Linux内核提权漏洞CVE-2017-7184分析与利用<\/h1>

漏洞概述<\/h2>
CVE-2017-7184是Linux内核IPSec框架中的一个内存越界漏洞，存在于2.6及更高版本的内核中。该漏洞允许本地攻击者通过精心构造的数据包触发内核内存越界写入，最终可能导致权限提升。<\/p>

背景知识<\/h2>

IPSec协议简介<\/h3>

IPSec是一个协议组合，包含以下组件：<\/p>

SA(Security Association)<\/strong>：由SPI、IP地址和安全协议标识(AH或ESP)唯一确定，定义了通信双方的IP地址、IPSec协议、加密算法、密钥、模式等参数<\/li>
AH(Authentication Header)<\/strong>：提供数据完整性校验和身份认证功能，具备抗重放能力<\/li>

ESP(Encapsulating Security Payload)<\/strong>：提供完整性检查、认证和加密功能<\/li> <\/ul>
相关结构体<\/h3>
漏洞涉及的关键结构体xfrm_replay_state_esn<\/code>定义如下：<\/p>
struct<\/span> xfrm_replay_state_esn { <\/span><\/span> unsigned<\/span> int<\/span> bmp_len; <\/span><\/span> __u32 oseq; <\/span><\/span> __u32 seq; <\/span><\/span> __u32 oseq_hi; <\/span><\/span> __u32 seq_hi; <\/span><\/span> __u32 replay_window; <\/span><\/span> __u32 bmp[0<\/span>]; <\/span><\/span>}; <\/span><\/span><\/code><\/pre> bmp_len<\/code>：决定整个结构体的具体大小<\/li> replay_window<\/code>：决定bmp数组的索引范围<\/li> <\/ul> 漏洞分析<\/h2> 补丁分析<\/h3> 补丁添加了对replay_window<\/code>和bmp_len<\/code>的大小检测：<\/p> static<\/span> inline<\/span> int<\/span> xfrm_replay_verify_len<\/span>(struct<\/span> xfrm_replay_state_esn *<\/span>replay_esn) { <\/span><\/span> if<\/span> (nla_len(rp) <<\/span> ulen ||<\/span> xfrm_replay_state_esn_len(replay_esn) !=<\/span> ulen) <\/span><\/span> return<\/span> -<\/span>EINVAL; <\/span><\/span> if<\/span> (up-><\/span>replay_window ><\/span> up-><\/span>bmp_len *<\/span> sizeof<\/span>(__u32) *<\/span> 8<\/span>) \/\/ 新增的检测 <\/span><\/span><\/span><\/span> return<\/span> -<\/span>EINVAL; <\/span><\/span> return<\/span> 0<\/span>; <\/span><\/span>} <\/span><\/span><\/code><\/pre>漏洞成因<\/h3> 问题出在xfrm_replay_state_esn<\/code>结构体的replay_window<\/code>和bmp_len<\/code>上。当发送XFRM_MSG_NEWAE<\/code>类型的消息时，会调用xfrm_new_ae<\/code>函数更新已存在的SA。检测函数xfrm_replay_verify_len<\/code>没有对replay_window<\/code>做任何检测，导致可以控制replay_window<\/code>超过bmp_len<\/code>，从而在后续操作中触发越界。<\/p> 触发越界的函数<\/h3> 有两个函数可能触发越界：<\/p> xfrm_replay_check<\/code><\/li> xfrm_replay_advance<\/code>（包含越界写操作）<\/li> <\/ol> 关键函数xfrm_replay_advance_esn<\/code>的调用链：<\/p> xfrm4_ah_rcv -> xfrm4_rcv -> xfrm4_rcv_spi -> xfrm_input <\/code><\/pre> 漏洞利用<\/h2> 利用思路<\/h3> 通过控制net_seq<\/code>、replay_esn->seq<\/code>、replay_esn->replay_window<\/code>和replay_esn->seq_hi<\/code>等变量，使程序执行到特定流程<\/li> 通过越界写操作修改内核关键数据结构（如cred结构体），实现权限提升<\/li> <\/ol> 利用步骤<\/h3> 准备套接字<\/strong>：<\/p> \/\/ 用于向内核发送信息，生成\/更新xfrm_state结构体 <\/span><\/span><\/span><\/span>xfrm_state_fd =<\/span> socket(PF_NETLINK, SOCK_RAW, NETLINK_XFRM); <\/span><\/span> <\/span><\/span>\/\/ 用于接收IPPROTO_AH信息，触发xfrm_input <\/span><\/span><\/span><\/span>recvfd =<\/span> socket(AF_INET, SOCK_RAW, IPPROTO_AH); <\/span><\/span> <\/span><\/span>\/\/ 用于发送自定义数据包 <\/span><\/span><\/span><\/span>sendfd =<\/span> socket(AF_INET, SOCK_RAW, IPPROTO_AH); <\/span><\/span><\/code><\/pre><\/li> 触发漏洞<\/strong>：<\/p> trigger_oob(...); <\/span><\/span><\/code><\/pre><\/li> 调试分析<\/strong>：<\/p> 在关键函数设置断点： b xfrm_alloc_replay_state_esn b xfrm_init_replay b xfrm_replay_verify_len b xfrm_replay_advance_esn <\/code><\/pre> <\/li> 观察replay_window<\/code>和bmp_len<\/code>的值变化<\/li> 确认越界写操作的发生<\/li> <\/ul> <\/li> 权限提升<\/strong>：<\/p> 通过喷射技术使cred结构体位于xfrm_replay_state_esn<\/code>结构体之后<\/li> 利用越界写操作清零关键字段，使线程获得root权限<\/li> 修改主进程权限实现提权<\/li> <\/ul> <\/li> <\/ol> 实验环境搭建<\/h2> 工具准备<\/h3> QEMU<\/strong>：用于运行目标内核的虚拟机<\/li> GDB<\/strong>：用于内核调试<\/li> 漏洞利用代码（exp）<\/li> <\/ul> 环境配置步骤<\/h3> 启动QEMU虚拟机：<\/p> qemu-system-x86_64 -kernel bzImage -hda wheezy.img -m 512M -nographic \ <\/span><\/span><\/span><\/span>-append "console=ttyS0 root=\/dev\/sda"<\/span> -net user,hostfwd=<\/span>tcp::10011-:22 -net nic -s <\/span><\/span><\/code><\/pre><\/li> 上传工具：<\/p> .\/upload setcap <\/span><\/span>.\/upload exp <\/span><\/span><\/code><\/pre><\/li> 设置权限：<\/p> .\/setcap cap_net_raw,cap_net_admin=<\/span>eip .\/exp <\/span><\/span>su nobody <\/span><\/span><\/code><\/pre><\/li> 启动GDB调试：<\/p> gdb vmlinux <\/span><\/span>target remote:1234 <\/span><\/span><\/code><\/pre><\/li> <\/ol> 关键问题思考<\/h2> 造成漏洞的点在哪儿？<\/strong><\/p> 漏洞点在xfrm_replay_verify_len<\/code>函数缺少对replay_window<\/code>和bmp_len<\/code>的大小检测<\/li> <\/ul> <\/li> 造成越界访问的参数是哪些，如何控制？<\/strong><\/p> 可控参数：net_seq<\/code>、replay_esn->seq<\/code>、replay_esn->replay_window<\/code>和replay_esn->seq_hi<\/code><\/li> 通过构造特定的网络数据包来控制这些参数<\/li> <\/ul> <\/li> 其他利用思路？<\/strong><\/p> 除了修改cred结构体，还可以考虑修改其他内核关键数据结构<\/li> 可以结合其他漏洞实现更稳定的利用<\/li> 可以尝试绕过SMAP\/SMEP等防护机制<\/li> <\/ul> <\/li> <\/ol> 防护措施<\/h2> 及时更新内核，应用补丁<\/li> 限制普通用户使用raw socket的权限<\/li> 启用内核防护机制如KASLR、SMEP、SMAP等<\/li> 监控异常的内核内存访问行为<\/li> <\/ol> 总结<\/h2> CVE-2017-7184是一个典型的内核内存越界漏洞，通过精心构造IPSec协议数据包，可以触发内核越界写操作。理解该漏洞需要对Linux内核网络协议栈、内存管理机制有深入认识。漏洞利用过程涉及多个关键步骤，包括SA结构体操作、内存喷射和权限修改等。该漏洞的分析和利用过程为研究内核漏洞提供了很好的案例。<\/p>

Linux内核提权漏洞CVE-2017-7184分析与利用<\/h1>

漏洞概述<\/h2> CVE-2017-7184是Linux内核IPSec框架中的一个内存越界漏洞，存在于2.6及更高版本的内核中。该漏洞允许本地攻击者通过精心构造的数据包触发内核内存越界写入，最终可能导致权限提升。<\/p>

背景知识<\/h2>

漏洞分析<\/h2>

漏洞利用<\/h2>

实验环境搭建<\/h2>

漏洞概述<\/h2>
CVE-2017-7184是Linux内核IPSec框架中的一个内存越界漏洞，存在于2.6及更高版本的内核中。该漏洞允许本地攻击者通过精心构造的数据包触发内核内存越界写入，最终可能导致权限提升。<\/p>