Exploit Linux Kernel Slub Overflow

By wzt


一、前言

最近几年关于kernel exploit的研究比较热门，常见的内核提权漏洞大致可以分为几类：
空指针引用，内核堆栈溢出，内核slab溢出，内核任意地址可写等等。空指针引用漏洞比较
容易exploit，典型的例子如sock_sendpage，udp_sendmsg。但是新内核的安全模块已经不
在允许userspace的code映射低内存了，所以NULL pointer dereference曾经一度只能dos，
不能提权。但是CVE-2010-4258这个内核任意地址可写漏洞，可以将null po

                                                            CC_STACKPROTECTOR防止内核stack溢出补丁分析

                  

Linux内核安全研究之Stack Overflow溢出

by wzt        <wzt.wzt@gmail.com>

一、背景：
 
   Stack overflow与我之前发过的Stack buffer overflow是两个不同的概念， 它们都是发生在内核stack中的溢出。
   Jon Oberheide在他的blog中提到了一种新的stack overflow溢出攻击方式， 大致说了下溢出原理，没给出poc，我尝试研究了一下，
   把这几天的调试方法总结下。

二、理解内核堆栈：

  

Jon Oberheide在CTF上给出了一个kernel exploitation的挑战:

http://jon.oberheide.org/blog/2010/11/02/csaw-ctf-kernel-exploitation-challenge/,
其实就是一个kernel stack overflow的溢出， 据说在给定期间只有一支队伍完成了exploit程序， 拿到了通关文件。 我周末尝试exploit了一把， 在我的2.6.32内核上exploit成功。 但是根据Jon Oberheide说，他们的内核打开了CC_STACKPROTECTOR选项来防止kernel stack溢出

通用的linux kernel slub overflow攻击代码模板， 关于slub overflow的溢出研究请见下期webzine:)

/*
 * Linux Kernel < 2.6.36-rc1 CAN BCM Privilege Escalation Exploit
 *
 * by wzt    <wzt.wzt@gmail.com>
 *
 * based on exploit by Jon Oberheide, the original code use RX_SETUP opcode
 * to locate the smashed shmid_kernel, i modified it to general slub overflow
 * templates.
 *
 * tested on cento

Nelson Elhage最近发现了一个内核设计上的漏洞， 通过利用这个漏洞可以将一些以前只能dos的漏洞变成可以权限提升的漏洞。

当fork一个进程在的时候， copy_process执行如下操作：
static struct task_struct *copy_process(unsigned long clone_flags,
                                        unsigned l

坚持自己的技术路线，之前我在博客提到linux安全在互联网公司不太重视，那段时间很郁闷，研究那么久的东西直接被人污蔑成没有需求的技术知识， 还差点被迫去学习web。 现在想想实在可笑，玩linux安全没有错， 错的是那些人对linux安全的态度。说linux安全没需求的人，其实是对linux一点都不懂的人，就像说我不懂网络的那些人， 基本上都是连socket都写不好的喜欢自吹自擂的人。不要被那些人自己的利益驱动而放弃自己多年研究的技术积累。跟对的人做对的事情，这是从那些郁闷的日子里学到的宝贵经验。为了加强团队之间的交流， 给