Linux 内核 nftable 模块 UAF 漏洞分析与利用教学文档<\/h1>

漏洞概述<\/h2>
CVE-2023-32233 是 Linux 内核 nftable 模块中的一个 use-after-free (UAF) 漏洞，存在于处理匿名 set 时。该漏洞允许本地攻击者提升权限，影响 Linux 内核版本至 6.1。<\/p>

漏洞成因<\/h2>
漏洞的根本原因是 `nf_tables_deactivate_set<\/code> 函数在释放匿名 set 时没有将 set 标记为 inactive，导致它仍能被同一 netlink 批处理中的其他任务访问，从而造成 UAF。<\/p>`

前置知识<\/h2>
Netlink 批处理机制<\/h3>
用户态进程可以一次提交多个 netlink 请求给内核，这些请求在内存中按顺序存储，请求的存储结构为 struct nlmsghdr<\/code>。<\/p>
用户态填充和发送请求的基本代码结构：<\/p>
struct<\/span> mnl_nlmsg_batch *<\/span>batch =<\/span> mnl_nlmsg_batch_start(mnl_batch_buffer, mnl_batch_limit);
<\/span><\/span>nftnl_batch_begin(mnl_nlmsg_batch_current(batch), seq++<\/span>);
<\/span><\/span>table_seq =<\/span> seq;
<\/span><\/span>mnl_nlmsg_batch_next(batch);
<\/span><\/span>
<\/span><\/span>struct<\/span> nlmsghdr *<\/span>nlh =<\/span> nftnl_nlmsg_build_hdr(
<\/span><\/span>    mnl_nlmsg_batch_current(batch),
<\/span><\/span>    NFT_MSG_NEWSETELEM,
<\/span><\/span>    NFPROTO_INET,
<\/span><\/span>    NLM_F_CREATE |<\/span> NLM_F_EXCL |<\/span> NLM_F_ACK,
<\/span><\/span>    seq++<\/span>);
<\/span><\/span>nftnl_set_elems_nlmsg_build_payload(nlh, set);
<\/span><\/span>mnl_nlmsg_batch_next(batch);
<\/span><\/span>
<\/span><\/span>if<\/span> (mnl_socket_sendto(nl, mnl_nlmsg_batch_head(batch), mnl_nlmsg_batch_size(batch)) <<\/span> 0<\/span>) {
<\/span><\/span>    err(1<\/span>, "Cannot into mnl_socket_sendto()"<\/span>);
<\/span><\/span>}
<\/span><\/span>mnl_nlmsg_batch_stop(batch);
<\/span><\/span><\/code><\/pre>内核处理流程<\/h3>
netlink 批处理消息的处理涉及两个线程：<\/p>

nfnetlink_rcv_batch<\/code> - 在进程的系统调用上下文中执行对请求的初步处理<\/li>
nf_tables_trans_destroy_work<\/code> - 内核线程，完成最终的销毁工作<\/li>
<\/ol>
关键处理流程：<\/p>

nfnetlink_rcv_batch<\/code> 遍历批处理中的每个请求<\/li>
根据请求类型查找对应的处理函数（nf_tables_cb<\/code> 回调函数表）<\/li>
处理函数分配 trans<\/code> 对象并将其放到 commit_list<\/code> 中<\/li>
处理完所有请求后调用 nf_tables_commit<\/code> 进行第二次处理<\/li>
最后通过 nf_tables_commit_release<\/code> 将 commit_list<\/code> 转移到 nf_tables_destroy_list<\/code><\/li>
调度 nf_tables_trans_destroy_work<\/code> 线程完成最终处理<\/li>
<\/ol>
漏洞触发步骤<\/h2>

创建一个匿名 set (pwn_lookup_set<\/code>)并插入一个 elem<\/li>
创建一个 rule，其中包含一个 lookup expr，引用 pwn_lookup_set<\/code><\/li>
创建一个批处理包含两个请求：

NFT_MSG_DELRULE<\/code> 删除上一步创建的 rule<\/li>
NFT_MSG_DELSETELEM<\/code> 删除 pwn_lookup_set<\/code> 的 elem<\/li>
<\/ul>
<\/li>
<\/ol>
内存状态变化：<\/p>

处理 NFT_MSG_DELRULE<\/code> 时会释放 rule 及其 expr<\/li>
在 nft_lookup_destroy<\/code> 中释放匿名 set<\/li>
处理 NFT_MSG_DELSETELEM<\/code> 时访问已释放的 set<\/li>
<\/ol>
补丁分析<\/h2>
补丁地址：https:\/\/git.kernel.org\/pub\/scm\/linux\/kernel\/git\/torvalds\/linux.git\/commit\/?id=c1592a89942e9678f7d9c8030efa777c0d57edab<\/p>
关键修改：<\/p>
void<\/span> nf_tables_deactivate_set<\/span>(const<\/span> struct<\/span> nft_ctx *<\/span>ctx, struct<\/span> nft_set *<\/span>set,
<\/span><\/span>                             struct<\/span> nft_set_binding *<\/span>binding, enum<\/span> nft_trans_phase phase)
<\/span><\/span>{
<\/span><\/span>    switch<\/span> (phase) {
<\/span><\/span>    case<\/span> NFT_TRANS_PREPARE:
<\/span><\/span>+<\/span>       if<\/span> (nft_set_is_anonymous(set))
<\/span><\/span>+<\/span>           nft_deactivate_next(ctx-><\/span>net, set);
<\/span><\/span>+<\/span>       set-><\/span>use--<\/span>;
<\/span><\/span>        return<\/span>;
<\/span><\/span>    case<\/span> NFT_TRANS_ABORT:
<\/span><\/span><\/code><\/pre>补丁在 NFT_TRANS_PREPARE<\/code> 阶段将匿名 set 标记为 inactive，防止后续请求访问。<\/p>
漏洞利用<\/h2>
越界销毁 expr<\/h3>
利用步骤：<\/p>

设置 set->ops->elemsize = 8<\/code><\/li>
触发 free 后使用 set->ops->elemsize = 0x10<\/code> 的 set 占位<\/li>
导致 nft_set_elem_ext<\/code> 计算出的 ext 发生 8 字节错位<\/li>
控制 ext->offset[NFT_SET_EXT_EXPRESSIONS]<\/code> 越界释放 expr<\/li>
<\/ol>
稳定占位 UAF 对象<\/h3>
挑战：<\/p>

内核线程调度不可控<\/li>
free 和 use 点之间的时间窗小<\/li>
<\/ol>
解决方案：<\/p>

使用死循环线程占位 CPU(1,2,3)，提高内核线程调度到 CPU 0 的概率<\/li>
利用 nft_commit_release<\/code> 中的循环删除特性增大时间窗<\/li>
<\/ol>
具体做法：<\/p>

下发三个请求：

NFT_MSG_DELRULE<\/code> 删除 rule 及引用的匿名 set<\/li>
NFT_MSG_DELSET<\/code> 删除包含大量 elem 的 delay_set<\/code><\/li>
NFT_MSG_DELSETELEM<\/code> 引用被释放的匿名 set<\/li>
<\/ul>
<\/li>
在释放 delay_set<\/code> 时进行用户态堆喷占位<\/li>
<\/ol>
堆风水布局<\/h3>

elem<\/code> 分配使用 GFP_KERNEL_ACCOUNT<\/code>，大小可控<\/li>
log expr<\/code> 通过 newrule<\/code> 请求分配，嵌入到 rule 内存中<\/li>
在 elem<\/code> 前后喷几十个 rule 确保被包围<\/li>
<\/ol>
任意地址读写<\/h3>
转换步骤：<\/p>

将漏洞转换为 nft_log->prefix<\/code> 的 UAF<\/li>
使用 nft_object->udata<\/code> 占位<\/li>
通过 nft_log<\/code> 释放 prefix<\/code>，转换为 udata<\/code> 的 UAF<\/li>
使用 nft_dynset_new<\/code> 分配 nft_counter<\/code> 和 nft_quota<\/code> 占位 udata<\/code><\/li>
读取 udata<\/code> 泄露内核地址<\/li>
修改 nft_quota->consumed<\/code> 实现任意地址读写<\/li>
修改 modprobe<\/code> 提权<\/li>
<\/ol>
总结<\/h2>
漏洞挖掘启示<\/h3>

关注匿名 set 等特殊对象的处理逻辑<\/li>
重点审计特判逻辑场景<\/li>
熟悉对象管理和请求处理流程<\/li>
<\/ol>
漏洞利用技巧<\/h3>

类型混淆转换为更易利用的原语<\/li>
CPU 占位控制内核线程调度<\/li>
利用程序循环增大 RACE 窗口<\/li>
精心设计堆风水布局<\/li>
多阶段漏洞转换提升利用可靠性<\/li>
<\/ol>

Linux 内核 nftable 模块 UAF 漏洞分析与利用教学文档<\/h1>

漏洞概述<\/h2> CVE-2023-32233 是 Linux 内核 nftable 模块中的一个 use-after-free (UAF) 漏洞，存在于处理匿名 set 时。该漏洞允许本地攻击者提升权限，影响 Linux 内核版本至 6.1。<\/p>

漏洞成因<\/h2> 漏洞的根本原因是 nf_tables_deactivate_set<\/code> 函数在释放匿名 set 时没有将 set 标记为 inactive，导致它仍能被同一 netlink 批处理中的其他任务访问，从而造成 UAF。<\/p>

总结<\/h2>

漏洞利用技巧<\/h3> 类型混淆转换为更易利用的原语<\/li> CPU 占位控制内核线程调度<\/li> 利用程序循环增大 RACE 窗口<\/li> 精心设计堆风水布局<\/li> 多阶段漏洞转换提升利用可靠性<\/li> <\/ol>

漏洞概述<\/h2>
CVE-2023-32233 是 Linux 内核 nftable 模块中的一个 use-after-free (UAF) 漏洞，存在于处理匿名 set 时。该漏洞允许本地攻击者提升权限，影响 Linux 内核版本至 6.1。<\/p>

漏洞成因<\/h2>
漏洞的根本原因是 `nf_tables_deactivate_set<\/code> 函数在释放匿名 set 时没有将 set 标记为 inactive，导致它仍能被同一 netlink 批处理中的其他任务访问，从而造成 UAF。<\/p>`

漏洞利用技巧<\/h3>

类型混淆转换为更易利用的原语<\/li>
CPU 占位控制内核线程调度<\/li>
利用程序循环增大 RACE 窗口<\/li>
精心设计堆风水布局<\/li>
多阶段漏洞转换提升利用可靠性<\/li> <\/ol>