/li>
<\/ul>
<\/li>

稳定性考虑：<\/p>

确保ROP链在不同环境下的可靠性<\/li>
处理竞争条件和时序问题<\/li>
<\/ul>
<\/li>
<\/ol>
8. 总结与演进<\/h2>


技术演进：<\/p>

新版本内核增加了更多防护机制<\/li>
旧技术可能失效，需要持续研究新方法<\/li>
<\/ul>
<\/li>

防御建议：<\/p>

及时更新内核版本<\/li>
启用所有可用防护机制<\/li>
监控可疑的内核行为<\/li>
<\/ul>
<\/li>

研究方向：<\/p>

新型内核漏洞利用技术<\/li>
绕过最新防护机制的方法<\/li>
更稳定的提权技术<\/li>
<\/ul>
<\/li>
<\/ol>

内核提权技术深度解析<\/h1>

1. 修改cred结构体提权技术<\/h2>

1.1 基本原理<\/h3> 内核通过进程的task_struct<\/code>结构体中的cred<\/code>指针来索引cred<\/code>结构体，根据cred<\/code>内容判断进程权限。当cred<\/code>结构体成员中的uid-fsgid<\/code>都为0时，进程具有root权限。<\/p>

2. commit_creds函数提权技术<\/h2>

3. 内核ROP技术<\/h2>

4. 案例分析：CISCN2017_babydriver<\/h2>

5. 案例分析：qwb_2018_core<\/h2>

6. 关键防护机制与绕过<\/h2>

1.1 基本原理<\/h3>
内核通过进程的`task_struct<\/code>结构体中的cred<\/code>指针来索引cred<\/code>结构体，根据cred<\/code>内容判断进程权限。当cred<\/code>结构体成员中的uid-fsgid<\/code>都为0时，进程具有root权限。<\/p>`