Linux内核UAF漏洞CVE-2023-3390分析与利用教学文档<\/h1>

漏洞概述<\/h2>
CVE-2023-3390是Linux内核netfilter子系统nftables组件中的一个use-after-free漏洞。该漏洞源于`nf_tables_newrule()<\/code>函数在异常处理分支中释放rule和其引用的匿名set时，未能正确设置set的状态为inactivate，导致批处理中后续请求仍能访问已被释放的set，最终可能导致双重释放(double free)问题。<\/p>`

漏洞背景知识<\/h2>
nftables简介<\/h3>
nftables是Linux内核中的新一代包过滤框架，取代了之前的iptables。它提供了更高效的规则处理和更灵活的规则配置方式。<\/p>
相关数据结构<\/h3>

nft_rule<\/code>: 表示nftables规则<\/li>
nft_set<\/code>: 表示nftables集合<\/li>
nft_expr<\/code>: 表示规则中的表达式<\/li>
<\/ul>
漏洞详细分析<\/h2>
漏洞触发路径<\/h3>


初始创建阶段<\/strong>:<\/p>

通过NFT_MSG_NEWSET<\/code>创建set_A和set_B<\/li>
通过NFT_MSG_NEWRULE<\/code>创建rule #0，其中包含两个lookup表达式

第一个lookup表达式正确引用set_A<\/li>
第二个lookup表达式初始化失败<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

错误处理阶段<\/strong>:<\/p>

失败导致调用nf_tables_rule_release()<\/code><\/li>
该函数释放两个lookup表达式，导致set_A被释放<\/li>
但set_A的状态未被标记为inactivate<\/li>
<\/ul>
<\/li>

后续规则创建<\/strong>:<\/p>

创建rule #1导致set_B被释放<\/li>
创建rule #2尝试通过nft_set_lookup_byid<\/code>查找set_A<\/li>
由于set_A未被标记为inactivate，仍能被找到并引用<\/li>
<\/ul>
<\/li>

批处理终止阶段<\/strong>:<\/p>

nfnetlink_rcv_batch()<\/code>调用__nf_tables_abort<\/code><\/li>
释放rule #2引用的set_A，导致set_A被双重释放<\/li>
<\/ul>
<\/li>
<\/ol>
关键代码分析<\/h3>
static<\/span> int<\/span> nf_tables_newrule<\/span>(struct<\/span> sk_buff *<\/span>skb, const<\/span> struct<\/span> nfnl_info *<\/span>info,
<\/span><\/span>                const<\/span> struct<\/span> nlattr *<\/span> const<\/span> nla[])
<\/span><\/span>{
<\/span><\/span>    \/\/ ...
<\/span><\/span><\/span><\/span>    err =<\/span> nf_tables_newexpr(&<\/span>ctx, &<\/span>expr_info[i], expr);
<\/span><\/span>    if<\/span> (err <<\/span> 0<\/span>) {
<\/span><\/span>        NL_SET_BAD_ATTR(extack, expr_info[i].attr);
<\/span><\/span>        goto<\/span> err_release_rule;  \/\/ 异常分支
<\/span><\/span><\/span><\/span>    }
<\/span><\/span>    \/\/ ...
<\/span><\/span><\/span><\/span>    
<\/span><\/span>err_release_rule:
<\/span><\/span>    nf_tables_rule_release(&<\/span>ctx, rule);
<\/span><\/span>    \/\/ ...
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>nf_tables_rule_release()<\/code>调用链:<\/p>
void<\/span> nf_tables_rule_release<\/span>(const<\/span> struct<\/span> nft_ctx *<\/span>ctx, struct<\/span> nft_rule *<\/span>rule)
<\/span><\/span>{
<\/span><\/span>    nft_rule_expr_deactivate(ctx, rule, NFT_TRANS_RELEASE);
<\/span><\/span>    nf_tables_rule_destroy(ctx, rule);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>关键问题在于NFT_TRANS_RELEASE<\/code>参数不会设置set的状态为inactivate:<\/p>
void<\/span> nf_tables_deactivate_set<\/span>(const<\/span> struct<\/span> nft_ctx *<\/span>ctx, struct<\/span> nft_set *<\/span>set,
<\/span><\/span>                 struct<\/span> nft_set_binding *<\/span>binding,
<\/span><\/span>                 enum<\/span> nft_trans_phase phase)
<\/span><\/span>{
<\/span><\/span>    switch<\/span> (phase) {
<\/span><\/span>    case<\/span> NFT_TRANS_PREPARE:
<\/span><\/span>        if<\/span> (nft_set_is_anonymous(set))
<\/span><\/span>            nft_deactivate_next(ctx-><\/span>net, set); \/\/ [1] set->use--
<\/span><\/span><\/span><\/span>        return<\/span>;
<\/span><\/span>    case<\/span> NFT_TRANS_ABORT:
<\/span><\/span>    case<\/span> NFT_TRANS_RELEASE:
<\/span><\/span>        set-><\/span>use--<\/span>;
<\/span><\/span>        fallthrough;
<\/span><\/span>    default<\/span>:<\/span>
<\/span><\/span>        nf_tables_unbind_set(ctx, set, binding,
<\/span><\/span>                    phase ==<\/span> NFT_TRANS_COMMIT);
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>补丁分析<\/h3>
补丁修改了错误处理路径:<\/p>
 err_destroy_flow_rule:
<\/span><\/span>     if (flow)
<\/span><\/span>         nft_flow_rule_destroy(flow);
<\/span><\/span> err_release_rule:
<\/span><\/span>-    nf_tables_rule_release(&ctx, rule);
<\/span><\/span><\/span><\/span>+    nft_rule_expr_deactivate(&ctx, rule, NFT_TRANS_PREPARE);
<\/span><\/span><\/span>+    nf_tables_rule_destroy(&ctx, rule);
<\/span><\/span><\/span><\/span> err_release_expr:
<\/span><\/span><\/code><\/pre>关键改进:<\/p>

使用NFT_TRANS_PREPARE<\/code>让匿名set的状态设置为inactivate<\/li>
然后通过nf_tables_rule_destroy<\/code>释放rule及其引用的expr和匿名set<\/li>
由于set状态为inactivate，后续请求无法获取该set<\/li>
<\/ol>
漏洞利用技术<\/h2>
利用思路<\/h3>


内存布局准备<\/strong>:<\/p>

分配多个msg队列，每个队列分配0x400和0x200大小的msg_msg<\/li>
释放其中两个0x200的msg_msg<\/li>
<\/ul>
<\/li>

触发漏洞<\/strong>:<\/p>

触发漏洞使A、B使用刚释放的两个msg_msg<\/li>
再次分配3个0x200大小的msg_msg(0,1,2)，分别占用A,B,A内存块<\/li>
msg_0和msg_2指向同一块内存<\/li>
<\/ul>
<\/li>

信息泄露<\/strong>:<\/p>

释放msg_2，此时msg_0指向被释放的内存<\/li>
使用msg_msgseg占位msg_2，控制m_ts泄露相邻msg_msg中的指针<\/li>
利用泄露的地址劫持next指针实现任意地址读<\/li>
<\/ul>
<\/li>

内核地址泄露<\/strong>:<\/p>

结合堆喷泄露pipe_buffer里的ops指针<\/li>
计算内核镜像基地址<\/li>
<\/ul>
<\/li>

权限提升<\/strong>:<\/p>

劫持ops做ROP<\/li>
<\/ul>
<\/li>
<\/ol>
关键利用技术细节<\/h3>


msg_msg结构利用<\/strong>:<\/p>

通过控制msg_msg的m_ts字段实现越界读<\/li>
通过控制next指针实现任意地址读<\/li>
<\/ul>
<\/li>

CONFIG_DEBUG_LIST特性利用<\/strong>:<\/p>

利用内核在检测到非法链表指针时不panic的特性<\/li>
允许伪造链表指针而不导致内核崩溃<\/li>
<\/ul>
<\/li>

非对齐释放处理<\/strong>:<\/p>

释放多个堆喷的堆块到freelist<\/li>
避免内核申请非法内存块导致崩溃<\/li>
<\/ul>
<\/li>
<\/ol>
替代利用方案<\/h3>
另一种利用方案将UAF转换为user_key_payload和nft_set的重叠:<\/p>

利用user_key_payload泄露地址<\/li>
篡改set->ops实现控制流劫持<\/li>
<\/ol>
防御建议<\/h2>

及时应用内核补丁<\/li>
启用内核内存保护机制如KASAN、KPTI等<\/li>
限制非特权用户使用nftables功能<\/li>
考虑禁用CONFIG_DEBUG_LIST以阻断此类利用技术<\/li>
<\/ol>
总结<\/h2>
CVE-2023-3390展示了Linux内核中复杂的UAF漏洞利用技术，关键点包括:<\/p>

批处理请求中的状态管理不当<\/li>
利用内存分配器特性构造特定内存布局<\/li>
结合多种内核对象实现信息泄露和权限提升<\/li>
利用内核调试特性绕过安全检测<\/li>
<\/ol>
该漏洞的分析和利用过程为理解复杂内核漏洞提供了很好的案例，也展示了现代内核漏洞利用的精细技巧。<\/p>

Linux内核UAF漏洞CVE-2023-3390分析与利用教学文档<\/h1>

nftables简介<\/h3> nftables是Linux内核中的新一代包过滤框架，取代了之前的iptables。它提供了更高效的规则处理和更灵活的规则配置方式。<\/p>

漏洞详细分析<\/h2>

漏洞利用技术<\/h2>

nftables简介<\/h3>
nftables是Linux内核中的新一代包过滤框架，取代了之前的iptables。它提供了更高效的规则处理和更灵活的规则配置方式。<\/p>