http://blog.xen.org/index.php/2012/06/13/the-intel-sysret-privilege-escalation/
http://weibo.com/2093186395/yr9aR6RjU?type=repost
http://pastebin.com/n0rNbfVV
http://hi.baidu.com/yuange1975/blog/item/003e3a00f69a03a6e950cdf7.html
Intel的x64位芯片的sysret内部实现伪码如下——
if (Not in 64-Bit Mode or Syscall/Sysret not enabled)
throw #UD exception
if (CPL != 0)
throw #GP exception
if (RCX is not CANONICAL_ADDRESS)
throw #GPexception
...
...
CPL = 0x3;
....
RIP = RCX;
AMD的x64位芯片的sysret内部实现伪码如下——
if (System Call Extension is disable)
throw #UD exception
if (Protected mode is disable or CPL != 0)
throw #GP exception
...
...
CPL = 0x3;
...
RIP = RCX;
很明显能看出Intel的芯片在何处过早地检查并抛出针对非规范地址的GP异常。而AMD没有明确给出其芯片何时抛出针对非规范地址的GP异常的伪码,(根据AMD手册)估计是在sysret指令后试图根据RIP从内存读取下一条指令时抛出GP异常。
攻击过程:
1、利用映射获得指定虚拟内存页,首地址为:(1 << 47) - 4096
2、在该空间放置shellcode,并使得syscall指令地址位于:(1 << 47) - 2
3、计算并设置rdx寄存器为包含kernel_code函数地址的IDT表项数值
4、计算并设置rsp寄存器,使其指向IDT表中的适当位置(以用rdx的值覆盖IDT_GP表项)
5、跳转到shellcode执行。
A、触发syscall调用,此时CPU将自动将syscall指令后面的地址保存到rcx(返回地址)
B、执行完指定syscall调用后,sysret指令将触发GP异常(特权级为内核态,但rsp、gs等寄存器为用户态数值)
C、内核根据IDT表的IDT_GP表项定位并调用GP异常处理,在异常处理过程中,将包括rdx在内的多个寄存器压入rsp所指向的地址空间
D、由于rsp为用户态数值,并被指向系统IDT表区域,经过精确构造,可使rdx入栈时正好覆盖IDT_GP表项内容
E、由于gs为用户态数值,系统异常处理函数执行到mov %gs:0x20, %rdi时将再次触发GP异常
F、内核再度根据IDT_GP表项内容定位异常处理函数入口,此时kernel_code函数将获得调用
G、kernel_code以ring0特权级完成IDT表修复、线程提权、修复sysret环境等工作
H、调用sysret从内核态返回到用户态继续运行,即exit_usermode函数