zoukankan      html  css  js  c++  java
  • CVE-2016-8655,af_packet Linux 內核通殺提權漏洞淺析

    簡單寫一下思路 這個東西需要namespace方面的支援,
    首先open socket , 一連串路徑(packet_set_ring()->init_prb_bdqc()->
    prb_setup_retire_blk_timer()->prb_init_blk_timer()->
    prb_init_blk_timer()->init_timer())後產生 timer object, 搶著在socket close.
    之前控制po->tp_version 使其走其他路徑搶先free timer object.
    這時候用add_key來heap sprey 覆蓋 被free的time object.
    內核攻擊老司機都懂, 被蓋掉的time object裡面已經放了 我們事先準備好的
    time object 其內部function pointer已經被我們hijacked.
    從user mode 調用 hijacked function in time object.
    這時候可以從user mode call hijacked function得到root.

    summary :
    0x0. race condition -> UAF. 在這牛逼的時代, 不算新。
    0X1. vsyscall的利用 (跟vDSO差不多), and set_memory_rx().
    0X2. 改用add_key()來做heap spraying. 有別於以往科恩(Keen Team)用sendmmsg來heap spraying.
    0x3. 安卓上可利用 gid=3004/AID_NET_RAW 建立AF_PACKET sockets
    (mediaserver) and can trigger the bug.

    Ref:
    http://seclists.org/oss-sec/2016/q4/607


    寫的倉促 歡迎討論指教.

  • 相关阅读:
    1007 正整数分组
    Review: JQuery
    Summary: DOM modification techniques
    B
    D
    C
    hdu5592 倒序求排列+权值线段树
    主席树入门——询问区间第k大pos2104,询问区间<=k的元素个数hdu4417
    二维前缀和好题hdu6514
    莫比乌斯反演理解
  • 原文地址:https://www.cnblogs.com/bittorrent/p/6209681.html
Copyright © 2011-2022 走看看